What is a Personal Data Inventory? 2026 Updated Guide

What is a Data Inventory? | Personal Data Protection Lawyer | Izmir Lawyer | Izmir Law Firm

Kişisel veri envanteri, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları tüm kişisel veri işleme faaliyetlerini detaylandırdıkları temel bir dokümandır. 30.12.2017 tarihli Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik (Madde 4/1-h) uyarınca yasal bir tanıma kavuşturulmuştur.

Güncel mevzuat ve Kişisel Verileri Koruma Kurumu (KVKK) rehberleri ışığında envanter; sadece basit bir veri listesi değil, kurumun veri işleme haritasını çıkaran kapsamlı bir analiz raporudur. Bir veri envanteri, işlenen verileri şu unsurlarla ilişkilendirerek detaylandırır:

• Kişisel veri işleme amaçları ve hukuki sebepleri.
• Veri kategorileri ve veri konusu kişi grupları.
• Aktarılan alıcı veya alıcı grupları.
• Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza (saklama) süreleri.
• Yabancı ülkelere aktarımı öngörülen kişisel veriler.
• Veri güvenliğine ilişkin alınan teknik ve idari tedbirler.

Envanter hazırlamak, veri sorumlusunun faaliyetleri kapsamında yürüttüğü her bir süreci tek tek irdelemesi, bu süreçlerdeki tüm faaliyetleri analiz etmesi ve hukuka aykırı bir veri işleme durumu olup olmadığını tespit etmesi anlamına gelir. Bu yönüyle envanter, veri sorumlusunun kendi süreçleri üzerinde gerçekleştirdiği bir özdenetim mekanizmasıdır.

Kişisel Veri Envanteri Neden Hazırlanmalıdır?

Kişisel veri envanteri, kurumunuz için sadece “bulundurulması gereken bir dosya” değil, KVKK uyum sürecinizin kalbidir. Bu belgenin hazırlanması, veri sorumluları için hem yasal bir zorunluluk hem de operasyonel süreçlerin sağlıklı işlemesi için bir temeldir. 

Envanter hazırlamanın temel amaçlarını ve kurumunuza sağladığı faydaları şu başlıklarla özetleyebiliriz:

• Hukuka Uyumun Sağlanması: Veri sorumlusunun tüm iş süreçlerinde Kanun’a aykırı bir veri işleme durumu olup olmadığının kolayca tespit edilmesine imkan tanır. 
• Özdenetim Mekanizması: Kişisel veri işleme faaliyetlerinin mevzuata uygunluğu konusunda kurumun kendi süreçlerini kontrol ettiği bir tür “kendi kendini denetleme” raporudur. 
• Şeffaflık ve Hesap Verilebilirlik: Kurumun veri işleme süreçlerinde tam şeffaflık sağlamasına ve hesap verilebilirlik ilkesine uygun hareket etmesine rehberlik eder. 
• Veri Güvenliği ve Risk Yönetimi: İşlenen verilerin sağladığı avantajların yanı sıra, veri güvenliğine dair risklerin ve ihlal ihtimallerinin analiz edilmesini sağlar. 

Envanter, aslında bir “Uyum Temeli” görevini görür. Kurumunuzun hazırlamak zorunda olduğu diğer tüm yasal belgeler bu envanterden beslenir:

• VERBİS Kaydı: Sicile (VERBİS) girilecek kategorik bilgiler ancak detaylı bir envanter çalışmasıyla doğru şekilde hazırlanabilir. 
• Aydınlatma ve Açık Rıza: Veri sahiplerine sunulan aydınlatma metinleri ve alınan açık rızaların kapsamı, envanterde yer alan amaç ve hukuki sebeplere dayanmalıdır. 
• Saklama ve İmha Politikası: Verilerin ne kadar süre saklanacağı ve hangi yöntemle yok edileceği envanterdeki “azami saklama süreleri” dikkate alınarak kurgulanır. 

Envanter ve VERBİS Arasındaki Farklar: Neden Sicile Kayıt Yetmez?

Uygulamada en sık karşılaşılan hatalardan biri, VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı yapıldığında envanter hazırlama yükümlülüğünün sona erdiğinin düşünülmesidir. Oysa VERBİS ve Kişisel Veri İşleme Envanteri, veriler açısından benzerlik gösterse de nitelik ve kapsam bakımından birbirinden tamamen farklıdır.

Kurum’un güncel rehberine göre bu iki kavram arasındaki temel farklar şunlardır:

Neden Her İkisi de Gereklidir? 

