5651 sayılı Kanun, Türkiye’de internet yayınlarını düzenleyen ve içerik, yer, erişim ile toplu kullanım sağlayıcılarına sorumluluk yükleyen kanundur. Loglama yükümlülüğü ise bu sağlayıcıların, kim hangi kaynağa ne zaman eriştiğini gösteren erişim ve trafik kayıtlarını mevzuatın belirlediği süre boyunca, zaman damgasıyla ve sonradan değiştirilemez biçimde saklamasını gerektirir.
Bu rehber, 2026 itibarıyla yükümlülüğün kimi kapsadığını, hangi kayıtların tutulduğunu, çözüm tiplerini ve çözüm seçerken bakılacak kriterleri nesnel biçimde özetler. Reklam amacı taşımaz; hedefi, satın alma kararınızı kolaylaştıracak bir alıcı rehberi olmaktır.
5651 loglama nedir?
5651 sayılı Kanun 2007 yılında yürürlüğe girdi ve internet ortamındaki yayınların düzenlenmesini, sağlayıcıların sorumluluklarını tanımladı. Loglama, bu kanun ve ilgili yönetmelikler kapsamında erişim ve trafik kayıtlarının tutulması anlamına gelir.
Bir erişim kaydı tipik olarak kaynak IP adresini, erişilen hedefi ve işlemin zaman bilgisini içerir. Kanun, bu kayıtların doğru tutulmasını ve bütünlüğünün korunmasını ister. Yani kayıt üretildikten sonra üzerinde oynanmadığının kanıtlanabilir olması gerekir. Bu nedenle kayıtlar nitelikli zaman damgasıyla mühürlenir.
Düzenleyici otorite Bilgi Teknolojileri ve İletişim Kurumu’dur (BTK). Yer sağlayıcı olarak faaliyet gösteren kuruluşlar BTK nezdinde kayıtlı olmak ve talep halinde kayıtları yetkili mercilere sunabilmek durumundadır. Kişisel veri boyutu ise 6698 sayılı KVKK (2016) ile birlikte değerlendirilir.
5651 log tutma yükümlülüğü kimi kapsar?
Kanun, internet üzerindeki rolüne göre dört sağlayıcı tipi tanımlar ve her birine farklı sorumluluk yükler. Bir kurumun hangi kategoriye girdiğini bilmesi, tutması gereken kayıt türünü belirler.
| Sağlayıcı tipi | Rolü | Tipik log sorumluluğu |
|---|---|---|
| İçerik sağlayıcı | İçeriği üreten taraf | Ürettiği içerikten sorumludur |
| Yer sağlayıcı | Sistem ve içeriği barındıran taraf | Erişim ve trafik kayıtlarını mevzuattaki süre boyunca tutar |
| Erişim sağlayıcı | İnternet erişimi veren taraf | Abonelere ait erişim kayıtlarını tutar |
| Toplu kullanım sağlayıcı | Ortak kullanıma internet açan işletme | İç IP dağıtım kayıtlarını zaman damgalı tutar |
Örneğin misafirlerine kablosuz internet veren bir otel ya da kafe çoğu durumda toplu kullanım sağlayıcı sayılır ve iç ağ trafiğine dair kayıt tutmakla yükümlü olur. Web uygulamasını sunucuda barındıran bir şirket ise yer sağlayıcı sorumluluğuna girebilir. Kategoriyi net belirlemek, gereğinden az ya da fazla kayıt tutma riskini azaltır.
hangi kayıtlar tutulur, ne kadar süre ve neden imzalanır?
Tutulan veri, kim hangi kaynağa ne zaman eriştiğini gösteren erişim ve trafik bilgisidir. Kaydın içeriği kadar bütünlüğü de önemlidir. Bir kayıt, üretildiği andaki haliyle korunmuş olduğunu kanıtlayamıyorsa hukuki değeri zayıflar.
Bu yüzden kayıtlar nitelikli zaman damgasıyla mühürlenir. Zaman damgası, kaydın belirtilen anda var olduğunu ve sonradan değiştirilmediğini bağımsız biçimde doğrular. “BTK log imzalama” olarak aranan konu budur: kayıtların imzalanıp zaman damgasıyla sabitlenmesi.
Saklama süresi, sağlayıcı tipine göre yönetmelikte asgari ve azami olarak belirlenir. Bu süre uygulamada genellikle bir ila iki yıl aralığındadır, ancak güncel ve kesin süreyi yürürlükteki yönetmelikten teyit etmek gerekir. Süre dolduğunda kayıtların, KVKK ilkeleri gereği amacı bittiği için silinmesi ya da mevzuata uygun biçimde yönetilmesi beklenir. Bu da saklama ile veri minimizasyonu arasında denge kurmayı gerektirir.
hangi 5651 uyumlu çözüm tipleri var?
Yükümlülüğü karşılamanın tek bir yolu yoktur. Kurumun büyüklüğü, teknik ekibi ve risk iştahına göre üç temel yaklaşım vardır.
Kurum içi loglama, kayıt toplama ve arşivleme sunucularını kurumun kendi altyapısında çalıştırmasıdır. Kontrol en yüksek seviyededir, fakat zaman damgası entegrasyonu, yedekleme, süre yönetimi ve bütünlük kontrolü tamamen iç ekibin sorumluluğundadır. Küçük ekiplerde bu yük ağır gelebilir.
Yönetilen ya da bulut tabanlı loglama, kayıt toplama, zaman damgalama ve arşivlemenin bir hizmet sağlayıcı tarafından işletilmesidir. Bu hizmeti veren taraf AWS, Azure ve Google gibi küresel bir bulut platformu ya da yurt içinde konumlu bir sağlayıcı olabilir ve aralarındaki temel fark çoğu zaman kaydın fiziksel olarak nerede tutulduğudur. Kurum operasyonel yükü devreder, ancak verinin nerede tutulduğu ve KVKK uyumunun nasıl sağlandığı kritik soru haline gelir. Verinin yurt içinde kalması bu noktada belirleyici olur.
