Kişisel veri koruma artık dijital ekosistemin opsiyonel bir katmanı değil; bütçeyi, itibarı ve kurumun yasal sürdürülebilirliğini doğrudan etkileyen zorunlu bir disiplin. Türkiye'de faaliyet gösteren her kurum 6698 sayılı KVKK ile, Avrupa'da öğrenci kabul eden ya da AB vatandaşına hizmet veren kurumlar GDPR ile yükümlüdür. Üniversiteler her iki çerçevenin de hassas öznesidir: öğrenci, aday, akademisyen, mezun ve ziyaretçi verileri günlük olarak toplanır ve işlenir.
Bu yazıda KVKK ve GDPR'ın bir web sitesinden somut olarak ne beklediğini, Drupal'ın bu uyum sürecinde sunduğu yapısal avantajları, uyumda kullanılan başlıca modülleri ve özellikle üniversite siteleri için pratik uygulama adımlarını ele alıyoruz.
KVKK ve GDPR Web Sitesi Açısından Neyi Zorunlu Kılar?
KVKK ve GDPR farklı ülkelerin düzenlemeleri olsa da bir web sitesinden bekledikleri pratik yükümlülükler büyük ölçüde örtüşür. Bir kurumsal site bu yükümlülükleri karşılamak için en az şu altı konuyu netleştirmek zorundadır:
- Aydınlatma yükümlülüğü: Kişisel veri toplanan her noktada (form, çerez, üyelik) ziyaretçiye hangi verinin, neden, ne kadar süreyle, kimlerle paylaşılarak işlendiğinin açıkça bildirilmesi gerekir. KVKK Md. 10 ve GDPR Md. 12-13 bu hakkı düzenler.
- Açık rıza: Zorunlu olmayan çerezler, pazarlama izinleri ve hassas veri işleme için kullanıcının özgür iradeyle, bilgilendirilmiş ve ispatlanabilir biçimde rıza vermesi gerekir. Önceden işaretlenmiş onay kutuları geçerli sayılmaz; bu hem KVKK hem GDPR içtihatında nettir.
- Veri minimizasyonu: Yalnızca işlemenin amacına ulaşmak için zorunlu olan kişisel veriler toplanır. "Belki ileride lazım olur" mantığıyla veri toplamak iki çerçevede de ihlaldir.
- Sahip haklarının desteklenmesi: Kişinin verisine erişme, düzeltme, silme (unutulma hakkı) ve taşınabilirlik talepleri için site teknik altyapı sağlamalıdır. GDPR Md. 17, KVKK Md. 11 bu hakları düzenler.
- Veri güvenliği: Veri envanteri tutulmalı, şifreleme, yetkilendirme, log kayıtları ve düzenli güvenlik testleri uygulanmalıdır. KVKK Md. 12 ve GDPR Md. 32 bu yükümlülüğü açıkça düzenler.
- İhlal bildirimi: Veri ihlali tespit edildiğinde 72 saat içinde ilgili otoriteye (KVKK Kurulu / EDPB) bildirim yapılması zorunludur. Haziran 2024 sonrası Türkiye'de bu süre yerleşik hâle gelmiştir.
Bu altı yükümlülüğün yerine getirilmesi tek başına bir modül kurulumuyla mümkün değildir; CMS seçimi, içerik mimarisi, form yönetimi, çerez stratejisi, kullanıcı yetkilendirme ve organizasyonel süreçlerin tamamı uyum tablosunun parçasıdır. Drupal bu noktada birden fazla katmanda doğal avantajlar sunar.
2026'da KVKK Cezaları ve Üniversiteler İçin Risk Tablosu
KVKK uyumunun maliyeti, ihmalin maliyetinin yanında oldukça mütevazıdır. 2026 yılı yeniden değerleme oranlarıyla güncellenen idari para cezaları, ihmalin somut tutarını gösterir:
| İhlal Türü | Alt Sınır (2026) | Üst Sınır (2026) |
|---|---|---|
| Aydınlatma yükümlülüğüne aykırılık | 85.437 TL | 1.709.222 TL |
| Veri güvenliği yükümlülüklerine aykırılık | 256.290 TL | 17.092.242 TL |
| Kurul kararlarının yerine getirilmemesi | 427.263 TL | 17.092.242 TL |
| VERBİS kayıt ve bildirim yükümlülüğüne aykırılık | 341.809 TL | 17.092.242 TL |
Üniversiteler özellikle yüksek risk grubundadır çünkü işledikleri veri çeşitliliği geniştir: aday öğrenci verileri (TC kimlik, sınav sonuçları, sağlık raporları), öğrenci akademik kayıtları, akademisyen özlük bilgileri, kütüphane okuma kayıtları, kampüs erişim verileri, mezun iletişim listeleri ve uluslararası öğrenci için GDPR kapsamına giren AB vatandaşı verileri aynı kurumda buluşur. Veri çeşitliliği arttıkça ihlal yüzeyi de büyür; bu da uyumun tek bir formdan ya da tek bir politikadan ibaret olmadığını gösterir.
