CRM İpuçları9 Temmuz 20264 dk okuma

KVKK ve CRM: Müşteri Verisi Tutarken Yasal Yükümlülükleriniz

CRM'de müşteri verisi tutan her şirketin KVKK karşısındaki yükümlülükleri: aydınlatma, açık rıza, VERBİS, veri güvenliği ve silme politikaları.

LLeadout Editoryal EkibiCRM süreçleri ve satış operasyonları
KVKK ve CRM: Müşteri Verisi Tutarken Yasal Yükümlülükleriniz

CRM'de müşteri verisi tutuyorsanız KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) kapsamında veri sorumlususunuz demektir — ve bu, yazılımın değil şirketinizin yükümlülüğüdür. İyi haber: CRM, doğru kurgulandığında KVKK uyumunu zorlaştıran değil kolaylaştıran bir araçtır; çünkü dağınık Excel'lerin aksine kimin verisinin nerede olduğunu bilirsiniz.

Not: Bu yazı bilgilendirme amaçlıdır, hukuki danışmanlık yerine geçmez; uyum programınızı bir KVKK uzmanı/hukukçuyla birlikte kurmanızı öneririz.

CRM'deki hangi veriler KVKK kapsamında?

Kişisel veri, gerçek kişiyi belirlenebilir kılan her bilgidir. CRM'de tipik olarak: ad-soyad, telefon, e-posta, unvan, görüşme notları, teklif geçmişi — hepsi kapsamdadır. Dikkat edilmesi gereken nokta: tüzel kişi verisi (şirket adı, vergi no) kapsam dışıdır ama o şirketteki yetkilinin adı ve cep telefonu kapsam içidir. B2B çalışıyorum diye muaf değilsiniz.

Aydınlatma yükümlülüğü: veriyi almadan önce

Verisini işlediğiniz kişiyi; hangi veriyi, hangi amaçla, hangi hukuki sebeple işlediğiniz ve haklarının neler olduğu konusunda bilgilendirmek zorundasınız. Pratikte bu şu demek:

  • Web formunuzun yanında aydınlatma metni linki bulunmalı,
  • Telefonla toplanan verilerde ilk temasta bilgilendirme yapılmalı,
  • Fuarda toplanan kartvizitler CRM'e girilirken de aydınlatma gerekir — en pratik yol, ilk e-postada metne link vermektir.

Açık rıza ne zaman gerekir, ne zaman gerekmez?

Yaygın bir yanılgı: her veri işleme için rıza gerektiği. Gerçekte KVKK, sözleşmenin kurulması/ifası ve meşru menfaat gibi rıza dışı hukuki sebepler tanır. Kabaca:

  • Rıza gerekmez: Teklif istemiş bir müşteri adayının iletişim bilgisini teklif süreci için işlemek (sözleşme öncesi adım).
  • Rıza gerekir: Aynı kişiye pazarlama e-postası/SMS göndermek. Ticari elektronik ileti için ayrıca İYS (İleti Yönetim Sistemi) onayı zorunludur.

CRM tarafındaki pratik karşılığı: kişi kartında iletişim izni alanları (e-posta izni, SMS izni, tarihçesiyle) tutmak ve pazarlama listelerini yalnızca izinli kayıtlardan oluşturmak. Bu alanların kurulumu, CRM kurulum projelerimizde standart adımdır.

VERBİS kaydı gerekiyor mu?

Yıllık çalışan sayısı 50'den fazla veya yıllık mali bilanço toplamı eşiğin üzerindeki şirketler ile ana faaliyeti özel nitelikli veri işlemek olanlar VERBİS'e (Veri Sorumluları Sicili) kayıt olmak zorundadır. Eşik altındaysanız kayıt gerekmeyebilir; ancak aydınlatma, güvenlik ve silme yükümlülükleri herkes için geçerlidir — VERBİS muafiyeti KVKK muafiyeti değildir.

Yurt dışına veri aktarımı: bulut CRM meselesi

Zoho, HubSpot, Salesforce gibi platformların sunucuları çoğunlukla yurt dışındadır; buraya veri girmek hukuken yurt dışına aktarımdır. 2024 değişiklikleriyle bu alan yeniden düzenlendi: standart sözleşme, bağlayıcı şirket kuralları ve yeterlilik kararları gibi mekanizmalar tanımlandı. Pratik adımlar:

  • Platformunuzun veri merkezi seçeneklerini kontrol edin (bazı platformlarda AB bölgesi seçilebilir),
  • Platformun veri işleme sözleşmesini (DPA) inceleyin ve saklayın,
  • Aydınlatma metninizde yurt dışı aktarımı açıkça belirtin,
  • Aktarım mekanizmasını (ör. standart sözleşme bildirimi) hukukçunuzla netleştirin.

Veri güvenliği: CRM tarafında alınacak önlemler

  • Rol bazlı yetki: Satışçı yalnızca kendi müşterisini görsün; tüm veriyi dışa aktarma yetkisi kısıtlı olsun. (En sık veri sızıntısı yolu: ayrılan çalışanın tüm listeyi Excel'e alması.)
  • İki faktörlü doğrulama: Tüm kullanıcılarda zorunlu tutun.
  • Erişim logları: Kim neyi görüntüledi/indirdi kayıtlarını açık tutun.
  • Ayrılan personel prosedürü: Hesap kapatma, işten çıkış checklist'inin ilk maddesi olsun.

