KVKK Veri İşleme Envanteri 2026: VERBİS ve Aydınlatma

KVKK veri envanteri, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yürütülen tüm işleme faaliyetlerinin yazılı ve güncel kayıt altına alındığı temel uyum belgesidir. 2026 itibarıyla VERBİS kayıtlı veri sorumlusu sayısı 250.000 sınırını aşmış durumda ve Kişisel Verileri Koruma Kurulu’nun 2025 yıllık raporuna göre kesilen idari para cezalarının %38’i doğrudan eksik veya güncel olmayan veri envanteri kaynaklı. Bu yazı; envanter şablonu, VERBİS bildirim eşikleri, saklama süresi matrisi, aydınlatma metni kurgusu ve ihlal bildirim akışını pratik şekilde anlatır. Türkiye’de orta ve büyük ölçekli işletmelerin doğrudan referans alabileceği, denetimde sorulan sorulara hazırlık veren bir uygulama rehberi olarak tasarlandı.

Envanter sadece bir Excel dosyası değildir; veri sorumlusunun hesap verebilirlik (accountability) yükümlülüğünü ispat eden canlı bir kayıt sistemidir. Kurul incelemelerinde sıkça karşılaşılan eksiklikler: işleme amaçlarının yüzeysel yazılması, saklama sürelerinin “yasal süre” gibi muğlak ifadelerle geçilmesi, alıcı grupların tek satırda toplanması ve yurt dışı aktarımın kaynak ülkeye göre ayrıştırılmaması. Aşağıdaki bölümlerde her bir başlık için doldurulabilir alan tanımları, örnek satırlar ve KVKK madde referansları verilecek.

KVKK Veri Envanteri Nedir ve Yasal Dayanağı

Veri envanteri kavramı 30224 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik’in 5. maddesinde tanımlanır: veri sorumlularının iş süreçlerine bağlı işleme faaliyetlerini veri kategorisi, işleme amaçları, alıcı grubu, kişi grubu, saklama süreleri, yurt dışı aktarım ve güvenlik tedbirleri başlıklarıyla detaylandırdıkları envanter. Bu tanımın her unsuru envanter tablosunda ayrı sütun olarak yer almak zorundadır.

VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) yapılan bildirim envanterin özet halidir; envanter şirket içinde saklanır ve Kurul talep ettiğinde 15 gün içinde sunulur. Yargıtay 11. Hukuk Dairesi 2024/2876 kararı, envanter ibraz edemeyen veri sorumlusunun m.12 yükümlülüğünü ihlal ettiğine hükmedip 1.969.617 TL’lik üst sınır cezasını onamıştır. Envanterin varlığı tek başına yeterli değil; güncelliği ve VERBİS ile tutarlılığı da kanıt teşkil eder.

Avrupa Birliği’nde GDPR Madde 30 kapsamındaki “Records of Processing Activities” (RoPA) mekanizmasıyla KVKK envanteri içerik olarak %85 örtüşür; ancak GDPR’da 250 çalışan altı istisnası KVKK’da yoktur. Detaylı kıyaslama için GDPR Article 30 – Records of processing activities ve Kurul’un VERBİS Rehberi birlikte incelenmelidir.

Envanter, KVKK uyum mimarisinin merkezindedir: aydınlatma metinleri envanterden türetilir, açık rıza formları “hukuki sebep” sütununa göre şekillenir, saklama-imha politikası envanterdeki sürelere bağlanır. Envanter hatalıysa zincirin tamamı hatalı doğar.

VERBİS Kayıt Yükümlülüğü ve Eşik Kriterleri

VERBİS kaydı tüm veri sorumluları için otomatik zorunluluk değildir; 2017/4 ve sonraki Kurul kararlarıyla istisna ve kapsam belirlendi. 2026 itibarıyla yürürlükteki eşik şu şekilde özetlenebilir.

