Rehber
Finansal Kuruluşlarda Şikayet Kayıtlarının Saklanması: BDDK, TCMB, MASAK ve KVKK Zorunlulukları
9 Haziran 2026 • 7 dk okuma
Banka, ödeme kuruluşu ve faktoring şirketleri şikayet kayıtlarını ne kadar süre saklamalı? BDDK, 6493, MASAK ve KVKK saklama sürelerini kurum türüne göre karşılaştırmalı rehber.
Bir müşteri şikayeti kapandıktan sonra iş bitmez. Kaydın ne kadar süre saklanacağı, hangi formatta tutulacağı, denetimde nasıl ibraz edileceği ve süre dolunca nasıl imha edileceği; bankacılık, ödeme sistemleri ve finansman sektörünü doğrudan ilgilendiren hukuki yükümlülüklerdir. BDDK, TCMB, MASAK ve KVKK bu konuda birbirinden farklı ama birbiriyle kesişen kurallar koymuştur. Bu kuralları yanlış anlamak ya da görmezden gelmek; idari yaptırımdan cezai kovuşturmaya kadar uzanan sonuçlar doğurabilir.
Bu yazı, kurum türüne göre hangi mevzuatın hangi saklama yükümlülüğünü getirdiğini ve KVKK'nın bu tabloya nasıl eklendiğini açıklıyor.
Kurum Türüne Göre Saklama Süreleri
Aşağıdaki tablo, Türkiye'deki finansal kuruluşların şikayet ve ilgili işlem kayıtları için tabi olduğu temel saklama sürelerini özetlemektedir.
| Kurum Türü | İlgili Mevzuat | Saklama Süresi |
|---|---|---|
| Bankalar | BDDK Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Yönetmelik | 10 yıl |
| Ödeme kuruluşları ve e-para kuruluşları | 6493 sayılı Kanun Madde 23 | 10 yıl |
| Faktoring, finansal kiralama, finansman şirketleri | 6361 sayılı Kanun + 6102 sayılı TTK | 10 yıl |
| MASAK yükümlüsü tüm finansal kuruluşlar (ek yükümlülük) | 5549 sayılı Kanun Madde 8 | 8 yıl (kimlik tespiti ve bildirim kayıtları için) |
On yıllık genel süre tablo genelinde ortak olmakla birlikte, her mevzuatın getirdiği ek koşullar ve istisnalar uygulamada büyük fark yaratmaktadır.
Bankalar: BDDK Muhasebe Yönetmeliği
Bankaların belge saklama yükümlülükleri, BDDK tarafından çıkarılan Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Yönetmelik ile düzenlenmiştir. Bu yönetmelik kapsamında mektuplar, elektronik posta yazışmaları, ilamlar ve faaliyetle ilgili tüm belgeler on yıl süreyle saklanmalıdır.
Şikayet kayıtları bu kapsama doğrudan girer. Bir müşteri şikayetine ilişkin başvuru formu, yazışma geçmişi, sonuç bildirimi ve varsa eskalasyon kararları; belge niteliği taşıdığından on yıllık saklama yükümlülüğüne tabidir. BDDK bilgi sistemleri denetimlerinde şikayet kayıtları, bu kayıtlara yapılan erişim logları ve arşiv bütünlüğü ayrı ayrı sorgulanmaktadır.
Denetimde yalnızca kaydın var olup olmadığı değil, şu sorular da yanıt bekler: İlgili başvuru kim tarafından alındı? Hangi kanaldan geldi? Ne zaman kayıt altına alındı? Hangi adımlarla yönetildi ve nasıl yanıtlandı? Bu soruların yanıtlarının değiştirilemez biçimde belgelenmiş olması beklenir.
Ödeme Kuruluşları ve E-Para Kuruluşları: 6493 Sayılı Kanun Madde 23
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun'un 23. maddesi, kayıt tutma ve saklama yükümlülüğünü açıkça düzenlemiştir.
Bu maddeye göre ödeme ve e-para kuruluşları, hizmetlere ilişkin kayıtları on yıl süreyle saklamakla yükümlüdür. Maddenin dikkat çeken iki özelliği vardır: Birincisi, kayıtların yurt içinde güvenli biçimde saklanması zorunludur; yurt dışı sunuculara ya da egemenlik alanı belirsiz bulut altyapılarına taşıma bu yükümlülüğü karşılamaz. İkincisi, kayıtlar istendiğinde ibraz edilebilir durumda olmalıdır; yani arşivlenmiş veri erişilebilir ve okunabilir formatta bulunmalıdır.