Silme ve saklama: "sonsuza kadar tut" bir politika değildir

KVKK, amaç için gerekli süre kadar saklamayı emreder. CRM'inizde bir saklama politikası kurun: örneğin 5 yıldır hiçbir etkileşimi olmayan adaylar periyodik olarak anonimleştirilsin veya silinsin. Kişinin silme talebi geldiğinde 30 gün içinde yanıt zorunludur — CRM'de kişiyi bulup işlem yapmak dakikalar sürer; dağınık Excel'lerde ise bu talep karşılanamaz bile. Veri aktarımı projelerinde eski sistemlerdeki gereksiz kişisel veriyi taşımamak da bu ilkenin parçasıdır.

CRM projesinde rol dağılımı nasıl yapılmalı?

Teknik ekip güvenlik ve erişim kontrollerini kurabilir; ancak işleme amacı, hukuki sebep, saklama süresi ve ilgili kişi süreçleri yalnızca yazılım ayarı değildir. Hukuk/KVKK sorumlusu, iş birimi ve teknik ekip birlikte çalışmalıdır.

KonuBirincil sorumlulukCRM'deki karşılığı
İşleme amacı ve hukuki sebepHukuk/KVKK + iş birimiToplanan alanlar ve kullanım amacı
Erişim yetkisiİş birimi + bilgi güvenliğiRol, profil, dışa aktarma ve paylaşım izinleri
Saklama ve imhaHukuk/KVKK + kayıt sahibiSüre alanı, otomatik görev, anonimleştirme/silme akışı
İlgili kişi başvurusuVeri sorumlusu organizasyonuKayıt bulma, düzeltme, dışa aktarma ve işlem kaydı
Yurt dışı aktarımıHukuk/KVKK + satın alma/BTVeri merkezi, sağlayıcı sözleşmesi ve aktarım mekanizması

Uygulama öncesi veri envanteri nasıl çıkarılır?

  1. CRM'e girecek her alanı ve verinin geldiği kaynağı listeleyin.
  2. Her alan için amaç, hukuki sebep, erişecek rol ve saklama süresini belirleyin.
  3. Gerçekten gerekmeyen alanları daha sisteme taşımadan çıkarın.
  4. Özel nitelikli kişisel veri bulunup bulunmadığını ayrıca kontrol edin.
  5. Entegrasyonlarla CRM dışına giden veriyi ve alıcı grubunu haritalayın.

Bu çalışma aynı zamanda CRM'i sadeleştirir. Kullanılmayan veriyi hiç toplamamak, sonradan korumaya ve silmeye çalışmaktan daha güvenlidir.

Resmî kaynakları nereden takip etmelisiniz?

Mevzuat ve Kurul uygulaması değişebileceği için karar verirken Kişisel Verileri Koruma Kurumu duyurularını ve güncel mevzuatı esas alın. Özellikle yurt dışı aktarımı, standart sözleşmeler, VERBİS istisnaları ve başvuru süreçleri için şirketinize özel hukuki değerlendirme alın.

Sınırımız açık: Leadout teknik gereksinimleri CRM'e uygular; hukuki sebebi veya uyum görüşünü kendisi icat etmez. Yetki, log, izin alanı ve silme akışı gibi ayarları, şirketinizin hukuk/KVKK sorumlusunun onayladığı kurala göre kurar.

Özet kontrol listesi

  • Aydınlatma metni tüm veri toplama noktalarında mevcut mu?
  • Pazarlama iletişimi için açık rıza + İYS kaydı var mı, CRM'de izin alanları tutuluyor mu?
  • VERBİS yükümlülüğünüz kontrol edildi mi?
  • Platformun DPA'sı ve veri merkezi konumu biliniyor mu?
  • Rol bazlı yetki, 2FA ve erişim logları aktif mi?
  • Saklama/silme politikası tanımlı ve işletiliyor mu?

CRM projesinde izin alanları, yetki matrisi, erişim kontrolleri ve silme iş akışları gibi teknik gereksinimleri, şirketinizin onayladığı KVKK politikasına göre yapılandırıyoruz. Mevcut sisteminizin KVKK karşısındaki durumunu görmek isterseniz ücretsiz analiz toplantısında bu başlıkları birlikte gözden geçirebiliriz.

← Tüm yazılara dön

Son güncelleme: 9 Temmuz 2026

Türkiye geneli CRM danışmanlığı

CRM ihtiyacınızı birlikte netleştirelim

Bir şey satmak için değil, mevcut takip sürecinizi anlamak için kısa bir görüşme yapalım. Size hazır bir CRM'in mi yoksa özel bir kurgunun mu uygun olduğunu açıkça söyleyelim.

0554 145 45 50
Bağlayıcılık yok
Sorularınıza aynı gün yanıt
Kurulum sonrası destek