2025 Veri Envanteri Güncelleme Kılavuzu: Yıl Sonu İçin Pratik Bir Yaklaşım
Veri envanteri, KVKK uyumunun en temel ama en sık ihmal edilen bileşenlerinden biridir.
2025 yılı boyunca KVKK Kurulu’nun denetim ve kararlarında açıkça görülen yaklaşım şudur:
“Güncel olmayan veri envanteri, hiç yapılmamış envanterle eşdeğerdir.”
Yıl sonu itibarıyla birçok kurum; yeni kampanyalar, yeni yazılımlar, AI tabanlı araçlar,
server-side analitikler ve değişen iş modelleri nedeniyle
fiilen farklı veri işleme faaliyetleri yürütmesine rağmen envanterini güncellememiş durumdadır.
Bu durum, 2026 denetimleri için ciddi bir risk alanı oluşturmaktadır.
canlı ve kanıtlanabilir bir uyum aracı olarak değerlendirilmektedir.
Veri Envanteri Neden Yıl Sonunda Güncellenmelidir?
Veri envanteri statik bir tablo değildir.
Aşağıdaki her değişiklik, envanterin güncellenmesini zorunlu kılar:
- Yeni kampanya veya promosyon süreçleri
- Yeni yazılım, SaaS veya bulut hizmeti kullanımı
- İşleme amacının değişmesi veya genişlemesi
- Yeni veri kategorilerinin toplanmaya başlanması
- Veri paylaşım taraflarının değişmesi
- AI / otomasyon sistemlerinin devreye alınması
2025 Kurul kararlarında en sık rastlanan ihlal gerekçelerinden biri:
“İlgili veri işleme faaliyeti envanterde yer almamaktadır.”
1. İşleme Amacının Değişmesi: En Kritik Güncelleme Alanı
Bir veri işleme faaliyeti başlangıçta hukuka uygun olabilir;
ancak işleme amacı değiştiğinde bu uygunluk otomatik olarak ortadan kalkar.
Sık görülen örnekler:
- Başlangıçta “sipariş yönetimi” için toplanan verilerin pazarlama analizinde kullanılması
- Çekiliş verilerinin daha sonra CRM sistemine aktarılması
- Destek taleplerinin ürün geliştirme ve AI eğitimi için kullanılması
Bu tür durumlarda:
- Veri envanteri güncellenmeli
- Yeni işleme amacı tanımlanmalı
- Hukuki dayanak yeniden değerlendirilmelidir
Yeni amaç, yeni hukuki değerlendirme gerektirir.
2. Yeni Veri Kategorilerinin Eklenmesi
2025 yılında birçok kurum farkında olmadan yeni veri kategorileri işlemeye başlamıştır.
Özellikle dijital kanallar ve otomasyon araçları bu durumu hızlandırmıştır.
2025’te en sık eklenen (ama envantere yazılmayan) veri kategorileri:
- Davranışsal veriler (tıklama, gezinme, scroll)
- Lokasyon türevli veriler
- Cihaz ve tarayıcı bilgileri
- Profil çıkarım verileri
- AI sistemleri tarafından üretilen türev veriler
Bu verilerin “kişisel veri olmadığı” varsayımı,
2025 denetimlerinde Kurul tarafından açıkça reddedilmiştir.
Envanterde yer almıyorsa → hukuka aykırı işleme riski doğar.
3. Yıl Sonu Veri Envanteri Güncelleme Adımları (Pratik Rehber)
Adım 1: Mevcut envanteri fiili durumla karşılaştırın
- Envanterde yazan süreçler gerçekten uygulanıyor mu?
- Uygulanan ama envanterde olmayan işlemler var mı?
Adım 2: İşleme amaçlarını tek tek gözden geçirin
- Amaçlar hâlâ geçerli mi?
- Genişleyen veya değişen amaçlar var mı?
Adım 3: Veri kategorilerini detaylandırın
- Toplanan her veri alanı envanterde yer alıyor mu?
- Türev ve analiz verileri ayrıca belirtilmiş mi?
Adım 4: Hukuki dayanakları yeniden eşleştirin
- Açık rıza gerçekten gerekli mi?
- Meşru menfaat iddiası hâlâ geçerli mi?
- Sözleşme / kanuni yükümlülük sınırları aşılmış mı?
Adım 5: Saklama sürelerini güncelleyin
- “Belirsiz” veya “iş ilişkisince” gibi ifadeler temizlenmeli
- Somut süreler tanımlanmalı
Adım 6: Aktarım taraflarını ve teknik önlemleri kontrol edin
- Yeni tedarikçiler eklendi mi?
- Server-side, cloud veya AI servisleri var mı?
“Bu veri envanterde neden yok?”
4. Envanter – Aydınlatma Metni – VERBİS Uyumu
Yıl sonu güncellemesi yalnızca envanterle sınırlı kalmamalıdır.
Aşağıdaki belgeler arasında birebir tutarlılık aranır:
- Veri envanteri
- Aydınlatma metinleri
- VERBİS kayıtları
Envanterde yer almayan bir işleme faaliyetinin aydınlatma metninde yer alması,
doğrudan denetim bulgusu hâline gelmektedir.
5. 2025 Yıl Sonu İçin Kritik Uyarılar
- “Zaten vardı” yaklaşımı kabul edilmez
- AI ve otomasyon süreçleri mutlaka envantere eklenmelidir
- Davranışsal ve analitik veriler göz ardı edilmemelidir
- Her amaç değişikliği yeni risk değerlendirmesi gerektirir
KVKK uyumunun en görünür denetim aracı olacaktır.
Sonuç
2025 yıl sonu, veri envanteri güncellemesi için yalnızca bir “takvimsel fırsat” değil;
2026 denetimlerine hazırlık açısından kritik bir eşiktir.
İşleme amacındaki değişiklikler ve yeni veri kategorileri görmezden gelindiğinde,
kurumlar farkında olmadan geniş çaplı uyumsuzluk yaratmaktadır.
