Kişisel Veri Envanteri Nedir? 2026 Güncel Rehber

Veri Envanteri Nedir | KVKK Avukatı | İzmir Avukat | İzmir Avukatlık Bürosu

Kişisel veri envanteri, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları tüm kişisel veri işleme faaliyetlerini detaylandırdıkları temel bir dokümandır. 30.12.2017 tarihli Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik (Madde 4/1-h) uyarınca yasal bir tanıma kavuşturulmuştur.

Güncel mevzuat ve Kişisel Verileri Koruma Kurumu (KVKK) rehberleri ışığında envanter; sadece basit bir veri listesi değil, kurumun veri işleme haritasını çıkaran kapsamlı bir analiz raporudur. Bir veri envanteri, işlenen verileri şu unsurlarla ilişkilendirerek detaylandırır:

• Kişisel veri işleme amaçları ve hukuki sebepleri.
• Veri kategorileri ve veri konusu kişi grupları.
• Aktarılan alıcı veya alıcı grupları.
• Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza (saklama) süreleri.
• Yabancı ülkelere aktarımı öngörülen kişisel veriler.
• Veri güvenliğine ilişkin alınan teknik ve idari tedbirler.

Envanter hazırlamak, veri sorumlusunun faaliyetleri kapsamında yürüttüğü her bir süreci tek tek irdelemesi, bu süreçlerdeki tüm faaliyetleri analiz etmesi ve hukuka aykırı bir veri işleme durumu olup olmadığını tespit etmesi anlamına gelir. Bu yönüyle envanter, veri sorumlusunun kendi süreçleri üzerinde gerçekleştirdiği bir özdenetim mekanizmasıdır.

Kişisel Veri Envanteri Neden Hazırlanmalıdır?

Kişisel veri envanteri, kurumunuz için sadece “bulundurulması gereken bir dosya” değil, KVKK uyum sürecinizin kalbidir. Bu belgenin hazırlanması, veri sorumluları için hem yasal bir zorunluluk hem de operasyonel süreçlerin sağlıklı işlemesi için bir temeldir. 

Envanter hazırlamanın temel amaçlarını ve kurumunuza sağladığı faydaları şu başlıklarla özetleyebiliriz:

• Hukuka Uyumun Sağlanması: Veri sorumlusunun tüm iş süreçlerinde Kanun’a aykırı bir veri işleme durumu olup olmadığının kolayca tespit edilmesine imkan tanır. 
• Özdenetim Mekanizması: Kişisel veri işleme faaliyetlerinin mevzuata uygunluğu konusunda kurumun kendi süreçlerini kontrol ettiği bir tür “kendi kendini denetleme” raporudur. 
• Şeffaflık ve Hesap Verilebilirlik: Kurumun veri işleme süreçlerinde tam şeffaflık sağlamasına ve hesap verilebilirlik ilkesine uygun hareket etmesine rehberlik eder. 
• Veri Güvenliği ve Risk Yönetimi: İşlenen verilerin sağladığı avantajların yanı sıra, veri güvenliğine dair risklerin ve ihlal ihtimallerinin analiz edilmesini sağlar. 

Envanter, aslında bir “Uyum Temeli” görevini görür. Kurumunuzun hazırlamak zorunda olduğu diğer tüm yasal belgeler bu envanterden beslenir:

• VERBİS Kaydı: Sicile (VERBİS) girilecek kategorik bilgiler ancak detaylı bir envanter çalışmasıyla doğru şekilde hazırlanabilir. 
• Aydınlatma ve Açık Rıza: Veri sahiplerine sunulan aydınlatma metinleri ve alınan açık rızaların kapsamı, envanterde yer alan amaç ve hukuki sebeplere dayanmalıdır. 
• Saklama ve İmha Politikası: Verilerin ne kadar süre saklanacağı ve hangi yöntemle yok edileceği envanterdeki “azami saklama süreleri” dikkate alınarak kurgulanır. 

Envanter ve VERBİS Arasındaki Farklar: Neden Sicile Kayıt Yetmez?

Uygulamada en sık karşılaşılan hatalardan biri, VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı yapıldığında envanter hazırlama yükümlülüğünün sona erdiğinin düşünülmesidir. Oysa VERBİS ve Kişisel Veri İşleme Envanteri, veriler açısından benzerlik gösterse de nitelik ve kapsam bakımından birbirinden tamamen farklıdır.

Kurum’un güncel rehberine göre bu iki kavram arasındaki temel farklar şunlardır:

Neden Her İkisi de Gereklidir? 

Yönetmelik uyarınca, Sicile (VERBİS) açıklanacak bilgiler mutlaka Kişisel Veri İşleme Envanterine dayalı olarak hazırlanmak zorundadır. Diğer bir deyişle, elinizde güncel ve detaylı bir envanter yoksa, VERBİS kaydınızın doğruluğunu ve hukuki geçerliliğini ispatlamanız mümkün olmayacaktır. Ayrıca, Kurul tarafından talep edilmesi durumunda envanterin ibraz edilmesi yasal bir zorunluluktur

Kimler Envanter Hazırlamakla Yükümlüdür?