Drupal'ın KVKK ve GDPR Uyumu İçin Sunduğu Yapısal Avantajlar
Drupal kuruluşundan bu yana güvenlik, yetkilendirme ve denetim odaklı bir mimariye sahiptir. Bu mimari KVKK ve GDPR uyumunu kurum için bir "ekstra iş" değil, sistemin doğal bir parçası hâline getirir. Drupal'ın bu cephedeki güçlü yanları şunlardır:
- Detaylı yetkilendirme sistemi: Hangi içerik tipinin, hangi alanın ve hangi kullanıcı verisinin kim tarafından görüntülenip düzenlenebileceği rol bazlı yönetilir. KVKK Md. 12 ve GDPR Md. 32 gereği veri güvenliğinin temel bileşeni olan "need-to-know" prensibi mimaride yerleşiktir.
- Şifreleme ve güvenli oturum yönetimi: Drupal çekirdeği kullanıcı şifrelerini bcrypt ile saklar; oturum tokenları güvenli çerez bayraklarıyla yönetilir. SSL/TLS zorunluluğu site genelinde uygulanabilir.
- Form ve içerik denetimi: Webform modülü ile her form alanı için hangi verinin neden toplandığı, ne kadar saklanacağı ve hangi rıza metniyle birlikte sunulacağı yapılandırılır. Form gönderimleri ayrı veri varlığı olarak yönetilir; toplu silme ve dışa aktarım mümkündür.
- Çoklu dil desteği (çekirdek): Aydınlatma metinleri, çerez politikası ve rıza bildirimleri 110'u aşkın dilde yönetilebilir. Uluslararası öğrenci kabul eden üniversiteler için bu, Türkçe + İngilizce + diğer hedef diller için ayrı metinler tutmayı mümkün kılar.
- Disiplinli güvenlik takvimi: Drupal Security Team güvenlik açıklarını standart bir prosedürle yayınlar (PSA bildirimleri, semantic versioning). Bu disiplin KVKK Md. 12 kapsamındaki teknik ve idari tedbir yükümlülüğünü destekler.
- Log ve denetim izi: Watchdog modülü ile kullanıcı eylemleri, oturum açma denemeleri ve veri değişiklikleri kayıt altına alınır. Denetim ve veri ihlali soruşturması için kritik olan log bütünlüğü sağlanır.
Drupal'ın bu yapısal avantajları, dünyanın en hassas veri işleyen kurumlarının (Beyaz Saray, NASA, Avrupa Komisyonu, Avustralya GovCMS, dünyanın en iyi 100 üniversitesinin yaklaşık dörtte üçü) tercih sebebinin neden tesadüf olmadığını gösterir.
KVKK ve GDPR İçin Kullanılan Drupal Modülleri
Drupal ekosisteminde KVKK ve GDPR uyumunu destekleyen olgun modüller mevcuttur. Hiçbiri tek başına "kurum KVKK uyumlu" demek için yeterli değildir; ancak doğru kombinasyonla teknik gereksinimlerin büyük bölümü karşılanır.
| Modül | Görevi | Tipik Kullanım |
|---|---|---|
| EU Cookie Compliance | Çerez banner'ı, açık rıza yönetimi, kategori bazlı izin, rıza kaydı | KVKK ve GDPR çerez yükümlülüğü; opt-in mantığıyla yapılandırılır |
| Klaro Cookie Consent | Hafif, üçüncü taraf script kontrolü güçlü açık rıza yönetimi | Performans odaklı çerez yönetimi tercih edenler için alternatif |
| COOKiES | Erişilebilirlik öncelikli, üçüncü taraf entegrasyonu güçlü çerez yönetimi | WCAG uyumu kritik olan kamu ve üniversite siteleri |
| GDPR (contrib modül paketi) | Veri envanteri, unutulma hakkı, SAR, veri dışa aktarımı, anonimleştirme | Kullanıcı haklarının teknik karşılığı, alanlar için GDPR etiketleme |
| Webform | Form bazlı veri toplama, rıza onayı, gönderim yönetimi | Başvuru, kayıt, iletişim formlarında KVKK aydınlatma entegrasyonu |
| Login Security | Oturum açma güvenliği, brute force koruması, IP kısıtlama | Veri güvenliği yükümlülüğüne karşılık gelen teknik tedbir |
| Password Policy | Güçlü şifre politikası, periyodik şifre değişimi | Yönetici ve içerik editörü hesapları için zorunlu güvenlik katmanı |
Modül seçiminde göz önünde bulundurulması gereken kritik bir nokta: çerez yönetim modülleri yalnızca kendi alanlarındaki çerezleri kontrol edebilir. Google Analytics, Meta Pixel, Hotjar gibi dış scriptlerin tetiklenmesi rıza alınana kadar kod tarafında ertelenmelidir. EU Cookie Compliance'ın hasAgreed() JavaScript fonksiyonu bu kontrol için kullanılır; doğru yapılandırılmadığında banner görünür ama izinsiz çerezler yine çalışır — bu da denetimde KVKK ihlali olarak değerlendirilir.