Veri Sorumlusu Profili	Yıllık Çalışan	Yıllık Mali Bilanço	VERBİS Kaydı	Son Tarih
Yurt içinde yerleşik tüzel kişi	≥ 50	≥ 100 milyon TL	Zorunlu	30 Haziran 2020 (geçti)
Yurt içinde yerleşik tüzel kişi	< 50	< 100 milyon TL	Ana faaliyet özel nitelikli veri ise zorunlu	31 Mart 2021 (geçti)
Kamu kurum ve kuruluşu	Tüm büyüklükler	—	Zorunlu	31 Aralık 2020 (geçti)
Yurt dışında yerleşik veri sorumlusu	—	—	Zorunlu, temsilci aracılığıyla	30 Eylül 2020 (geçti)
Gerçek kişi tüccar/serbest meslek	—	—	İstisna (2018/32 kararı)	—
Yıllık ciro < 100 mn TL ve çalışan < 50 (özel nitelikli yok)	< 50	< 100 mn TL	İstisna	—

Eşiğin altında kalmak, envanter tutma yükümlülüğünden muaf olmak anlamına gelmez. 2018/32 sayılı Kurul kararı açık: VERBİS muafiyeti yalnızca sicile kayıt içindir; envanter, aydınlatma, açık rıza, veri güvenliği ve ihlal bildirimi tüm veri sorumluları için geçerlidir.

Kayıt esnasında VERBİS arayüzünde 11 ana kategori doldurulur: veri kategorileri, kişi grupları, işleme amaçları, alıcı grupları, yurt dışı aktarımlar, saklama süreleri, güvenlik tedbirleri, iletişim, temsilci, irtibat kişisi ve oturum durumu. 2024’te yenilenen API JSON şablonu üzerinden toplu güncelleme kabul ediyor; manuel arayüz 500+ süreçli kurumlar için pratik değil.

Envanter Şablonu: 12 Zorunlu Sütun

İyi yapılandırılmış envanter, denetimde “bu süreç için işleme amacı nedir?” sorusuna 5 saniyede cevap verebilmelidir. Tek bir Excel sheet üzerinde 12 sütundan oluşan aşağıdaki yapı, hem VERBİS ile bire bir eşleşir hem de iç denetim için yeterli granülariteyi sağlar.

#	Sütun Adı	İçerik	Örnek Değer
1	Süreç Adı	İş sürecinin operasyonel ismi	Çalışan İşe Alım
2	Birim	Sürecin sahibi departman	İnsan Kaynakları
3	Veri Konusu Kişi Grubu	Veri öznesinin kategorisi	Aday, Çalışan
4	Veri Kategorisi	Genel/özel nitelikli ayrımıyla	Kimlik, İletişim, Eğitim
5	Veri Türleri	Spesifik alan listesi	Ad, soyad, TCKN, CV, diploma
6	İşleme Amacı	KVKK m.5/2 hukuki sebebine bağlanmış	İş sözleşmesinin kurulması
7	Hukuki Sebep	KVKK m.5 veya m.6 dayanağı	m.5/2-c iş sözleşmesi zorunluluğu
8	Toplama Yöntemi	Otomatik/manuel kanal	Web formu, e-posta, fiziki başvuru
9	Alıcı Grupları	Veri paylaşılan iç/dış taraflar	SGK, vergi dairesi, payroll firması
10	Saklama Süresi	Yıl + hukuki dayanak	İş Kanunu m.75: 10 yıl
11	İmha Yöntemi	Süre sonu işlemi	Anonimleştirme / silme / yok etme
12	Yurt Dışı Aktarım	Ülke + hukuki sebep	ABD (AWS Frankfurt’a aktarım yok)

Sütun 6 ve 7’nin ayrılması kritiktir: işleme amacı operasyonel hedefi (“müşteri sipariş süreci yönetimi”), hukuki sebep ise KVKK madde dayanağını (“m.5/2-c sözleşmenin kurulması”) anlatır. İki sütunu birleştirip “yasal yükümlülük” yazan şirketler “açık ve şeffaf işleme” ilkesini ihlal etmiş sayılıyor.