Kişisel veri işleme envanteri hazırlama yükümlülüğü, tüm veri sorumluları için genel bir ödev değil; belirli kriterlere dayalı yasal bir zorunluluktur. Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca bu yükümlülüğün kapsamı şu şekilde belirlenmiştir:

• Sicile Kayıt Yükümlülüğü: Veri Sorumluları Sicili’ne (VERBİS) kayıt olmakla yükümlü olan tüm gerçek ve tüzel kişi veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamak zorundadır.
• İstisnalar ve Muafiyetler: Kurul tarafından Sicile kayıt yükümlülüğünden muaf tutulan veri sorumlularının envanter hazırlama zorunluluğu bulunmamaktadır. Ancak bu muafiyetin kapsamı, yıllık çalışan sayısı ve mali bilanço toplamı gibi kriterlere göre değişkenlik gösterebilir.

Özetle, işletmeniz VERBİS’e kayıt olmak zorundaysa, yasal uyumun ilk ve en önemli adımı olan detaylı veri envanterini hazırlamanız kaçınılmaz bir gerekliliktir.

9 Adımda Veri Envanteri Hazırlama Kılavuzu

Kişisel Verileri Koruma Kurumu (KVKK) tarafından yayımlanan güncel rehber, envanter hazırlama sürecini belirli bir metodolojiye bağlamıştır. Başarılı bir envanter çalışması için öncelikle hukuk, bilgi işlem ve insan kaynakları gibi birimlerden temsilcilerin yer aldığı yetkin bir ekip oluşturulması önerilir.

Hazırlık ekibi kurulduktan sonra takip edilmesi gereken 9 temel adım şunlardır:

• Teknik ve İdari Tedbirler: Veri güvenliğini sağlamak amacıyla her bir işleme faaliyeti için alınan güncel güvenlik önlemleri (Örn: Yetki matrisi, sızma testleri, gizlilik sözleşmeleri) envantere işlenmelidir.
• Süreç veya Faaliyet Bazında Tespit: Kurumun tüm iş süreçleri birimler bazında incelenmeli ve hangi faaliyetlerde kişisel veri içeren belgelerin elde edildiği tek tek belirlenmelidir.
• Veri Niteliklerinin Belirlenmesi: İşlenen her bir verinin “kişisel veri” mi yoksa “özel nitelikli kişisel veri” mi olduğu ayrıştırılmalıdır.
• Hukuki Sebebin Tespiti: Veri işleme faaliyetinin Kanun’un 5. veya 6. maddesinde yer alan hangi işleme şartına (Örn: Kanunlarda öngörülmesi, sözleşmenin ifası) dayandığı netleştirilmelidir.
• İşleme Amaçlarının Belirlenmesi: Her bir veri için spesifik, açık ve meşru bir işleme amacı (Örn: Maaş ödemelerinin yapılması, fiziksel mekan güvenliğinin sağlanması) atanmalıdır.
• Veri Konusu Kişi Grubu: Verinin kime ait olduğu (çalışan, ziyaretçi, tedarikçi yetkilisi, müşteri vb.) belirlenmelidir.
• Saklama Süresinin Belirlenmesi: Verilerin işlenme amaçları için gerekli olan azami muhafaza süresi veya mevzuatta öngörülen süre tespit edilmelidir.
• Alıcı Gruplarının Belirlenmesi: İşlenen verilerin hangi üçüncü taraflara (kamu kurumları, iş ortakları, tedarikçiler vb.) aktarıldığı dökümante edilmelidir.
• Yabancı Ülkelere Aktarım: Verilerin yurt dışına aktarılıp aktarılmadığı kontrol edilmeli ve Kanun’un 9. maddesindeki şartlara uyum analizi yapılmalıdır.

Azami Saklama Süreleri Belirlenirken Dikkat Edilmesi Gereken Kriterler

Kişisel verilerin ne kadar süreyle saklanacağı, veri envanterinin en teknik ve hata payı yüksek bölümlerinden biridir. 6698 sayılı Kanun’un 4. maddesi uyarınca kişisel veriler, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilebilir. Bu sürelerin sonunda verilerin imha edilmesi yasal bir zorunluluktur.

Veri sorumluları, mevzuatta açık bir süre belirtilmeyen durumlarda saklama süresini belirlerken Kişisel Verileri Koruma Kurumu’nun güncel rehberine göre şu kriterleri dikkate almalıdır:

• Sektörel Teamüller: İlgili veri kategorisinin işlenme amacı kapsamında, veri sorumlusunun faaliyet gösterdiği sektörde genel kabul görmüş süreler esas alınır.
• Hukuki İlişkinin Devamı: Veri konusu kişi ile tesis edilen (örneğin iş sözleşmesi veya üyelik) hukuki ilişkinin ne kadar süre devam edeceği göz önünde bulundurulur.
• Meşru Menfaat Süresi: İlgili verinin işlenmesine bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre değerlendirilir.
• Risk, Maliyet ve Sorumluluklar: Verinin saklanmasının yaratacağı olası riskler ve bu saklama faaliyetinden doğan hukuki sorumlulukların devam edeceği süre analiz edilir.
• Doğruluk ve Güncellik: Belirlenecek azami sürenin, verinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığına bakılır.
• Yasal Yükümlülükler: Veri sorumlusunun bir kanun hükmü gereği o veriyi saklamak zorunda olduğu bir süre olup olmadığı kontrol edilir.
• Zamanaşımı Süreleri: İlgili kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen yasal zamanaşımı süreleri saklama süresinin belirlenmesinde kritik rol oynar.

