Verihat 14 Gün Ücretsiz

KVKK İşletmeler İçin: Veri Sorumluluğu Rehberi

8 Haziran 2026·9 dk okuma·Verihat Ekibi

Bir işletme yürütüyorsanız, farkında olun ya da olmayın, her gün kişisel veri işliyorsunuz: müşterinizin adı ve T.C. kimlik numarası faturada, çalışanınızın IBAN'ı bordroda, tedarikçinizin yetkilisinin telefonu cari kartında. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bu verileri toplayan, saklayan ve kullanan herkese sorumluluk yükler. Bu rehber; KVKK kapsamında veri sorumlusu olmanın ne anlama geldiğini, VERBİS kaydının kimi ilgilendirdiğini ve özellikle muhasebe süreçlerinizde kişisel veriyi nasıl mevzuata uygun yöneteceğinizi sade bir dille anlatıyor.

KVKK Nedir ve İşletmeleri Neden İlgilendirir?

KVKK, 7 Nisan 2016 tarihinde yürürlüğe giren ve kişisel verilerin işlenmesini disiplin altına alan temel kanundur. Denetim ve düzenleme yetkisi Kişisel Verileri Koruma Kurumu (KVKK Kurumu / KVKK) ve karar organı olan Kişisel Verileri Koruma Kurulu'ndadır. Kanun yalnızca büyük teknoloji şirketlerini değil; tek kişilik bir serbest meslek erbabından kurumsal bir holdinge kadar gerçek kişiye ait veri işleyen tüm yapıları kapsar.

İşletmeler için kritik nokta şudur: Kişisel veriyi işlemek için çoğu zaman ayrı bir "izin" almanız gerekmez, çünkü kanun belirli durumlarda işlemeyi zaten meşru kabul eder. Ancak bu işlemenin hukuka uygun, şeffaf, sınırlı ve güvenli olması zorunludur. Uyumsuzluk; idari para cezası, itibar kaybı ve müşteri güveninin sarsılması gibi sonuçlar doğurabilir.

Temel Kavramlar: Kim Kimdir?

  • Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (ad, soyad, T.C. kimlik no, telefon, e-posta, IBAN, adres).
  • Özel nitelikli (hassas) kişisel veri: Sağlık, din, etnik köken, ceza mahkûmiyeti, biyometrik/genetik veri gibi daha sıkı korunan veriler.
  • Veri sorumlusu: Verinin işlenme amacını ve yöntemini belirleyen kişi/kurum. Çoğu işletme bu konumdadır.
  • Veri işleyen: Veri sorumlusu adına veri işleyen taraf (örneğin bulut yazılım sağlayıcınız ya da bordro hizmeti aldığınız büro).
  • İlgili kişi: Verisi işlenen gerçek kişi; yani müşteriniz, çalışanınız veya tedarikçinizdeki yetkili.

Veri Sorumlusu Olarak Yükümlülükleriniz

İşletmeniz bir gerçek kişinin verisini işlediği andan itibaren veri sorumlusu sıfatını taşır. Bu sıfatın getirdiği başlıca yükümlülükler aşağıdadır.

1. Hukuka Uygun İşleme Şartı

Kişisel veriyi işlemek için kanunda sayılan işleme şartlarından en az birinin bulunması gerekir. Bunlar arasında en sık karşılaşılanlar: kanunlarda açıkça öngörülmesi (örneğin vergi mevzuatı gereği fatura düzenlemek), bir sözleşmenin kurulması veya ifası (sipariş/teslimat), veri sorumlusunun hukuki yükümlülüğü (defter ve belge saklama) ve meşru menfaat'tir. Bu şartlardan biri varsa, ayrıca açık rıza almanız gerekmeyebilir. Açık rıza ise son çare niteliğindedir; özellikle pazarlama/ticari elektronik ileti gibi durumlarda gündeme gelir.

2. Aydınlatma Yükümlülüğü

Veriyi topladığınız anda ilgili kişiyi; hangi verinin, hangi amaçla, hangi hukuki sebeple işlendiği ve kimlere aktarılabileceği konusunda bilgilendirmeniz gerekir. Web sitenizde bir Aydınlatma Metni, sözleşmelerinizde bir KVKK bilgilendirme maddesi bulundurmak iyi bir uygulamadır.