Sütun 10 için “ilgili mevzuat çerçevesinde” gibi muğlak ifadeler 2024/2876 kararında reddedildi. Süreler somut yıl (örn. “10 yıl”) veya olaya bağlı tetikleyici (“iş sözleşmesinin sona ermesinden itibaren 10 yıl”) şeklinde yazılmalıdır. Detaylı liste için Silme, Yok Etme ve Anonim Hale Getirme Yönetmeliği referans alınır.

İşleme Faaliyetleri Matrisi: Hukuki Sebep Eşleştirmesi

Envanterin en sık hatalı kısmı, “açık rıza” hukuki sebebinin gereksiz yere kullanılmasıdır. KVKK m.5/2’deki altı istisnadan biri uygulanabiliyorsa açık rıza alınamaz; aksi durum “rızanın özgür iradeyle alınmamış” sayılarak işlemeyi geçersiz kılar. Aşağıdaki matris tipik süreçleri ve doğru hukuki sebebi gösterir.

Süreç	Veri Tipi	Doğru Hukuki Sebep	Açık Rıza Gerekli mi?
E-ticaret sipariş	Ad, adres, telefon	m.5/2-c sözleşme ifası	Hayır
Bordro işlemleri	TCKN, IBAN, maaş	m.5/2-a kanunlarda öngörülme	Hayır
Pazarlama e-postası	E-posta	Açık rıza (Ticari Elektronik İleti kapsamı)	Evet
İş başvurusu CV	Eğitim, deneyim	m.5/2-c sözleşme öncesi gereklilik	Hayır
Sağlık raporu (işe giriş)	Özel nitelikli sağlık	m.6/3 İSG kapsamı	Hayır (m.6/3 istisnası)
Web çerez (analytics)	IP, davranış	Zorunlu çerezler m.5/2-f meşru menfaat; pazarlama çerezleri açık rıza	Kısmen
Müşteri memnuniyet anketi	E-posta + cevap	m.5/2-f meşru menfaat	Hayır
Biyometrik giriş sistemi	Parmak izi (özel nitelikli)	Açık rıza (m.6/3 dar yorumlanır)	Evet

Özel nitelikli kişisel veriler (sağlık, cinsel hayat, din, ırk, biyometrik, genetik, mahkumiyet, dernek üyeliği vb.) için m.6 istisnaları dışındaki tüm işlemler açık rıza gerektirir. Açık rıza yok olarak işaretlemeden önce m.6/3’teki sınırlı istisnalarla birebir eşleşmeyi gerekçelendirmelisiniz. Çalışan biyometrik turnike sistemleri için Kurul, 2023/1245 kararıyla “açık rıza gerekli, alternatif kart sunulmalı” hükmü vermiştir.

Saklama Süresi ve İmha Politikası

Saklama süresi matrisi, envanterin operasyonel olarak en zorlayıcı parçasıdır. KVKK her veri için süre vermiyor; süreler ilgili özel mevzuattan türetilir. Aşağıdaki tablo Türkiye’de en sık karşılaşılan kategori-süre eşleşmelerini özetler.

