Kişisel Veri İşleme Envanteri Nedir? Nasıl Hazırlanır?
KVKK uyum yol haritasının en kritik çıktılarından biri Kişisel Veri İşleme Envanteri’dir. Envanter; kurumun iş süreçlerine bağlı olarak yürüttüğü kişisel veri işleme faaliyetlerini amaç, veri kategorisi, veri konusu kişi grubu, alıcı grubu, saklama süresi, yurtdışı aktarım ve alınan teknik/idari tedbirler ile ilişkilendirerek “kurumsal fotoğrafı” görünür kılar.
Özellikle VERBİS’e kayıt yükümlülüğü bulunan veri sorumluları açısından envanter; yalnızca bir doküman değil, aynı zamanda aydınlatma metinleri, açık rıza kurguları, saklama-imha politikası, başvuru süreçleri ve denetim izleri için dayanak niteliğindedir.
Envanter: Süreç bazlı kişisel veri işleme haritası ve uyum dayanağıdır.
Kimler için kritik? VERBİS’e kayıt yükümlülüğü olan veri sorumluları.
Ne sağlar? Amaçla sınırlılık, veri minimizasyonu, doğru aydınlatma ve denetim izi.
Çıktılar: VERBİS bildirimi, saklama-imha politikası, aydınlatma metinleri, başvuru yanıt şablonları.
Kurumsal ölçekte envanterin doğru kurulması; cezai riskleri azaltırken operasyonel verimliliği artırır.
1. Kişisel Veri İşleme Envanteri Nedir?
Kişisel Veri İşleme Envanteri; veri sorumlusunun iş süreçlerine bağlı olarak yürüttüğü kişisel veri işleme faaliyetlerini, işleme amaçları, veri kategorileri, veri konusu kişi grupları, aktarılan alıcı grupları ile ilişkilendirerek; ayrıca azami saklama süresi, yurtdışı aktarım öngörüsü ve veri güvenliği tedbirlerini açıklayan kapsamlı bir kontrol dokümanıdır.
Envanterin kurumsal değeri; KVKK’nın temel ilkeleri olan belirlilik, açıklık, meşruiyet ile amaçla bağlantılı–sınırlı–ölçülü işleme prensiplerinin, süreç bazlı olarak kanıtlanabilir hale getirilmesidir.
Envanterin pratik faydaları
- Hangi süreçte hangi verinin işlendiğini görünür kılar; “gölge süreçleri” ortaya çıkarır.
- Aydınlatma metinlerini ve açık rıza kapsamını süreçle uyumlu hale getirir.
- Saklama-imha politikasının gerçekçi ve denetlenebilir kurulmasını sağlar.
- İlgili kişi başvurularına verilecek yanıtların tutarlılığını artırır.
- Tedarikçi/veri işleyen yönetimini somutlaştırır (aktarım, erişim, güvenlik tedbirleri).
2. Kimler Envanter Hazırlamak Zorunda?
Genel kural olarak; kişisel verileri işleyen gerçek ve tüzel kişiler, istisnalar dışında Veri Sorumluları Sicili (VERBİS) kapsamına girer. Sicile kayıt yükümlülüğü bulunan veri sorumluları bakımından, ilgili yönetmelik hükümleri gereği Kişisel Veri İşleme Envanteri hazırlanması beklenir.
Envanter neden “zorunluluk” niteliğindedir?
- VERBİS’e yapılacak bildirimlerin dayanağıdır; beyanlar envanterle uyumlu olmalıdır.
- Aydınlatma yükümlülüğü ve başvuru süreçleri, envanterde tanımlanan amaç/hukuki sebep/saklama süresi ile tutarlı yürütülmelidir.
- Sicile kayıt yükümlülüğü olan veri sorumlularının saklama-imha politikasını envantere paralel kurması beklenir.