Yönetmelik uyarınca, Sicile (VERBİS) açıklanacak bilgiler mutlaka Kişisel Veri İşleme Envanterine dayalı olarak hazırlanmak zorundadır. Diğer bir deyişle, elinizde güncel ve detaylı bir envanter yoksa, VERBİS kaydınızın doğruluğunu ve hukuki geçerliliğini ispatlamanız mümkün olmayacaktır. Ayrıca, Kurul tarafından talep edilmesi durumunda envanterin ibraz edilmesi yasal bir zorunluluktur

Kimler Envanter Hazırlamakla Yükümlüdür?

Kişisel veri işleme envanteri hazırlama yükümlülüğü, tüm veri sorumluları için genel bir ödev değil; belirli kriterlere dayalı yasal bir zorunluluktur. Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca bu yükümlülüğün kapsamı şu şekilde belirlenmiştir:

• Sicile Kayıt Yükümlülüğü: Veri Sorumluları Sicili’ne (VERBİS) kayıt olmakla yükümlü olan tüm gerçek ve tüzel kişi veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamak zorundadır.
• İstisnalar ve Muafiyetler: Kurul tarafından Sicile kayıt yükümlülüğünden muaf tutulan veri sorumlularının envanter hazırlama zorunluluğu bulunmamaktadır. Ancak bu muafiyetin kapsamı, yıllık çalışan sayısı ve mali bilanço toplamı gibi kriterlere göre değişkenlik gösterebilir.

Özetle, işletmeniz VERBİS’e kayıt olmak zorundaysa, yasal uyumun ilk ve en önemli adımı olan detaylı veri envanterini hazırlamanız kaçınılmaz bir gerekliliktir.

9 Adımda Veri Envanteri Hazırlama Kılavuzu

Kişisel Verileri Koruma Kurumu (KVKK) tarafından yayımlanan güncel rehber, envanter hazırlama sürecini belirli bir metodolojiye bağlamıştır. Başarılı bir envanter çalışması için öncelikle hukuk, bilgi işlem ve insan kaynakları gibi birimlerden temsilcilerin yer aldığı yetkin bir ekip oluşturulması önerilir.

Hazırlık ekibi kurulduktan sonra takip edilmesi gereken 9 temel adım şunlardır:

• Teknik ve İdari Tedbirler: Veri güvenliğini sağlamak amacıyla her bir işleme faaliyeti için alınan güncel güvenlik önlemleri (Örn: Yetki matrisi, sızma testleri, gizlilik sözleşmeleri) envantere işlenmelidir.
• Süreç veya Faaliyet Bazında Tespit: Kurumun tüm iş süreçleri birimler bazında incelenmeli ve hangi faaliyetlerde kişisel veri içeren belgelerin elde edildiği tek tek belirlenmelidir.
• Veri Niteliklerinin Belirlenmesi: İşlenen her bir verinin “kişisel veri” mi yoksa “özel nitelikli kişisel veri” mi olduğu ayrıştırılmalıdır.
• Hukuki Sebebin Tespiti: Veri işleme faaliyetinin Kanun’un 5. veya 6. maddesinde yer alan hangi işleme şartına (Örn: Kanunlarda öngörülmesi, sözleşmenin ifası) dayandığı netleştirilmelidir.
• İşleme Amaçlarının Belirlenmesi: Her bir veri için spesifik, açık ve meşru bir işleme amacı (Örn: Maaş ödemelerinin yapılması, fiziksel mekan güvenliğinin sağlanması) atanmalıdır.
• Veri Konusu Kişi Grubu: Verinin kime ait olduğu (çalışan, ziyaretçi, tedarikçi yetkilisi, müşteri vb.) belirlenmelidir.
• Saklama Süresinin Belirlenmesi: Verilerin işlenme amaçları için gerekli olan azami muhafaza süresi veya mevzuatta öngörülen süre tespit edilmelidir.
• Alıcı Gruplarının Belirlenmesi: İşlenen verilerin hangi üçüncü taraflara (kamu kurumları, iş ortakları, tedarikçiler vb.) aktarıldığı dökümante edilmelidir.
• Yabancı Ülkelere Aktarım: Verilerin yurt dışına aktarılıp aktarılmadığı kontrol edilmeli ve Kanun’un 9. maddesindeki şartlara uyum analizi yapılmalıdır.

Azami Saklama Süreleri Belirlenirken Dikkat Edilmesi Gereken Kriterler

Kişisel verilerin ne kadar süreyle saklanacağı, veri envanterinin en teknik ve hata payı yüksek bölümlerinden biridir. 6698 sayılı Kanun’un 4. maddesi uyarınca kişisel veriler, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilebilir. Bu sürelerin sonunda verilerin imha edilmesi yasal bir zorunluluktur.