Bir kişisel veri farklı iş süreçlerinde farklı amaçlarla işlenebilir; bu durumda her bir süreç için ayrı saklama süreleri belirlenmesi mümkündür. Eğer aynı veri kategorisi için birden fazla saklama süresi söz konusuysa, genel kural olarak mevzuatta öngörülen en uzun süre esas alınarak bildirim yapılır.

Örnek Senaryo: İK Süreçleri Envantere Nasıl İşlenir?

Kişisel veri envanterini somutlaştırmak için kurumların en sık yürüttüğü temel süreci, Kişisel Verileri Koruma Kurumu’nun güncel rehberindeki örnekler üzerinden inceleyelim. Envanterde her faaliyet; departman, veri kategorisi, amaç, hukuki sebep ve saklama süresi gibi bileşenlerle eşleştirilmelidir.

Senaryo 1: İnsan Kaynakları – Çalışan Özlük Dosyası Oluşturma

Bir işletmenin İK departmanında yürüttüğü “Özlük Dosyası Oluşturma” faaliyeti envantere şu şekilde işlenir:

• Departman/Süreç: İnsan Kaynakları / Çalışan Özlük Dosyası Oluşturma.
• Veri Kategorisi ve Veri: Kimlik (Ad-Soyad, T.C. Kimlik No), İletişim (Telefon No).
• İşleme Amacı: Çalışanlar için iş akdi ve mevzuat kaynaklı yükümlülüklerin yerine getirilmesi.
• Hukuki Sebep: Kanunlarda açıkça öngörülmesi ve veri sorumlusunun hukuki yükümlülüğü.
• Saklama Süresi: İşten ayrılma tarihinden itibaren 10 yıl.
• Alıcı Grupları: SGK ve diğer yetkili kamu kurum ve kuruluşları.

Bu örnekte görüldüğü üzere, envanter hazırlarken veriler “kategorik” olarak bırakılmamalı; hangi verinin hangi amaçla ve ne kadar süreyle işlendiği net bir şekilde dökümante edilmelidir. Ayrıca her bir faaliyet için sızma testleri, erişim yetki matrisi ve gizlilik sözleşmeleri gibi teknik ve idari tedbirler de ilgili satıra eklenmelidir.

İzmir KVKK Avukatı ile Envanter Süreçlerinizde Hukuki Güvence

Kişisel Veri İşleme Envanteri hazırlamak, yalnızca teknik bir tablo doldurma işlemi değil; kurumun tüm iş akışlarının hukuki bir süzgeçten geçirilmesini gerektiren kapsamlı bir risk analizidir. Her veri sorumlusunun, kendi özgün faaliyet ve süreçlerine uygun, yaşayan bir envanter yapısı kurgulaması yasal bir zorunluluktur. Hatalı veya eksik hazırlanan bir envanter; sadece idari para cezası riski yaratmakla kalmaz, aynı zamanda aydınlatma metinleri ve imha politikaları gibi diğer tüm uyum belgelerinin de sakatlanmasına yol açar.

Efes Hukuk Bürosu olarak, başta İzmir’de yer alan müvekkillerimize KVKK uyum süreçlerinde profesyonel danışmanlık hizmeti sunmaktayız. Uzman ekibimizle birlikte;

• İş süreçlerinizin detaylı analizini yaparak mevzuata uygun Kişisel Veri İşleme Envanterinizi oluşturuyor,
• Envanter verilerine dayalı, hukuken geçerli Aydınlatma Metinleri ve Açık Rıza formlarını hazırlıyor,
• VERBİS kayıt süreçlerinizi envanterle tam uyumlu şekilde yönetiyor,
• Veri güvenliğine yönelik gerekli teknik ve idari tedbirlerin belirlenmesinde hukuki rehberlik sağlıyoruz.

Kişisel Veri İşleme Envanteri, veri sorumlusunun bünyesinde muhafaza edilen ve kamuya açık olmayan bir belgedir; ancak Kişisel Verileri Koruma Kurulu tarafından talep edilmesi durumunda ibraz edilmesi zorunludur. Bu nedenle, envanterinizin her an denetime hazır ve güncel tutulması kritik önem arz eder.

Konuya ilişkin hukuki danışmanlık almak için bizim ile iletişime geçebilirsiniz.

Adres: Nergis Mahallesi Girne Bulvarı No: 83 K:2 D:2 Karşıyaka İzmir

E-posta: info@efeshukuk.com

Telefon: +90 534 415 52 56