3. Envanterde Bulunması Gereken Asgari Alanlar
Envanterin kapsamı kurumun faaliyet alanına göre genişleyebilmekle birlikte, kurumsal standardın korunması adına asgari alanların eksiksiz kurgulanması gerekir. Aşağıdaki başlıklar, envanterin “çekirdek omurgasını” oluşturur:
| Alan | Kurumsal Anlamı |
|---|---|
| Veri kategorisi | Kimlik, iletişim, finans, lokasyon, işlem güvenliği vb. sınıflandırma; veri minimizasyonu ve erişim kontrolü için temel. |
| İşleme amacı ve hukuki sebep | Amaçların “belirli-açık-meşru” kurulması ve KVKK işleme şartıyla eşleşmesi. |
| Veri konusu kişi grubu | Çalışan, çalışan adayı, müşteri, ziyaretçi, tedarikçi yetkilisi, bayi vb. ayrımların netleşmesi. |
| Aktarılan alıcı/alıcı grubu | Yetkili kurumlar, tedarikçiler, bankalar, kargo/lojistik, bulut sağlayıcı vb. aktarım haritası. |
| Azami saklama süresi | Mevzuat/iş ihtiyacı gerekçeli süre; saklama-imha politikasının omurgası. |
| Yurtdışı aktarım öngörüsü | Bulut, e-posta, CRM, analiz araçları gibi sistemlerde sınır ötesi veri akışının tespiti. |
| Teknik ve idari tedbirler | Erişim kontrolü, loglama, şifreleme, yedekleme, eğitim, prosedür ve denetim izlerinin tanımı. |
4. Adım Adım Envanter Hazırlama Yöntemi
Sağlıklı bir envanter çalışması; tek bir departmanın doldurduğu form yaklaşımından ziyade, süreç bazlı analiz ile ilerler. Aşağıdaki adımlar, kurum ölçeği bağımsız olarak uygulanabilir bir metodoloji sunar.
1) Süreç haritalama ve kapsam belirleme
- Departmanları ve alt süreçleri netleştirin (İK, Finans, Satış, Pazarlama, Operasyon, BT, Hukuk vb.).
- Her süreç için “faaliyet” seviyesine inin (ör. işe alım, bordro, ziyaretçi kayıt, çağrı merkezi, e-bülten, teklif/sözleşme, kargo sevkiyat).
2) Veri setini tespit edin (hangi veri, nerede, nasıl?)
- Her faaliyet için işlenen kişisel veri kalemlerini çıkarın (kimlik, iletişim, müşteri işlem, finans, log vb.).
- Verinin kaynağını ve toplama yöntemini belirleyin (web formu, sözleşme, e-posta, çağrı merkezi, fiziki form, entegrasyon).
- Verinin tutulduğu ortamları işaretleyin (CRM, ERP, e-posta, dosya sunucusu, bulut depolama, arşiv dolabı).
3) Özel nitelikli veri ve riskli alanları ayıklayın
- Sağlık, biyometrik veri, ceza mahkûmiyeti benzeri alanları ayrıca işaretleyin.
- Özel nitelikli veri temasında erişim yetkilerini daraltın; kayıt ve denetim izlerini güçlendirin.
4) Amaç ve hukuki sebep eşleştirmesini yapın
- Her amaç için uygun işleme şartını belirleyin; “kolay olsun” diye açık rızaya yüklenmeyin.
- Pazarlama/iletişim faaliyetlerini (e-bülten, SMS, kampanya) ayrı satırlarla kurgulayın.
5) Aktarım ve tedarikçi (veri işleyen) haritasını çıkarın
- Hangi verinin kimlere aktarıldığını ve aktarım amacını tanımlayın.
- Bulut/CRM/analitik araçlar gibi hizmetlerde “yurtdışı aktarım öngörüsü”nü açıkça işaretleyin.
6) Saklama süresi ve imha kurgusunu bağlayın
- Mevzuat ve iş gerekliliği temelli azami süreyi yazın.
- Periyodik imha yaklaşımını (ör. 6 ayda bir) süreç bazında standartlaştırın.
7) Teknik ve idari tedbirleri süreçle ilişkilendirin
- Teknik: MFA, şifreleme, DLP, log/SIEM, yedekleme, ağ segmentasyonu, zafiyet yönetimi.
- İdari: Eğitim, yetki matrisi, prosedürler, disiplin hükümleri, tedarikçi sözleşmeleri, denetim planı.
5. Örnek Kişisel Veri İşleme Envanteri Tablosu
Aşağıdaki örnek; bir e-ticaret/kampanya kurgusu ve bir İK süreci üzerinden envanter satırlarının nasıl yazılabileceğini gösterir. Kurumunuza göre alanları genişletebilir, süreçleri çoğaltabilirsiniz.