Veri sorumluları, mevzuatta açık bir süre belirtilmeyen durumlarda saklama süresini belirlerken Kişisel Verileri Koruma Kurumu’nun güncel rehberine göre şu kriterleri dikkate almalıdır:

• Sektörel Teamüller: İlgili veri kategorisinin işlenme amacı kapsamında, veri sorumlusunun faaliyet gösterdiği sektörde genel kabul görmüş süreler esas alınır.
• Hukuki İlişkinin Devamı: Veri konusu kişi ile tesis edilen (örneğin iş sözleşmesi veya üyelik) hukuki ilişkinin ne kadar süre devam edeceği göz önünde bulundurulur.
• Meşru Menfaat Süresi: İlgili verinin işlenmesine bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre değerlendirilir.
• Risk, Maliyet ve Sorumluluklar: Verinin saklanmasının yaratacağı olası riskler ve bu saklama faaliyetinden doğan hukuki sorumlulukların devam edeceği süre analiz edilir.
• Doğruluk ve Güncellik: Belirlenecek azami sürenin, verinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığına bakılır.
• Legal Obligations: It is checked whether the data controller is required by law to retain the data for a specific period.
• Statute of Limitations Periods: The statutory limitation periods for asserting a right related to the personal data in question play a critical role in determining the retention period.

Personal data may be processed for different purposes in different business processes; in this case, it is possible to determine separate retention periods for each process. If there is more than one retention period for the same data category, as a general rule, the longest period stipulated in the legislation will be taken as the basis for notification.

Example Scenario: How to Include HR Processes in Inventory?

Kişisel veri envanterini somutlaştırmak için kurumların en sık yürüttüğü temel süreci, Kişisel Verileri Koruma Kurumu’nun güncel rehberindeki örnekler üzerinden inceleyelim. Envanterde her faaliyet; departman, veri kategorisi, amaç, hukuki sebep ve saklama süresi gibi bileşenlerle eşleştirilmelidir.

Senaryo 1: İnsan Kaynakları – Çalışan Özlük Dosyası Oluşturma

Bir işletmenin İK departmanında yürüttüğü “Özlük Dosyası Oluşturma” faaliyeti envantere şu şekilde işlenir:

• Department/Process: Human Resources / Creating Employee Personnel Files.
• Data Category and Data: Identity Information (Name-Surname, Turkish Republic Identity Number), Contact Information (Phone Number).
• Purpose of Processing: Fulfilling obligations arising from employment contracts and legislation for employees.
• Legal Basis: It must be explicitly stipulated in the laws and be a legal obligation of the data controller.
• Storage Time: Ten years from the date of leaving the job.
• Buyer Groups: Social Security Institution (SGK) and other authorized public institutions and organizations.

Bu örnekte görüldüğü üzere, envanter hazırlarken veriler “kategorik” olarak bırakılmamalı; hangi verinin hangi amaçla ve ne kadar süreyle işlendiği net bir şekilde dökümante edilmelidir. Ayrıca her bir faaliyet için sızma testleri, erişim yetki matrisi ve gizlilik sözleşmeleri gibi teknik ve idari tedbirler de ilgili satıra eklenmelidir.

Get legal protection for your inventory processes with an İzmir GDPR lawyer.

Preparing a Personal Data Processing Inventory is not merely a technical process of filling out a table; it is a comprehensive risk analysis requiring all of an organization's workflows to be subjected to legal scrutiny. It is a legal obligation for every data controller to create a living inventory structure tailored to their unique activities and processes. An inaccurate or incomplete inventory not only risks administrative fines but also undermines all other compliance documents, such as data protection notices and data destruction policies.

Efes Hukuk Bürosu olarak, başta İzmir’de yer alan müvekkillerimize KVKK uyum süreçlerinde profesyonel danışmanlık hizmeti sunmaktayız. Uzman ekibimizle birlikte;

• By conducting a detailed analysis of your business processes, we create your Personal Data Processing Inventory in compliance with the legislation.,
• We prepare legally valid Information Texts and Explicit Consent forms based on inventory data.,
• VERBİS manages your registration processes in full compliance with the inventory.,
• We provide legal guidance in determining the necessary technical and administrative measures for data security.

The Personal Data Processing Inventory is a document kept within the data controller's organization and not publicly accessible; however, it is mandatory to submit it upon request by the Personal Data Protection Board. Therefore, keeping your inventory up-to-date and ready for audit at all times is of critical importance.

To receive legal advice on this matter, please contact us. Contact page.

Address: Nergis Neighborhood, Girne Boulevard No: 83, Floor 2, Apartment 2, Karşıyaka, İzmir

E-mail: info@efeshukuk.com

Phone: +90 534 415 52 56