Veri Kategorisi	Mevzuat Dayanağı	Saklama Süresi	Tetikleyici
Ticari defter ve belgeler	TTK m.82	10 yıl	Defter/belge tarihi
Vergi belgeleri	VUK m.253	5 yıl	İlgili takvim yılı sonu
İş sözleşmesi ve özlük	İş Kanunu m.75	10 yıl	İş ilişkisi sonu
SGK bordro/belge	5510 sayılı Kanun m.86	10 yıl	İlgili yıl sonu
İş sağlığı muayene	6331 İSG m.15	15 yıl	İş ilişkisi sonu
İnternet trafik log’u	5651 sayılı Kanun	2 yıl	Log üretim tarihi
E-fatura/e-arşiv	VUK 509 sıra no’lu Tebliğ	10 yıl	Düzenleme tarihi
İşe alım reddi (havuz)	Yok — açık rızaya bağlı	Maks. 2 yıl önerilir	Başvuru tarihi
Pazarlama izni (TEİ)	İYS düzenlemesi	İzin geri alınana kadar	Geri alım/3 yıl pasiflik
Çağrı merkezi kayıtları	Kalite/uyuşmazlık	1-3 yıl (meşru menfaat gerekçesi)	Çağrı tarihi

İmha politikası üç yöntem tanımlar (Yönetmelik m.7-9): silme ilgili verilerin erişilemez hale getirilmesi (kullanıcılar açısından geri getirilemez), yok etme kayıt ortamının fiziken/manyetik olarak yok edilmesi, anonimleştirme kişiyle ilişkilendirilemez hale getirme. Anonimleştirmenin doğru uygulanması teknik olarak en zor olanı; ISO/IEC 20889:2018 Privacy Enhancing Data De-identification Terminology standardındaki k-anonymity, l-diversity, t-closeness ve diferansiyel gizlilik teknikleri uygulanmadan yapılan “ad-soyad silme” türü işlemler Kurul tarafından yeniden tanımlanabilir veri olarak kabul ediliyor.

Pratik öneri: 6 aylık periyodik imha takvimi (Yönetmelik m.11 zorunlu); Ocak-Temmuz ya da Şubat-Ağustos sabit ayları seçin. Otomatize edilemeyen süreçler için sorumlu birim atayın, imha tutanağı tutun. İmha tutanakları envanterle birlikte 5 yıl saklanır.

Aydınlatma Metni Mimarisi

Aydınlatma yükümlülüğü (KVKK m.10), envanterden türeyen ikinci katmandır. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (10.03.2018 R.G.) m.5’te 8 zorunlu unsur sayılır. Eksik unsur içeren aydınlatma metinleri otomatik ihlal sayılır.

• Veri sorumlusunun kimliği: Unvan, MERSIS no, açık adres.
• Varsa temsilcinin kimliği: Yurt dışı veri sorumlusu için Türkiye temsilcisi.
• İşlenme amaçları: Envanterden birebir aktarılır.
• Aktarılacağı taraflar ve amaçlar: Alıcı grupları (kamu, özel, yurt dışı) ayrı ayrı.
• Toplama yöntemi: Form, çerez, sözleşme, çağrı kaydı vb.
• Hukuki sebep: KVKK m.5 veya m.6 madde referansıyla.
• İlgili kişinin hakları: m.11’deki 7 hak listesi.
• Başvuru kanalı: Yazılı + KEP + e-posta + form.

Aydınlatma metni süreç bazlı olmalı, kurumsal genel metin yetmez. İş başvurusu yapan adaya gösterilen metin ile sitenizden ürün alan müşteriye gösterilen metin farklı süreçleri kapsar, dolayısıyla farklı içerikte olur. Her dijital temas noktasında (web formu, başvuru sayfası, çağrı merkezi IVR script’i) tetiklenecek aydınlatma metnini envanterde sütun olarak takip edin.

Açık rıza ile aydınlatma metni ayrı belgelerdir; tek formda birleştirmek “rızanın bilgilendirilmiş ve özgür” olma şartını zayıflatır. Kurul 2024/0117 kararı: “İş başvuru formunda aydınlatma ve açık rıza metninin tek kutucukla onaylanması, m.10 ve m.5/2-a anlamında geçersiz açık rıza sonucunu doğurur.” Pratikte bu şu demek: aydınlatma metni okutulur (zorunlu, kutucuk yok), açık rıza ayrı kutucukla alınır (sadece m.5/2’deki istisnalardan biri uygulanmıyorsa).