| Departman / Süreç | Veri Konusu Kişi Grubu | Veri Kategorisi / Veri | İşleme Amacı | Hukuki Sebep | Alıcı Grubu / Aktarım | Azami Süre | Teknik/İdari Tedbir |
|---|---|---|---|---|---|---|---|
| Pazarlama / E-bülten | Müşteri / Potansiyel müşteri | İletişim (e-posta), işlem bilgisi (izin kaydı) | Kampanya, bilgilendirme, ticari elektronik ileti gönderimi | Açık rıza (ileti onayı) + ispat yükümlülüğü için kayıt | İleti hizmet sağlayıcı (varsa), CRM sağlayıcı | İzin geçerli olduğu sürece + mevzuat gereği ispat süresi | MFA, erişim yetkisi, loglama, DLP/maskeleme, eğitim, prosedür |
| İK / İşe alım | Çalışan adayı | Kimlik, iletişim, özgeçmiş, eğitim/deneyim | Aday değerlendirme, mülakat planlama, uygun aday seçimi | Sözleşme görüşmeleri için gerekli olması / meşru menfaat (uygun aday seçimi) (duruma göre) | İnsan kaynakları danışmanı (varsa), değerlendirme platformu | Olumsuz adaylarda makul süre (politikaya göre) / işe alımda özlük dosyasına geçiş | Yetki matrisi, sınırlı erişim, şifreleme, arşiv prosedürü, gizlilik taahhüdü |
| Finans / Tahsilat | Müşteri | Finans (fatura, ödeme), kimlik/iletişim | Faturalama, muhasebe kayıtları, tahsilat ve mutabakat | Hukuki yükümlülük + sözleşmenin ifası | Banka/ödeme kuruluşu, mali müşavir, e-fatura entegratörü | Mevzuat kaynaklı saklama süreleri | Rol bazlı erişim, log, yedekleme, şifreli aktarım, denetim |
6. Sık Yapılan Hatalar ve Uyum Riskleri
Envanter çalışması hatalı kurgulanırsa; VERBİS bildirimi, aydınlatma metinleri ve saklama-imha politikası “birbirini bozan” dokümanlara dönüşür. Aşağıdaki riskler, denetimlerde en çok karşılaşılan kırılımlardır:
En sık karşılaşılan hatalar
- Muğlak amaç yazımı: “Hizmetleri geliştirmek” gibi ucu açık ifadelerle süreç gerçeğinin örtüşmemesi.
- Hukuki sebebi yanlış seçmek: Her şeyi açık rıza ile yürütmeye çalışmak veya yanlış bentle eşleştirmek.
- Aktarım haritasını eksik bırakmak: Bulut/CRM/e-posta gibi tedarikçi temaslarını görünmez kılmak.
- Saklama süresi yazmamak: “Süresiz saklanır” yaklaşımı; minimizasyon ve imha ilkeleriyle çatışır.
- Özel nitelikli veriyi ayırmamak: Erişim yetkileri ve güvenlik tedbirlerinin ayrıştırılmaması.
- Envanteri güncellememek: Yeni entegrasyonlar, yeni formlar, yeni tedarikçiler envantere işlenmezse uyum bozulur.
Kurumsal iyileştirme önerileri
- Her süreç için süreç sahibi atayın; envanter satırlarını “sahipli” hale getirin.
- Yetki matrisi + erişim logları ile envanterin “teknik karşılığını” oluşturun.
- Envanter revizyonlarını değişiklik yönetimi kapsamında izleyin (revizyon tarihi, gerekçe, etkilenen metinler).
- Yılda en az 1 kez “envanter gözden geçirme” oturumu planlayın (İK + Finans + Operasyon + BT + Hukuk).
7. Sık Sorulan Sorular (SSS)
Envanter ile VERBİS aynı şey mi?
Hayır. Envanter, kurum içi “detaylı süreç haritası”dır. VERBİS ise bu envanterden türetilen bilgilerin ilgili sistemde beyan edilmesidir. Sağlıklı yaklaşımda VERBİS beyanları envanterle uyumlu olur.
Envanteri hazırladım, iş bitti mi?
Hayır. Sistem, süreç, tedarikçi veya form değiştiğinde envanter güncellenmelidir. Aksi halde aydınlatma metinleri ve saklama-imha politikası kısa sürede “eski” kalır.
Her faaliyet için ayrı satır açmak şart mı?
Kurumsal doğruluk için önerilir. Aynı süreç içinde farklı amaç ve hukuki sebepler varsa tek satır yaklaşımı hataya yol açar (özellikle pazarlama, işe alım, kamera, loglama gibi alanlarda).
Teknik ve idari tedbirleri nasıl yazmalıyım?
“Genel tedbir listesi” yerine süreçle ilişkilendirilmiş şekilde yazın: erişim rolü, loglama, şifreleme, yedek, DLP, eğitim, prosedür, tedarikçi sözleşmesi ve denetim izi gibi somut kontrolleri belirtin.
Yurtdışı aktarım öngörüsü ne demek?
Verinin yabancı ülkede bulunan sunucuya gitmesi, yabancı şirket tarafından erişilebilir olması veya sınır ötesi hizmetlerde işlenmesi ihtimalidir. Bulut, e-posta, analitik ve CRM araçlarında bu risk çoğunlukla vardır.
Envanter, aydınlatma metinlerini nasıl etkiler?
Aydınlatma metinlerindeki amaçlar, alıcı grupları, saklama süreleri ve hukuki sebepler envanterle aynı olmalıdır. Envanter “doğru kurgu” ise aydınlatma metinleri de tutarlı ve savunulabilir olur.