Hizmet sağlayıcı entegre yaklaşımında ise barındırma hizmetini veren yer sağlayıcı, erişim loglamayı altyapının bir parçası olarak sunar. Bu modelde loglama, sunucunun ve ağın çalıştığı katmanda üretilir. Barındırma ile kayıt tutmanın aynı sağlayıcıda olması sorumluluk sınırını netleştirir.
çözüm seçerken hangi kriterlere bakılır?
Sağlayıcı ya da yöntem karşılaştırırken kafa kafaya özellik listesi yerine, mevzuatın gerçekten sorduğu kriterlere odaklanmak daha güvenlidir. Aşağıdaki tablo, her kriterin neden önemli olduğunu ve sağlayıcıya sorulacak doğrulama sorusunu verir.
| Kriter | Neden önemli | Doğrulama sorusu |
|---|---|---|
| Zaman damgası ve imza | Kaydın değiştirilmediğini kanıtlar | Kayıtlar nitelikli zaman damgasıyla mühürleniyor mu? |
| Saklama süresi | Mevzuatın istediği süreyi karşılar | Asgari ve azami süre otomatik yönetiliyor mu? |
| KVKK uyumu | Kişisel veri işlemenin meşruluğu | Kayıtlar şifreli ve erişimi sınırlı mı? |
| Bütünlük ve arşiv | Kayıt sonradan bozulmaz | Bütünlük mührü ve yedekli arşiv var mı? |
| Erişim ve raporlama | Talep halinde kayıt sunulur | Yetkili talebine uygun format üretiliyor mu? |
| Veri yeri | Veri egemenliği ve KVKK | Kayıtlar Türkiye’de mi tutuluyor? |
Bu kriterler arasında veri yeri sorusu 2026’da daha çok öne çıkıyor. Kayıtların yurt dışındaki bir altyapıda tutulması, hem KVKK açısından ek değerlendirme hem de yetkili talebine yanıt hızında gecikme riski doğurabilir.
Layer’ın 5651 ve KVKK yaklaşımı nasıl işler?
Piyasadaki seçeneklerden biri olan Layer, entegre yaklaşıma somut bir örnektir; bağımsız bir Türk kurumsal bulut sağlayıcısıdır. Bu bölüm bir öneri değil, modelin pratikte nasıl işlediğini göstermek içindir.
Layer, 2014’te kurulmuş ve kendi ağ ile depolama altyapısını (kurumsal flash depolama) İstanbul’daki veri merkezinde işleten bir sağlayıcıdır. Barındırma tarafında yönetilen tek kiracılı sanal veri merkezi (LayerCloud, yönetilen sanallaştırma üzerinde, müşteri tarafında konsol erişimiyle) sunar. 5651 erişim loglama, bu altyapının içinde, sunucu ve ağ katmanında üretilir.
KVKK ve veri egemenliği tarafında belirleyici nokta, verinin Türkiye’de kalmasıdır. Kayıtlar yurt içinde tutulduğunda altyapı seviyesinde KVKK uyumu ve yetkili talebine yanıt kolaylaşır. Şifreli yedekleme için resmi Veeam Cloud Service Provider statüsü, felaket senaryosu için İstanbul ile Bursa arasında coğrafi yedekli kurtarma bulunur. Layer, BTK nezdinde kayıtlı bir yer sağlayıcıdır (AS59886) ve destekte çağrı merkezi yerine doğrudan mühendise erişim modelini kullanır. Şirket, AWS, Azure ve Google gibi küresel bulut platformlarının yeniden satıcısı ya da GPU barındırma sağlayıcısı değildir.
sıkça sorulan sorular
5651 loglama nedir? 5651 sayılı Kanun kapsamında, internet sağlayıcılarının kim hangi kaynağa ne zaman eriştiğini gösteren erişim ve trafik kayıtlarını, zaman damgasıyla ve mevzuattaki süre boyunca değiştirilemez biçimde tutmasıdır.
Yer sağlayıcı hangi logları ne kadar süre tutmalı? Yer sağlayıcı, barındırdığı sistemlere ait erişim ve trafik kayıtlarını tutar. Süre, sağlayıcı tipine göre yönetmelikte belirlenir ve uygulamada genellikle bir ila iki yıl aralığındadır. Kesin süre yürürlükteki yönetmelikten teyit edilmelidir.
Loglar neden zaman damgasıyla imzalanır? Zaman damgası, kaydın belirtilen anda üretildiğini ve sonradan değiştirilmediğini bağımsız olarak kanıtlar. İmza olmadan kaydın bütünlüğü tartışmalı hale gelir ve hukuki değeri zayıflar. “BTK log imzalama” ile aranan konu budur.
Kurum içi mi yoksa bulut loglama mı seçmeli? Kurum içi loglama en yüksek kontrolü verir ama zaman damgası, arşiv ve süre yönetimi yükünü iç ekibe bırakır. Bulut ya da yönetilen loglama bu yükü devreder. Seçimde belirleyici soru, verinin nerede tutulduğu ve KVKK uyumudur.
5651 loglama KVKK ile çelişir mi? Çelişmez, ama birlikte yönetilmelidir. 5651 kayıt tutmayı ister, KVKK ise bu kayıtların amaçla sınırlı, şifreli ve süresi dolduğunda uygun biçimde yönetilmesini bekler. Verinin yurt içinde tutulması bu dengeyi kurmayı kolaylaştırır.