3. Veri Güvenliği Tedbirleri

Kanun, verinin yetkisiz erişime karşı korunması için gerekli teknik ve idari tedbirlerin alınmasını zorunlu kılar. Pratikte bu; erişim yetkilendirmesi, güçlü parolalar, şifreleme, düzenli yedekleme, log kaydı ve personel farkındalık eğitimi demektir. Verilerinizi düzensiz Excel dosyalarında değil, yetki ve loglama içeren bir sistemde tutmak bu açıdan büyük fark yaratır.

4. İlgili Kişi Başvurularını Yanıtlama

Müşteriniz veya çalışanınız; verisinin işlenip işlenmediğini öğrenme, düzeltilmesini, silinmesini ya da aktarıldığı yerleri sorma hakkına sahiptir. Bu başvuruları, mevzuatta öngörülen süre içinde (2026 itibarıyla genel uygulama en geç 30 gün) ve kural olarak ücretsiz yanıtlamanız beklenir. Güncel süre ve istisnalar için müşavirinize veya KVKK Kurumu'nun resmi açıklamalarına danışın.

VERBİS: Kayıt Zorunluluğu Kimi Kapsar?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), veri sorumlularının işledikleri verilere ilişkin temel bilgileri (kategoriler, amaçlar, saklama süreleri, alınan tedbirler) beyan ettiği kamuya açık bir sicildir. VERBİS'e kayıt, kişisel verinin kendisini değil; hangi tür verileri ne amaçla işlediğinizi özetleyen bir envanteri ifade eder.

Tüm işletmeler VERBİS'e kaydolmak zorunda değildir. Kurul, çalışan sayısı, yıllık mali bilanço büyüklüğü ve işlenen verinin niteliği gibi kriterlere göre istisnalar ve eşikler belirlemiştir. Örneğin belirli bir çalışan sayısının ve mali büyüklüğün altında kalan, ana faaliyeti hassas veri işlemek olmayan küçük işletmeler kayıt yükümlülüğünden muaf tutulabilir. Ancak ana faaliyet konusu özel nitelikli veri işlemek olanlar (örneğin sağlık kuruluşları) eşik altında olsalar bile kapsama girebilir.

2026 itibarıyla bu eşik değerleri ve istisnalar Kurul kararlarıyla güncellenebildiğinden, kayıt yükümlülüğünüz olup olmadığını net olarak teyit etmek için güncel için KVKK Kurumu'nun resmi VERBİS duyurularını ve mali müşavirinizi kontrol edin. İşletmeniz kapsamdaysa, kayıt için son tarihi kaçırmamak idari yaptırımları önlemek açısından önemlidir.

VERBİS Kaydı: Adım Adım Yol Haritası

  1. Kapsam tespiti: Çalışan sayınız, mali büyüklüğünüz ve işlediğiniz veri türlerine göre kayıt zorunluluğunuz olup olmadığını müşavirinizle değerlendirin.
  2. Kişisel veri envanteri hazırlama: Hangi verileri (müşteri, çalışan, tedarikçi), hangi amaçla, ne kadar süre sakladığınızı ve kimlerle paylaştığınızı listeleyin.
  3. İrtibat kişisi belirleme: KVKK süreçlerinde Kurum'la iletişimi yürütecek kişiyi atayın.
  4. VERBİS'e giriş ve bildirim: Sistem üzerinden veri kategorilerini, işleme amaçlarını, saklama sürelerini ve alınan güvenlik tedbirlerini beyan edin.
  5. Politika ve metinleri yürürlüğe alma: Aydınlatma metni, saklama ve imha politikası ile gerekli rıza metinlerini hazırlayıp uygulayın.
  6. Güncel tutma: Veri işleme faaliyetlerinizde değişiklik oldukça envanteri ve VERBİS kaydını güncelleyin.
Muhasebenizi Verihat'a bırakın
e-Fatura, e-Arşiv, ön muhasebe ve e-Defter tek platformda. Kurulum yok, kredi kartı gerekmez.
14 Gün Ücretsiz Dene →

Muhasebede Kişisel Veri: En Sık Karşılaşılan Alanlar

İşletmelerin kişisel veriyle en yoğun temas ettiği yer muhasebe ve finans süreçleridir. Fatura kesmek, bordro hazırlamak, cari hesap tutmak; hepsi gerçek kişilere ait veriyle çalışır. Önemli olan, bu işlemenin doğru hukuki sebebe dayanması ve verinin güvenli tutulmasıdır.

Örneğin e-Fatura ve e-Arşiv Fatura düzenlerken müşterinizin kimlik ve iletişim bilgilerini işlemeniz, vergi mevzuatının açık bir gereğidir; burada işleme şartı "kanunlarda açıkça öngörülme" ve "hukuki yükümlülük" olarak doğar. Aynı şekilde cari hesap takibi bir sözleşme ilişkisinin ifası kapsamında değerlendirilir.

