KVKK’ya Göre Log Kayıtları Ne Kadar Süre Saklanmalı? (2026 Rehberi)
KVKK log kayıt süresi, kişisel verilerin işlenmesi kapsamında elde edilen sistem, erişim ve işlem kayıtlarının
ne kadar süreyle saklanabileceğini belirleyen kritik bir uyum konusudur. Log kayıtları; kullanıcı girişleri, IP bilgileri,
işlem geçmişi, erişim denemeleri ve sistem hareketlerini içerir. Bu veriler hem güvenlik hem de hukuki yükümlülükler açısından
önemli olsa da, süresiz saklanmaları mümkün değildir.
KVKK’ya göre temel ilke açıktır: kişisel veriler, işlendikleri amaç için gerekli olan süre kadar saklanmalıdır.
Bu ilke log kayıtları için de geçerlidir. Yani logların ne kadar süre tutulacağı, teknik ihtiyaçtan çok;
hukuki dayanak, işleme amacı ve risk analizi ile belirlenmelidir.
işleme amacına göre genellikle 6 ay ile 2 yıl arasında saklanır,
daha uzun süreler için açık hukuki gerekçe gerekir.
Log kayıtları KVKK kapsamında kişisel veri midir?
Evet. IP adresi, kullanıcı ID’si, cihaz bilgisi ve işlem geçmişi gibi veriler doğrudan veya dolaylı olarak
gerçek kişiyi belirlenebilir kıldığı için KVKK kapsamında kişisel veri olarak kabul edilir.
Bu nedenle log kayıtlarının toplanması, saklanması ve silinmesi KVKK hükümlerine tabidir.
Log kayıtları neden tutulur?
Log kayıtlarının tutulmasının temel amacı sistem güvenliğini sağlamak ve olası ihlalleri tespit etmektir.
Ancak bu amaç sınırsız veri saklama hakkı vermez.
Başlıca kullanım amaçları:
• Yetkisiz erişim tespiti
• Siber saldırı analizi
• Sistem hatalarının incelenmesi
• Hukuki uyuşmazlıklarda delil oluşturma
• KVKK ve diğer mevzuatlara uyum
KVKK’ya göre log kayıtları ne kadar süre saklanmalı?
KVKK’da log kayıtları için net bir süre belirtilmez. Bunun yerine “işleme amacı ile bağlantılı, sınırlı ve ölçülü olma”
ilkesi uygulanır. Bu nedenle süre belirleme, şirketin faaliyet alanına ve veri işleme amacına göre değişir.
Genel kabul gören süreler
Uygulamada çoğu kurum için:
• Güvenlik logları: 6 ay – 1 yıl
• Erişim kayıtları: 1 yıl
• Kritik sistem logları: 1 – 2 yıl
Ancak bu süreler sabit değildir ve mutlaka kurumun veri işleme politikası ile uyumlu olmalıdır.
risk analizi + hukuki dayanak ile belirlemek gerekir.
Log kayıtları ne zaman silinmelidir?
KVKK’ya göre kişisel veriler, işleme amacı ortadan kalktığında silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Bu durum log kayıtları için de geçerlidir.
Silme gerektiren durumlar:
• Saklama süresinin dolması
• İşleme amacının ortadan kalkması
• Hukuki yükümlülüğün sona ermesi
• Veri sahibinin talebi (uygunsa)
Log kayıtları fazla tutulursa ne olur?
Gereğinden uzun süre veri saklamak KVKK ihlali oluşturur. Bu durum:
• İdari para cezaları
• Veri ihlali riski
• Denetimlerde uyumsuzluk
• Kurumsal itibar kaybı
gibi sonuçlar doğurabilir.
Log kayıtları nasıl saklanmalıdır?
Log kayıtlarının yalnızca süresi değil, saklama yöntemi de önemlidir.
Erişim kontrolü uygulanmalıdır
Loglara yalnızca yetkili kişiler erişebilmelidir.
Veriler şifrelenmelidir
Özellikle hassas log verileri güvenli şekilde saklanmalıdır.
Değiştirilemezlik sağlanmalıdır
Logların bütünlüğü korunmalı, sonradan değiştirilmesi engellenmelidir.
Düzenli silme politikası olmalıdır
Otomatik silme veya anonimleştirme mekanizmaları kurulmalıdır.
ama gereğinden fazla tutmak da KVKK ihlalidir.
En sık yapılan hatalar
Süresiz log saklamak
“Lazım olur” yaklaşımı KVKK’ya aykırıdır.
Politika oluşturmamak
Yazılı veri saklama politikası olmayan şirketler risk altındadır.
Tüm logları aynı süreyle saklamak
Farklı veri türleri farklı süre gerektirir.
Silme süreçlerini ihmal etmek
Otomatik silme mekanizması kurulmadığında veri birikimi oluşur.
B10 yaklaşımı: log yönetimini uyum + güvenlik dengesiyle kurmak
B10 Digital Agency olarak log kayıtlarını yalnızca teknik bir konu olarak ele almıyoruz.
Süreci; KVKK uyumu, risk analizi,
veri minimizasyonu ve güvenlik gereksinimleri
çerçevesinde birlikte değerlendiriyoruz.
Çünkü doğru yapı kurulmadığında şirketler iki uç riskle karşılaşır:
ya yeterli log tutmaz ve güvenlik açığı oluşur,
ya da fazla veri tutar ve KVKK ihlali oluşur.
Sonuç
KVKK’ya göre log kayıtları için sabit bir süre yoktur.
Ancak temel ilke nettir: veriler, yalnızca gerekli olduğu süre boyunca saklanmalıdır.
Doğru yaklaşım; logları ihtiyaç kadar tutmak,
süre dolduğunda silmek ve tüm süreci yazılı politikalarla yönetmektir.