Uyumsuzluğun yaptırımı ağırdır. 6493 sayılı Kanun'un ilgili hükümleri çerçevesinde saklama yükümlülüğünü yerine getirmeyen kuruluş yöneticileri 1 ila 3 yıl hapis cezası ve 500 ila 1500 gün adli para cezasıyla karşılaşabilir. Bu, idari para cezasının ötesinde kişisel cezai sorumluluk içeren bir risk anlamına gelmektedir.
Faktoring, Finansal Kiralama ve Finansman Şirketleri: 6361 ve TTK
Faktoring, finansal kiralama ve tüketici finansmanı şirketleri iki ayrı mevzuatın kesiştiği bir alanda faaliyet gösterir: 6361 sayılı Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketleri Kanunu ile 6102 sayılı Türk Ticaret Kanunu.
6361 sayılı Kanun bu kuruluşları BDDK gözetimine tabi kılarak kayıt tutma ve saklama yükümlülüklerini bankacılık standartlarına yakın bir çerçevede düzenlemektedir. TTK'nın ticari defterlere ve belgelere ilişkin on yıllık saklama kuralı ise hem bu kuruluşlara hem diğer tüm ticari işletmelere genel bir zemin sağlar. Müşteri şikayetleri, ticari yazışma ve işlem belgesi niteliği taşıdığından bu genel yükümlülüğün kapsamına da girmektedir.
MASAK Yükümlülüğü: 5549 Sayılı Kanun Madde 8
Mali Suçları Araştırma Kurulu'nun (MASAK) suç gelirlerinin aklanmasının önlenmesi mevzuatı, finansal kuruluşlara ek bir saklama yükümlülüğü getirmektedir. 5549 sayılı Kanun'un 8. maddesi üç ayrı süre başlangıcı belirlemiştir:
- Belgeler düzenleme tarihinden itibaren 8 yıl saklanır.
- Defterler son kayıt tarihinden itibaren 8 yıl saklanır.
- Kimlik tespitine ilişkin belgeler son işlem tarihinden itibaren 8 yıl saklanır.
MASAK yükümlülüğü, pratik anlamda şunu ifade eder: Bankacılık veya 6493 kapsamındaki saklama süresi zaten on yıl olduğundan MASAK'ın sekiz yıllık süresi bu kuruluşlarda ayrıca bir alt limit oluşturmaz; genel süre daha uzundur. Bununla birlikte kimlik tespiti kayıtları için başlangıç noktası "son işlem tarihi" olduğundan, uzun süreli müşteri ilişkilerinde fiilen on yılı aşan saklama süreleri oluşabilir. Bu nüansı takip etmek, özellikle portföy devri ya da kuruluş birleşmelerinde önem kazanır.
KVKK ile Gerilim ve Çözümü
Kişisel Verilerin Korunması Kanunu, finansal saklama yükümlülükleriyle ilk bakışta çelişkili görünebilir. KVKK Madde 4 veri minimizasyonu ve saklama süresi sınırlılığı ilkesini benimser: kişisel veriler, işlenme amacı ortadan kalktıktan sonra tutulmamalıdır. KVKK Madde 7 ise işlenmesini gerektiren sebeplerin ortadan kalkması halinde verilerin silinmesini, yok edilmesini veya anonimleştirilmesini zorunlu kılar.
Ancak bu çelişki görünürdedir. KVKK Madde 28, açık bir yasal yükümlülüğün var olduğu durumlarda KVKK hükümlerinin o yükümlülüklere riayet ettiğini düzenler. Bankacılık mevzuatı, 6493 ve 6361 kapsamındaki on yıllık saklama zorunluluğu tam da bu anlamda KVKK açısından geçerli bir yasal dayanak oluşturur. Dolayısıyla şikayet kayıtlarını yasal süre dolmadan silmek KVKK uyumu gerekçesiyle savunulamaz; aksine ilgili sektör mevzuatına aykırılık oluşturur.
Gerilimin gerçek olduğu yer şurasıdır: on yıllık saklama süresi dolduğunda kişisel veriler derhal imha edilmelidir. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (İmha Yönetmeliği) bu noktada belirleyicidir. Söz konusu yönetmeliğe göre:
- Saklama süresi dolan veriler altı ayda bir gerçekleştirilen periyodik imha döngüsünde silinmelidir.
- Silme, yok etme ve anonimleştirme işlemlerinin kendisi de kayıt altına alınmalıdır.
- Bu imha kayıtları en az üç yıl süreyle saklanmalıdır.
