info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Veri Envanteri Tutmayan Şirketler Hukuki Olarak Ne Tür Risklerle Karşılaşır?

07 Ağu 2025
0

Giriş: Dijital Çağda Veri Envanterinin Önemi

Kişisel veriler, günümüz dijital ekonomisinin ana yakıtı haline gelmiştir. Şirketlerin müşterilerine sunduğu hizmetlerden iç operasyonlarına kadar birçok süreç kişisel verilerin toplanmasına, işlenmesine ve saklanmasına dayanır. Bu süreçlerin şeffaf, hesap verebilir ve hukuka uygun yürütülmesi ise veri envanteri ile mümkün olur. Ancak birçok şirket, KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) kapsamında bu yükümlülüğü göz ardı etmektedir.

Peki veri envanteri tutmamak yalnızca bir idari eksiklik midir? Hayır. Bu ihmal, şirketleri ciddi idari para cezalarına, itibar kaybına, hatta tazminat ve ceza davalarına sürükleyebilir. Bu makalede, veri envanteri tutmayan şirketlerin hukuki risklerini teorik ve pratik yönleriyle ele alacağız.

1. Veri Envanteri Nedir? Neden Tutulması Gerekir?

a) Tanım

Veri envanteri; şirketlerin işledikleri kişisel verilerin ne amaçla, hangi hukuki gerekçeye dayanarak, kim tarafından, ne kadar süreyle, nerede saklandığını gösteren sistematik bir kayıt sistemidir. KVKK’nın 16. maddesi gereği veri sorumluları siciline (VERBİS) kayıt yükümlülüğü bulunan her şirketin, bu envanteri oluşturması ve güncel tutması zorunludur.

b) KVKK ve İlgili Rehberler

Kişisel Verileri Koruma Kurumu, yayımladığı rehberlerde veri envanterini:

  • Kişisel veri işleme faaliyetlerinin haritası,

  • Şirketin kendi iç denetim mekanizması,

  • Olası veri ihlali veya şikayet durumlarında savunma zemini olarak değerlendirmiştir.

2. Veri Envanteri Tutmamanın Hukuki Sonuçları

a) İdari Para Cezaları

KVKK’nın 18. maddesine göre veri envanteri oluşturmayarak VERBİS’e kayıt yükümlülüğünü ihlal eden şirketler hakkında 50.000 TL ila 2.000.000 TL arasında idari para cezası uygulanabilir.

b) Sözleşmesel Riskler

Veri işleme faaliyetinin şeffaf olmaması, şirketin:

  • İş ortaklarıyla yaptığı sözleşmelerde güvenilirliğini sarsar,

  • Uluslararası veri aktarım sözleşmelerinde engel teşkil eder.

c) Tazminat Sorumluluğu

Bir veri ihlali durumunda, kişi zarar görürse KVKK’nın 14. ve TBK’nın 49. maddesi uyarınca maddi ve manevi tazminat davası açabilir. Şirketin envanter sunamaması, kusur karinesini güçlendirir.

d) İtibar Kaybı

Kişisel verilerle ilgili ihlallerin basına yansıması halinde şirketin kamuoyundaki itibarı ciddi zarar görür. Bu zarar, müşteri kaybı ve iş hacminde daralma ile sonuçlanabilir.

3. Kurgusal Örnek Olay: A Ltd. Şirketi’nin Yaşadığı Hukuki Riskler

Olay Özeti

A Ltd. şirketi, bir e-ticaret platformudur ve on binlerce müşteriden kişisel veri toplamaktadır. Şirket, yıllardır KVKK uyum sürecine başlamamış, VERBİS kaydı yapmamış ve herhangi bir veri envanteri oluşturmamıştır.

Bir gün, müşterilerden biri olan M.B., kredi kartı bilgilerinin çalındığını ve bu verilerin A Ltd. platformundan sızdığını iddia ederek şikâyette bulunur. KVK Kurumu, derhal denetim başlatır.

Denetim Süreci ve Sonuçları

  • Şirket, hangi verileri neden işlediğini belgeleyememiştir.

  • Veri envanteri sunulamamıştır.

  • Risk analizi, yetki matrisi ve işleme faaliyeti kaydı bulunmamaktadır.

Sonuç:

  • Kurum, şirkete 950.000 TL idari para cezası verir.

  • M.B., İstanbul Tüketici Mahkemesi’nde manevi tazminat davası açar.

  • A Ltd.’nin iş ortakları, veri güvenliği gerekçesiyle iş ilişkilerini sonlandırır.

4. Uygulamada Veri Envanteri Neleri İçermelidir?

  • Veri kategorileri (kimlik, iletişim, finans vb.)

  • İşleme amaçları (satış, pazarlama, faturalandırma)

  • Veri işleme şartları (açık rıza, kanuni yükümlülük)

  • Veri saklama süresi

  • Verinin aktarıldığı üçüncü kişiler

  • Verinin saklandığı ortam ve güvenlik önlemleri

Bu bilgiler, yalnızca VERBİS’e kayıt için değil; aynı zamanda veri güvenliği politikası, olası denetimler, ihlallere karşı savunma için de gereklidir.

5. Şirketler Ne Yapmalı?

a) KVKK Uyum Projesi Başlatılmalı

  • Şirket içinde bir KVKK uyum ekibi kurulmalı ya da hukuk danışmanlığı alınmalı.

  • İlk adım olarak kişisel veri işleme envanteri çıkarılmalı.

b) Danışmanlık Alınmalı

Veri envanteri hazırlanması, sadece teknik bir iş değil; aynı zamanda hukuki uzmanlık gerektiren bir süreçtir. Şirketin büyüklüğü, iş alanı ve işleme faaliyetlerine göre özel analiz yapılmalıdır.

c) Süreklilik Sağlanmalı

Veri envanteri bir defaya mahsus değil, dinamik ve canlı bir dokümandır. Şirketin faaliyetleri değiştikçe envanter güncellenmelidir.

6. Sonuç: İhmallerin Bedeli Ağır Olabilir

Veri envanteri tutmamak, sadece teknik bir hata değil; şirketin bütünsel risk yönetiminde büyük bir zaafiyet anlamına gelir. Bu durum;

  • İdari cezalarla,

  • Tazminat davalarıyla,

  • Sözleşme fesihleriyle,

  • İtibar kayıplarıyla sonuçlanabilir.

Bu riskleri önlemenin tek yolu, KVKK yükümlülüklerini ciddiyetle ele almak ve veri envanteri oluşturmayı bir öncelik haline getirmektir.

Hukuk Fakültesi Öğrencisi Gamze Akbulut

, , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button