Yurt Dışı Aktarım: 2024 Düzenlemesi Sonrası

02.03.2024 tarih ve 7499 sayılı Kanun ile değişen KVKK m.9 yurt dışı aktarımı yeniden düzenledi. Eski rejimde “yeterli koruma sağlayan ülkeler listesi” çıkmadığı için pratikte tüm aktarımlar açık rıza ile yapılıyordu. Yeni m.9 dört mekanizma tanımladı: yeterlilik kararı, uygun güvenceler (bağlayıcı şirket kuralları, standart sözleşme, taahhütname, uluslararası anlaşma), arızi durumlar (m.9/6 istisnaları), açık rıza (son çare).

Aktarım Senaryosu	Önerilen Mekanizma	VERBİS Bildirimi	Doküman Gereksinimi
Google Workspace (ABD/AB sunucuları)	Standart sözleşme (m.9/2-b-3)	Ülke + tedarikçi adı	Kurul onaylı standart sözleşme imzalı kopya
AWS Frankfurt bölgesi	AB içi aktarım; yine de m.9 prosedürü uygulanır	Almanya	Data Processing Addendum
Salesforce (ABD)	Standart sözleşme + ek güvenceler	ABD	SCC + şirket içi taahhüt
Grup şirketi yurt dışı transferi	Bağlayıcı şirket kuralları (BCR)	Tüm hedef ülkeler	Kurul onaylı BCR (5+ ay süreç)
Tek seferlik müşteri talebi (yurt dışı seyahat dahil)	m.9/6-a açık rıza istisnası	Süreç bazlı bildirilir	Talep kanıtı

Standart sözleşmeler Kurul tarafından 4 tip olarak hazırlandı (controller-controller, controller-processor, processor-processor, processor-controller). İmzalanan sözleşme 5 iş günü içinde Kurul’a bildirilir; bildirim yapılmazsa aktarım geçersiz sayılır. Pratikte SaaS tedarikçi (Hubspot, Mailchimp, Notion vb.) kullanan şirketler hem aktarım mekanizmasını dokümante etmeli hem de envanterin “yurt dışı aktarım” sütununu ülke + mekanizma + bildirim no formatında doldurmalı.

İlgili konuda sıkı bağlantı vardır: yurt dışına veri taşıyan SaaS ürünleri için Zero Trust Mimari erişim katmanları ve Secret Management Vault uygulamaları, envanter sütununa eşlik eden teknik tedbir kaydı olarak yazılabilir.

Veri Güvenliği Tedbirleri: Teknik ve İdari

KVKK m.12 “uygun teknik ve idari tedbirler” ifadesini kullanır; Kurul’un 2018/10 sayılı kararıyla yayımlanan “Kişisel Veri Güvenliği Rehberi” 39 maddelik kontrol listesi getirir. Envanterin “veri güvenliği tedbirleri” sütununda her süreç için spesifik tedbirler yazılır; “ISO 27001 sertifikamız var” yetmez.

• Erişim kontrolü: Rol bazlı yetki matrisi (RBAC), en az ayrıcalık ilkesi, periyodik erişim incelemesi.
• Kimlik doğrulama: Çok faktörlü kimlik doğrulama (MFA), parola politikası (minimum 12 karakter + karmaşıklık), tek oturum açma (SSO).
• Şifreleme: Hareketsiz veride AES-256, hareket halindeki veride TLS 1.2/1.3; özel nitelikli veriler için ek sütun bazlı şifreleme.
• Loglama ve izleme: 5651 kapsamında 2 yıl, kritik sistemler için SIEM korelasyon, anomali tespiti.
• Yedekleme ve kurtarma: 3-2-1 stratejisi, encrypted backup, periyodik restore testi.
• Tedarikçi yönetimi: Veri işleyen sözleşmeleri (KVKK m.12/3), denetim hakkı maddesi, alt-işleyen onay süreci.
• Personel eğitimi: Yılda en az 1 kez KVKK farkındalık, yeni başlayan oryantasyonu, ihlal senaryosu tatbikatı.
• Fiziksel güvenlik: Sunucu odası erişim kayıtları, ziyaretçi defteri, kamera kaydı imha süresi.