Sonuç olarak uyum yalnızca "on yıl sakla" değil, "on yıl sonra sistematik ve belgelenmiş biçimde imha et" anlamına gelmektedir.
Elektronik Saklama ve İbraz Kabiliyeti
Saklama yükümlülükleri, fiziksel arşivle sınırlı değildir. Belgeler elektronik ya da manyetik ortamda, mikrofilm veya dijital arşiv biçiminde tutulabilir. Ancak kritik koşul değişmez: ibraz kabiliyeti her zaman mevcut olmalıdır. Denetim anında erişilemeyen ya da okunamayan kayıt, hukuki anlamda yoktur.
Bu durum bilgi sistemleri denetimi bağlamında özellikle önem kazanır. BDDK bilgi sistemleri denetiminde denetçiler yalnızca kaydın varlığını değil, arşivin bütünlüğünü ve erişim loglarını da inceler. Kim hangi kayda ne zaman erişti? Kayıt üzerinde değişiklik yapıldı mı? Silinmiş ya da değiştirilmiş kayıt var mı? Bu sorular, şikayet yönetim sisteminin teknik altyapısını doğrudan ilgilendirmektedir.
FlowDesk ile Kayıt Saklama Yönetimi
FlowDesk, finansal kuruluşlara şikayet kayıtlarını yukarıda açıklanan mevzuat çerçevesiyle uyumlu biçimde yönetme imkanı sunan on-premise bir platformdur. Bulut ya da SaaS model değildir; sistem tamamen kurum bünyesinde, kurumun kendi altyapısında çalışır.
On-premise arşiv: Şikayet kayıtları kurumun kendi veri merkezinde tutulur. 6493 sayılı Kanun'un yurt içi saklama zorunluluğu ve KVKK'nın veri egemenliği gereklilikleri doğal olarak karşılanır; üçüncü taraf bulut riskleri devre dışı kalır.
Veri erişim logu: Her kayda kimin, ne zaman, hangi işlemi gerçekleştirdiği otomatik olarak loglanır. Değiştirilemez denetim izi, hem BDDK bilgi sistemleri denetiminin hem de KVKK veri işleme şeffaflığı yükümlülüğünün gerektirdiği belgelemeyi sağlar.
İmha iş akışı: Saklama süresi dolan kayıtlar sistem tarafından işaretlenir. Altı aylık periyodik imha döngüsü tanımlanabilir; imha işlemi gerçekleştirildiğinde kayıt otomatik olarak arşivlenir. İmha kayıtları ayrı bir log katmanında üç yıl süreyle tutulur. KVKK İmha Yönetmeliği'nin gerektirdiği belgeleme böylece insan hatasına bırakılmadan yönetilir.
Denetim hazırlığı: E-posta, WhatsApp, IVR, webhook ve API kanallarından gelen tüm şikayet başvuruları tek bir platformda toplanır. Denetimde "hangi başvuru, kim tarafından, ne zaman, hangi kanaldan alındı, nasıl yanıtlandı" sorularının yanıtı sistem üzerinden anında üretilebilir. Raporlar, denetim öncesinde veri derlemek yerine standart sistem çıktısı olarak hazır bulunur.
Sonuç
Finansal kuruluşlarda şikayet kayıtlarının saklanması; tek bir mevzuatın değil, birbiriyle etkileşen BDDK, TCMB, MASAK ve KVKK düzenlemelerinin ortak bir yükümlülükler bütünüdür. On yıllık saklama süresi sektörde genel kural olmakla birlikte, yurt içi saklama zorunluluğu, ibraz kabiliyeti, imha yükümlülüğü ve imha kayıtlarının üç yıl tutulması gereklilikleri bu tabloya kritik boyutlar ekler.
Uyum, kayıtları bir yerde depolamaktan ibaret değildir. Kaydın yaratılmasından imhasına uzanan süreçte her adımın belgelenmesi, denetimde hızla ibraz edilebilmesi ve süre dolduğunda sistematik biçimde imha edilmesi gerekmektedir. FlowDesk bu süreci on-premise altyapı, değiştirilemez denetim izi ve otomatik imha iş akışıyla kurumların kendi bünyesinde yönetmesine olanak tanır.
Bu yazı genel bilgilendirme amaçlıdır ve hukuki danışmanlık niteliği taşımaz; süreler ve yükümlülükler mevzuat değişikliklerine göre güncellenebilir. Güncel mevzuat için BDDK, TCMB ve MASAK'ın resmi web sitelerini ve kurumunuzun hukuk/uyum birimini esas alın.