Üniversite Sitelerinde KVKK Uyumu İçin Uygulama Adımları
Bir üniversite Drupal sitesinin KVKK uyumlu hâle getirilmesi yedi temel aşamada planlanır. Bu adımlar yalnızca teknik değil, idari ve organizasyonel boyutları da kapsar.
- Veri envanteri çıkarın: Hangi sayfalarda, hangi formlarda ve hangi entegrasyonlarda hangi kişisel veri toplanıyor? Aday öğrenci başvurusu, akademisyen profili, kütüphane üyelik, etkinlik kaydı, bülten aboneliği gibi alanlar tek tek listelenir.
- Aydınlatma metinlerini hazırlayın: Veri sorumlusu kimliği, işleme amacı, hukuki sebep, saklama süresi ve haklar her veri toplama noktasında ayrı ayrı sunulur. Tek bir genel "gizlilik politikası" yetmez; başvuru formunun aydınlatma metni ile bülten aboneliğininki farklıdır.
- Çerez yönetimini opt-in mantığıyla kurun: Zorunlu çerezler dışındaki tüm çerezler (analitik, pazarlama, sosyal medya) rıza alınana kadar tetiklenmemelidir. Bu Drupal tarafında EU Cookie Compliance, Klaro veya COOKiES ile yapılır; ancak Google Analytics ve Meta Pixel kod entegrasyonlarının da hasAgreed() ile koşullu hâle getirilmesi şarttır.
- Form üzerinde açık rıza kutuları ekleyin: Webform ile her başvuru, kayıt ve iletişim formuna ayrı açık rıza onayı eklenir. Önceden işaretlenmiş kutu kullanılmaz; rıza ispatlanabilir biçimde kaydedilir.
- Sahip hakları için süreç kurun: Kişinin verisine erişme, düzeltme, silme ve taşınabilirlik talepleri için [email protected] gibi tek bir iletişim kanalı, başvuru formu ve iç işleyiş prosedürü tanımlanır. Drupal GDPR modülü bu süreci teknik olarak destekler.
- VERBİS kaydını güncel tutun: Kurum veri sorumluları siciline kayıtlı olmalı, veri envanteri yıllık olarak güncellenmelidir. 2026'da VERBİS yükümlülüğü ihlalinin 17 milyon TL'ye kadar cezası vardır.
- Veri ihlali bildirim sürecini hazırlayın: Veri ihlali tespitinden itibaren 72 saat içinde Kurul'a bildirim yapılması gerekir. Bu süreyi yakalamak için olay yönetimi, log denetimi ve içsel iletişim protokolü önceden tanımlanır.
Drupal'da KVKK ve GDPR Uyumu Hakkında Sıkça Sorulan Sorular
Çerez bildirim banner'ı eklemek KVKK uyumu için yeterli mi?
Hayır. Çoğu sitenin yaptığı yaygın hata, bir çerez banner'ı koymak ve aynı anda Google Analytics ile Meta Pixel'i sayfa açılışında tetiklemektir. Bu durumda banner görünür ama izinsiz veri toplama zaten başlamış olur — KVKK Kurulu kararlarında bu açıkça ihlal kabul edilir. Doğru uygulama: zorunlu olmayan tüm çerezler ve dış scriptler kullanıcı açıkça onay verene kadar kod düzeyinde ertelenir. EU Cookie Compliance'ın hasAgreed() fonksiyonu ya da Klaro'nun script-blocking mekanizması bu kontrol için kullanılır.
Öğrenci başvuru formları KVKK kapsamında nasıl yönetilmeli?
Başvuru formları üniversitelerin en yüksek risk içeren veri toplama noktalarıdır çünkü TC kimlik, doğum tarihi, sağlık bilgisi, sınav puanı gibi geniş bir veri yelpazesi içerirler. Üç temel kural geçerlidir. Birincisi: yalnızca kabul süreci için zorunlu veriler toplanır; "bilgi olsun" diye gereksiz alan eklenmez. İkincisi: formun başında aydınlatma metni, sonunda ayrı bir açık rıza kutusu yer alır; rıza kutusu önceden işaretli olmamalıdır. Üçüncüsü: form gönderimi sonrası verilerin saklama süresi, kim tarafından görüneceği ve red durumunda ne kadar süre tutulup silineceği önceden tanımlanır. Webform ve Drupal GDPR modülü bu üç kuralın teknik karşılığını sağlar.
Drupal multisite kurulumlarında KVKK uyumu nasıl sağlanır?
Multisite mimaride her alt site teknik olarak ayrı bir varlık gibi davranır; bu hem avantaj hem sorumluluk getirir. Avantaj: her fakülte sitesi kendi veri sahasını yönetir ve farklı içerik politikaları uygulayabilir. Sorumluluk: tüm sitelerde tutarlı bir uyum standardı sağlamak gerekir. Pratik yaklaşım, ortak bir KVKK altyapısı kurulumu (çerez yönetim modülü, aydınlatma metinleri için merkezi blok yapısı, ortak iletişim kanalı) ile her alt sitenin yalnızca kendi formlarına özgü detayları yapılandırmasıdır. Bu sayede merkezi IT ekibi multisite genelinde standart bir uyum çizgisi tutturur; fakülteler ise kendi içerik özerkliklerini korur.