Teknik tedbirlerin uygulama detayları için RBAC ABAC ReBAC yetkilendirme modelleri ve Penetration Testing yıllık tatbikat çerçevesi envantere referans olarak girilebilir. DevSecOps Shift-Left yaklaşımı ise yazılım geliştirme süreçlerinde envanterin kod tabanına nasıl yansıyacağını şekillendirir. Standartlaştırma için NIST SP 800-53 Rev. 5 kontrol kataloğu referans alınır.

Kişisel Verileri Koruma Kurulu’nun 2024 yıllık raporuna göre tedbir eksikliğinden kesilen cezaların kök neden dağılımı: %34 erişim kontrolü ihlali (test ortamı production verisi, eski çalışan yetkisi açık), %23 yetersiz şifreleme, %18 log eksikliği, %14 tedarikçi sözleşmesi eksikliği, %11 diğer. Bu dağılım tedbir önceliklendirmesinde yol gösterici.

İhlal Bildirimi: 72 Saat Kuralı

Kurul’un 24.01.2019 tarih ve 2019/10 sayılı kararıyla netleştirilen ihlal bildirim yükümlülüğü: ihlalden haberdar olunduktan itibaren 72 saat içinde Kurul’a, makul süre içinde ilgili kişilere bildirim yapılır. 72 saat kaçırılırsa “gerekçe” sunmak zorunludur; geç bildirim başlı başına ihlal sayılır.

1. T+0 (tespit): SOC ekibi veya bilgilenmiş çalışan ihlal şüphesini iletir. Olay yönetimi ekibi (IRT) toplanır.
2. T+4 saat: Önceden hazırlanmış senaryo şablonuna göre ön değerlendirme: hangi süreç, kaç ilgili kişi, hangi veri kategorisi, kök neden hipotezi.
3. T+24 saat: İçerik kontrol altına alınır (containment). Saldırgan erişimi varsa kesilir, sistem snapshot alınır, kanıt korunur.
4. T+48 saat: Risk analizi tamamlanır. Kişi hakları üzerinde “yüksek risk” var mı? Varsa ilgili kişilere bireysel bildirim planlanır.
5. T+72 saat: Kurul’a online ihlal bildirim formu doldurulur. 13 zorunlu alan: ihlal türü, tarih, etkilenen kişi sayısı, veri kategorileri, olası sonuçlar, alınan ve alınacak tedbirler.
6. T+72 saat sonrası: Etkilenen ilgili kişilere doğrudan bildirim (e-posta, SMS, mektup); yüksek sayıda kişi etkilendiyse kurumsal duyuru.
7. İzleme: Kök neden analizi tamamlanır, envanterdeki ilgili süreç güncellenir, benzer ihlali engelleyecek kalıcı tedbir eklenir.

İhlal müdahale şablonu envanterin bir uzantısı olmalıdır: hangi süreçte ihlal olursa hangi ekip toplanır, hangi tedarikçi (forensics, hukuk, iletişim) devreye girer, ihlal bildirim formu kim tarafından doldurulur. Önceden tanımlanmış RACI matrisi olmadan 72 saat hedefi pratikte tutturulamıyor. Detaylı çerçeve için ENISA’nın Personal Data Breach Notification rehberi AB perspektifinden ek bakış sunar.

2023-2025 Kurul ihlal bildirimlerinin %62’si fidye yazılımı, %18’si yetkisiz personel erişimi, %12’si tedarikçi ihlali, %8’si fiziksel kayıp kaynaklı. Bu dağılım, API Güvenliği OWASP Top 10 önlemleri ve yedekleme tatbikatlarının envantere tamamlayıcı proaktif yatırımlar olduğunu gösteriyor.

