KVKK uyumluluk sürecinin ilk ve en kritik adımı, kişisel veri envanteri hazırlamaktır. Neyi işlediğinizi bilmeden neyi korumanız gerektiğini bilemezsiniz. Ve ne yazık ki çoğu işletme, uyumluluğa başlarken bu temel adımı atlayıp daha "heyecanlı" konulara (aydınlatma metni, güvenlik önlemleri) atlıyor. Sonuç: eksik, tutarsız ve yasal denetimlerde sınıfta kalacak bir uyumluluk dosyası. Bu rehberde kişisel veri envanterinin ne olduğunu, nasıl hazırlanacağını ve hangi alanları içermesi gerektiğini pratik şekilde anlatıyoruz. Kişisel Veri Envanteri Nedir? Kişisel veri envanteri, bir işletmenin işlediği tüm kişisel verilerin sistematik olarak belgelendirildiği dokümandır. Hangi verileri, kimden, nasıl, hangi amaçla topladığınızı, nerede sakladığınızı, kimlere aktardığınızı ve ne kadar süre sakladığınızı gösteren kapsamlı bir harita. KVKK'ya göre veri envanteri, veri işleme süreçlerinin şeffaf ve denetlenebilir olmasını sağlar. VERBİS kaydı için de temel veri kaynağıdır. Envanterde Bulunması Gereken Alanlar 1. Veri Kategorisi Hangi tür kişisel verileri işliyorsunuz? Genel kategoriler: kimlik bilgisi (ad-soyad, TC), iletişim bilgisi (telefon, e-posta, adres), finansal bilgi (banka hesabı, fatura bilgisi), eğitim/meslek bilgisi, istihdam bilgisi, müşteri işlem bilgisi, işlem güvenliği bilgisi (IP, log), görsel/işitsel kayıt. Özel nitelikli kişisel veriler ayrı belirtilmeli: Sağlık, din, siyasi görüş, ceza mahkumiyeti, biyometrik vb. 2. Veri Sahipleri Bu verileri kimden topluyorsunuz? Veri sahibi grupları: müşteriler, çalışanlar, çalışan adayları, tedarikçiler, ziyaretçiler, iş ortakları, aile bireyleri. 3. İşleme Amacı Bu veriyi neden işliyorsunuz? KVKK, her veri işleme faaliyetinin belirli bir amaca hizmet etmesini ve bu amacın belgelenmesini gerektirir. Örnekler: sözleşmenin ifası, hizmet sunumu, yasal yükümlülükler, müşteri memnuniyeti analizi, pazarlama faaliyetleri, güvenlik kamerası izleme, çalışan performans değerlendirmesi. 4. Hukuki Sebep KVKK'da kişisel veri işlenebilmesi için belirli hukuki sebepler tanımlanmıştır:
Veri sahibinin açık rızası Kanunlarda açıkça öngörülmesi Fiili imkansızlık nedeniyle rızanın alınamaması (hayati tehlike) Sözleşmenin kurulması veya ifası Veri sorumlusunun hukuki yükümlülüğü Veri sahibi tarafından alenileştirilme Hakların tesisi, kullanılması, korunması Meşru menfaat (veri sahibinin temel hak ve özgürlüklerine zarar vermemek şartıyla)
Her veri işleme faaliyetinin hangi hukuki sebebe dayandığı açıkça belirtilmelidir. 5. Veri Toplama Yöntemi Bu veriyi nasıl topluyorsunuz? Yöntemler: web formu, kağıt form, e-posta, telefon, yüz yüze görüşme, sözleşme, kamera kaydı, otomatik sistemler (cookie, log). 6. Saklama Süresi Bu veriyi ne kadar süre saklayacaksınız? KVKK, veri saklama süresinin amaçla sınırlı olmasını gerektirir — amaç ortadan kalktığında veri imha edilmelidir. Örnek süreler: Fatura/muhasebe belgeleri (VUK gereği 10 yıl), iş sözleşmeleri (10 yıl), CCTV kayıtları (1-3 ay), çerez bilgileri (2 yıl), pazarlama listeleri (rıza devam ettiği sürece). 7. Saklama Ortamı Veri nerede saklanıyor? Ortamlar: veritabanı (hangi veritabanı, hangi sunucu), fiziksel dosya (hangi dolap, hangi oda), bulut (hangi sağlayıcı, hangi bölge), yedek ortamlar. 8. Veri Aktarımı Bu veriyi üçüncü kişilerle paylaşıyor musunuz? Yurt içi aktarım: Tedarikçiler, iş ortakları, muhasebe firması, avukat, ödeme sağlayıcı, kargo firması. Yurt dışı aktarım: Bulut hizmetleri (AWS, Google Cloud), e-posta sağlayıcıları, SaaS araçları. Yurt dışına aktarımda ek şartlar uygulanır — açık rıza veya yeterli koruma sağlayan ülkeler listesi. 9. Alınan Teknik ve İdari Tedbirler Bu veriyi nasıl koruyorsunuz? Teknik tedbirler (şifreleme, erişim kontrolü, güvenlik duvarı) ve idari tedbirler (politikalar, eğitim, gizlilik sözleşmeleri). 