Hangi Veri, Hangi Hukuki Sebeple? (Karşılaştırma)

Süreç / Belge İşlenen Tipik Kişisel Veri Yaygın İşleme Sebebi
e-Fatura / e-Arşiv Ad-soyad, T.C./VKN, adres Kanunda öngörülme, hukuki yükümlülük
Bordro / özlük Çalışan kimlik, IBAN, SGK no İş sözleşmesi, hukuki yükümlülük
Cari hesap Müşteri/tedarikçi iletişim bilgisi Sözleşmenin kurulması/ifası
e-SMM (serbest meslek) Müşteri kimlik bilgisi Kanunda öngörülme
Pazarlama e-postası / SMS E-posta, telefon Açık rıza (kural olarak)

Bu ayrımı bilmek pratikte önemlidir: Bir faturadaki kimlik bilgisini işlemek için rıza istemenize gerek yokken, aynı müşteriye sonradan kampanya SMS'i göndermek için kural olarak ayrı bir açık rıza gerekir. e-SMM düzenleyen serbest meslek erbabı da aynı ilkelere tabidir.

Saklama ve İmha Dengesi

KVKK, verinin "amaç için gerekli süre kadar" tutulmasını ister. Ancak vergi ve ticaret mevzuatı, defter ve belgelerin belirli süre saklanmasını zorunlu kılar. Bu iki kural çelişmez: Vergisel saklama süresi boyunca veriyi tutmak hukuki yükümlülüktür; bu süre dolduğunda ise veriyi silmek, yok etmek veya anonim hâle getirmek için bir saklama ve imha politikası uygulamanız beklenir. Saklama süreleri belge türüne göre değişir; güncel süreler için müşavirinize danışın.

Veri İşleyen Seçimi ve Yazılımın Rolü

Muhasebe yazılımınızı, bulut sağlayıcınızı ya da mali müşavirinizi seçerken bu tarafların çoğu zaman sizin adınıza "veri işleyen" konumunda olduğunu unutmayın. Veri sorumlusu olarak, çalıştığınız tarafların da yeterli güvenlik tedbirlerini sağladığından emin olmak sizin sorumluluğunuzdadır. Bu nedenle yazılım seçerken yalnızca özelliklere değil, veri güvenliği, erişim yetkilendirmesi, yedekleme ve loglama gibi başlıklara da bakın. Bu kriterler, genel bir muhasebe programı seçimi kararının ayrılmaz parçasıdır.

Verihat, e-Fatura, e-Arşiv, e-Defter, e-SMM ve bordro gibi kişisel veri içeren süreçleri tek bulut platformunda yönetirken; kullanıcı bazlı yetkilendirme, işlem kayıtları ve düzenli yedekleme gibi tedbirleri standart olarak sunar. Bu sayede dağınık dosyalar yerine, kimin hangi veriye eriştiğinin izlenebildiği bir altyapıda çalışırsınız. Pazaryeri entegrasyonları üzerinden gelen müşteri verileri de aynı kontrollü ortamda toplanır.

Sık Yapılan Hatalar

  • "Biz küçüğüz, KVKK bizi bağlamaz" yanılgısı: Çalışan sayısından bağımsız olarak, gerçek kişi verisi işleyen her işletme veri sorumlusudur. VERBİS muafiyeti, KVKK'dan tümüyle muaf olmak anlamına gelmez.
  • Her şey için rıza toplamak: Kanuni zorunluluk veya sözleşme gereği işlenen verilerde gereksiz rıza almak, sonradan rıza geri çekilince süreci kilitler.
  • Veriyi dağınık tutmak: Korumasız Excel/WhatsApp üzerinden veri paylaşmak güvenlik tedbiri yükümlülüğünü ihlal eder.
  • Saklama süresini hiç düşünmemek: "Her ihtimale karşı sonsuza dek saklamak" da bir uyumsuzluktur.

Sonuç: KVKK Bir Yük Değil, Düzenli Veri Yönetimi Fırsatı

KVKK uyumu, özünde verinizi bilinçli ve düzenli yönetmektir. Hangi veriyi neden tuttuğunuzu bilmek, onu güvenli bir sistemde saklamak ve gerektiğinde temizlemek; hem yasal riski azaltır hem de işletmenize güven kazandırır. Muhasebe ve fatura süreçlerinizi yetki, log ve yedekleme içeren bir bulut platformunda toplamak, bu uyumun en somut adımıdır.