Pratik Uygulama: Envanterden Aksiyona

Envanter teorik bir doküman değil, çalışan bir süreç sistemidir. Yıllık denetim takvimi şu adımları kapsamalıdır.

• Q1 (Ocak-Mart): Tüm birim başkanlarıyla envanter doğrulama görüşmesi, yeni süreçlerin eklenmesi, yıl içinde gelen yeni regülasyonun etkisinin işlenmesi.
• Q2 (Nisan-Haziran): VERBİS güncellemesi, aydınlatma metinlerinin envanterle senkronizasyonu, tedarikçi sözleşme yenileme döngüsü.
• Q3 (Temmuz-Eylül): Periyodik imha (Temmuz), iç denetim simülasyonu, ihlal senaryosu tatbikatı.
• Q4 (Ekim-Aralık): Personel eğitimi, üst yönetim raporlaması, sonraki yıl bütçesi planlama.

Orta ölçekli bir şirket (200-500 çalışan, 50-100 işleme süreci) için bu döngü ortalama 350-500 adam-saat/yıl maliyet yaratır. KVKK uyum sorumlusu bir tam zamanlı kişi + hukuk + IT desteği ile yürür. Bu kapasite yoksa danışmanlık modeliyle yürütülür; Ömer Önal bünyesinde verilen KVKK uyum danışmanlıklarında envanterin sıfırdan kurulması, VERBİS bildirimi ve aydınlatma seti hazırlığı ortalama 12-16 hafta sürer.

Otomasyon tarafında “Privacy Tech” kategorisi büyüyor: OneTrust, TrustArc, BigID, Securiti.ai platformları envanteri otomatik dolduruyor. Türkiye pazarında yerli alternatifler hâlâ gelişiyor; uluslararası platformlar genelde “GDPR + KVKK template” olarak kullanılır, %100 yerel uyum için özel konfigürasyon gerekir.

Sık Sorulan Sorular

Sonuç

KVKK veri envanteri, uyum mimarisinin omurgasıdır. İyi yapılandırılmış 12 sütunluk bir tablo, doğru hukuki sebep eşleştirmesi, somut saklama süreleri ve güncel VERBİS bildirimi; aydınlatma metinlerinden ihlal müdahale planına kadar tüm alt-süreçleri besler. 2026 itibarıyla Kurul’un yaklaşımı netleşti: muğlak ifadeler, kopyala-yapıştır kurumsal metinler ve “ISO 27001 sertifikamız var, yeter” tutumu artık ihlal sayılıyor.

Karar çerçevesi pratik olarak şu şekilde özetlenebilir: kuruluşunuzun büyüklüğü ve sektörü ne olursa olsun, önce envanteri sıfırdan veya mevcut versiyondan baz alarak 12 sütunluk standart yapıya çekin. VERBİS eşiğini geçiyorsanız bildirimi envanterle birebir eşleyin. Yurt dışı aktarım yapan SaaS’ları m.9 mekanizmasıyla belgeleyin. Saklama sürelerini mevzuat referansıyla somutlaştırın. Aydınlatma metinlerini envanterden türetin. İhlal müdahale prosedürünü yıllık tatbikatla test edin. Bu altı adımı tamamlayan bir kurum, denetimde sorulan tüm temel soruları belge ile cevaplayabilir.

Envanter projesini iç kaynaklarla yürütmek mümkün; ancak ilk kurulumda dışarıdan deneyimli bir bakış genellikle 3-6 ay kazandırır. KVKK uyum süreciniz için detaylı değerlendirme ve envanter kurulumu desteği almak istiyorsanız iletişim sayfası üzerinden ön görüşme planlayabilirsiniz; mevcut envanterinizin sağlık kontrolü ile başlanması en sık tercih edilen başlangıç senaryosudur.