10. Veri Sorumlusu Temsilcisi Veri sorumlusunun iletişim noktası kim? İsim, unvan, iletişim bilgileri. Envanter Örnek Şablonu AlanÖrnekVeri kategorisiMüşteri iletişim bilgileriVeri sahibi grubuE-ticaret müşterileriVeri türüAd-soyad, telefon, e-posta, adresİşleme amacıSipariş teslimi ve iletişimHukuki sebepSözleşmenin ifasıToplama yöntemiWeb sitesi üzerinden formSaklama süresiMüşteri ilişkisi + 10 yıl (yasal zorunluluk)Saklama ortamıPostgreSQL veritabanı, Hetzner VPS FinlandiyaAktarımKargo firması (teslimat için), ödeme sağlayıcıTedbirlerTLS şifreleme, erişim kontrolü, yedekleme Envanter genellikle Excel tablosu veya özel bir yazılım kullanılarak hazırlanır. Her veri işleme faaliyeti için ayrı bir satır oluşturulur. Envanter Hazırlama Adımları Adım 1: Tüm Birimlerle Görüşme Her departmandan kişilerle görüşerek hangi verileri, nasıl işlediklerini öğrenin. İnsan kaynakları, muhasebe, satış, pazarlama, BT, operasyon. Herkesin kendine özel veri işleme süreçleri vardır. Adım 2: Sistemleri Tarama Kullanılan tüm sistemleri listeleyin: veritabanları, CRM, ERP, e-posta, bulut depolama, paylaşılan klasörler, üçüncü taraf SaaS araçları. "Gölge BT" (BT'nin bilgisi dışında kullanılan araçlar) özellikle dikkat edilmesi gereken bir alan. Adım 3: Fiziksel Belgeleri Dahil Etme Dijital veriler kadar, fiziksel belgeler de envantere dahil edilmeli: kağıt başvuru formları, sözleşmeler, ziyaretçi defteri, CCTV kayıtları, kurumsal arşiv. Adım 4: Veri Akışı Haritalama Veri nereye gidiyor? Bir müşteri web sitesine bilgilerini girdiğinde, bu bilgi hangi sistemlerden geçiyor, kimlerle paylaşılıyor, nereye yedekleniyor? Bu akış haritası, envanterin arkasındaki anlatıdır. Adım 5: Belgeleme ve Onay Envanteri formalize edin ve yönetim onayına sunun. Bu doküman, denetim zamanı en temel kanıttır. Adım 6: Düzenli Güncelleme Envanter statik bir doküman değildir. Yeni bir hizmet, yeni bir sistem, yeni bir süreç eklendiğinde envanter güncellenmelidir. En az yılda bir kez kapsamlı gözden geçirme yapılmalı. Yaygın Hatalar Sadece dijital verileri dahil etmek. Fiziksel belgeler de kişisel veridir. Çerezleri ve logları unutmak. IP adresi, cookie, oturum logları da kişisel veridir. "Gölge BT" araçlarını dışarıda bırakmak. Çalışanların kendi hesaplarıyla kullandığı SaaS araçları çoğu zaman envanter dışı kalır ama büyük risk oluşturur. Yurt dışı aktarımı belirtmemek. Google Workspace, Microsoft 365, Slack gibi araçlar veriyi yurt dışına aktarır — bu envanterde belirtilmelidir. Saklama süresini tanımsız bırakmak. "Gerekli olduğu sürece" gibi ifadeler yeterli değildir. Somut süreler tanımlanmalı. Envanteri bir kere hazırlayıp unutmak. Güncel tutulmayan envanter, denetim zamanında işe yaramaz. Envanter ve VERBİS İlişkisi VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), KVKK kapsamında belirli kriterlerdeki işletmelerin kayıt olmak zorunda olduğu bir sistemdir. VERBİS kaydında girmeniz gereken bilgilerin büyük kısmı, envanterdeki bilgilerle örtüşür. Bu yüzden envanter, VERBİS kaydının temelidir. İyi hazırlanmış bir envanteriniz varsa, VERBİS kaydını saatler içinde tamamlayabilirsiniz. Sonuç Kişisel veri envanteri, KVKK uyumluluğunun omurgasıdır. Eksik veya hatalı bir envanter, uyumluluk sürecinin geri kalanını da zayıflatır. Sistematik, kapsamlı ve düzenli güncellenen bir envanter hazırlamak, başlangıçta zaman alır ama uzun vadede uyumluluk çalışmalarını büyük ölçüde kolaylaştırır. Diyarbakır'da kişisel veri envanteri hazırlama ve KVKK uyumluluk danışmanlığı için VefaSoft ile iletişime geçebilirsiniz.
İlgili Yazılar:
KVKK Nedir? Şirketler İçin Uyumluluk Rehberi 2026 KVKK Aydınlatma Metni Nasıl Yazılır? Örnek Şablon KVKK Veri İhlali Bildirimi: Süre, Ceza ve Süreç ISO 27001 Nedir? Şirketinize Ne Kazandırır?