İşletmenizin kişisel veri içeren tüm muhasebe süreçlerini tek, güvenli ve denetlenebilir bir ortamda yönetmek istiyorsanız Verihat'ı keşfedin. e-Fatura'dan e-Defter'e, ön muhasebeden bordroya kadar her şey tek panelde. 14 gün ücretsiz deneyin ve verilerinizi düzene sokun. Bu içerik genel bilgilendirme amaçlıdır; işletmenize özel KVKK uyumu için mali müşavirinize veya bir hukuk uzmanına danışın.

Muhasebenizi tek platformda yönetin

e-Fatura, e-Arşiv, e-Defter, ön muhasebe, müşavir portalı ve pazaryeri entegrasyonları. Kurulum yok, kredi kartı gerekmez.

14 Gün Ücretsiz Başla →

Sıkça Sorulan Sorular

Küçük bir işletme olarak KVKK'ya uymak zorunda mıyım?+

Evet. Çalışan sayınızdan bağımsız olarak, gerçek kişiye ait herhangi bir veri (müşteri, çalışan, tedarikçi bilgisi) işliyorsanız KVKK kapsamında veri sorumlususunuz ve kanunun temel ilkelerine uymanız gerekir. VERBİS kayıt muafiyeti bulunması, KVKK'nın tümünden muaf olduğunuz anlamına gelmez; aydınlatma, veri güvenliği ve ilgili kişi başvurularını yanıtlama yükümlülükleri her durumda geçerlidir.

VERBİS'e kayıt olmak zorunda mıyım?+

Bu, çalışan sayınız, yıllık mali büyüklüğünüz ve işlediğiniz verinin niteliğine bağlıdır. Belirli eşiklerin altında kalan ve ana faaliyeti hassas veri işlemek olmayan küçük işletmeler muaf tutulabilir; ancak eşik değerleri ve istisnalar Kurul kararlarıyla güncellenebilir. 2026 itibarıyla kayıt yükümlülüğünüz olup olmadığını netleştirmek için KVKK Kurumu'nun güncel VERBİS duyurularını ve mali müşavirinizi kontrol edin.

Fatura kesmek için müşterimden KVKK rızası almam gerekir mi?+

Kural olarak hayır. Fatura düzenlemek vergi mevzuatının açık bir gereği olduğundan, müşterinin kimlik ve iletişim bilgisini işlemeniz 'kanunlarda açıkça öngörülme' ve 'hukuki yükümlülük' işleme şartlarına dayanır; ayrı bir açık rıza gerekmez. Ancak aynı müşteriye sonradan pazarlama amaçlı SMS veya e-posta göndermek isterseniz, bunun için kural olarak ayrıca açık rıza almanız gerekir.

KVKK gereği müşteri ve çalışan verilerini ne kadar süre saklamalıyım?+

KVKK verinin yalnızca amaç için gerekli süre kadar tutulmasını ister; ancak vergi ve ticaret mevzuatı defter ve belgelerin belirli süre saklanmasını zorunlu kılar. Bu süreler boyunca veriyi tutmak hukuki yükümlülüktür, süre dolduğunda ise veriyi silmek, yok etmek veya anonimleştirmek için bir saklama ve imha politikası uygulamanız beklenir. Belge türüne göre değişen güncel saklama süreleri için müşavirinize danışın.

Bulut muhasebe yazılımı kullanmak KVKK açısından risk mi yaratır?+

Aksine, doğru seçilmiş bir bulut yazılımı uyumu kolaylaştırır. Bu durumda yazılım sağlayıcısı sizin adınıza 'veri işleyen' konumundadır; sizin sorumluluğunuz, yeterli güvenlik tedbirleri (erişim yetkilendirmesi, şifreleme, yedekleme, loglama) sunan bir sağlayıcı seçmektir. Verileri dağınık Excel dosyaları yerine yetki ve işlem kaydı içeren tek bir platformda toplamak, KVKK'nın veri güvenliği yükümlülüğünü yerine getirmenize yardımcı olur.

İlgili Yazılar

e-Fatura Nedir, Nasıl Kesilir? 2026 Rehberi
Devamını oku →
e-Arşiv Fatura Nedir? e-Fatura'dan Farkı ve Düzenleme
Devamını oku →
Ön Muhasebe Nedir? KOBİ'ler İçin Eksiksiz Rehber
Devamını oku →