Yasal·
31 Mart 2026
Bir banka müfettişi veya SPK denetçisi şirketinize kapıyı çaldığında, "O e-postayı sildik" cevabı hem idari para cezasına hem de yönetim kurulu üyelerinin şahsi sorumluluğuna yol açabilir. Finans sektöründe e-posta arşivi yalnızca teknik bir IT meselesi değil; yasal zorunluluk, denetim kanıtı ve kurumsal hafıza bütünüdür.
Finans sektöründe e-posta arşivini düzenleyen tek bir kanun yoktur; aksine birbiriyle örtüşen çok katmanlı bir mevzuat söz konusudur. Bu katmanları doğru anlamak, uyum programının temelini oluşturur.
Bankacılık Kanunu (5411 sayılı): Madde 73, bankaların müşteriye ilişkin her türlü bilgi ve belgeyi gizlilik ilkesine uygun biçimde saklamasını zorunlu kılar. Bankacılık Düzenleme ve Denetleme Kurumu'nun (BDDK) 2014 tarihli Bankalarda Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği ise elektronik kayıtların bütünlüğü, gizliliği ve erişilebilirliği konusunda teknik çerçeveyi çizer. Bu yönetmelik kapsamında bankalar, elektronik yazışma kayıtlarını BDDK'nın belirlediği süreler boyunca saklamakla yükümlüdür.
Sermaye Piyasası Kanunu (6362 sayılı) ve SPK Tebliğleri: Sermaye Piyasası Kurulu'nun III-45.1 sayılı Yatırım Hizmetleri ve Faaliyetleri Tebliği'nin 34. maddesi, aracı kurumların müşteri emirleri, takas bilgileri ve danışmanlık yazışmalarını en az 10 yıl boyunca saklamasını öngörür. Emir kayıtları ile müşteri şikâyetlerine ilişkin yazışmalar bu kapsama açıkça dahildir.
5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun (AML): MASAK (Mali Suçları Araştırma Kurulu) düzenlemeleri çerçevesinde, şüpheli işlem bildirimleri ile müşteri tanıma (KYC) süreçlerine ait yazışmalar iş ilişkisinin sona ermesinden itibaren 8 yıl, bazı hallerde ise Savcılık talebiyle daha uzun süreler için saklanmalıdır. 2021 yılında yayımlanan MASAK Genel Tebliği (Sıra No: 13) bu yükümlülükleri somutlaştırmaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK): Arşivleme yükümlülüğü ile kişisel verilerin silinmesi zorunluluğu arasında denge kurulması gerekir. KVKK'nın 7. maddesi ve bu maddeye dayanılarak çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik; saklama süresi dolan verilerin imha edilmesini öngörür. Finans kurumları, mevzuat kaynaklı saklama zorunlulukları varken bu verileri silmek zorunda değildir; ancak saklama amaçları dışında kullanım yasaktır.
Aşağıdaki tablo, kurumun türüne ve yazışmanın içeriğine göre belirlenen asgari saklama sürelerini özetlemektedir. Sürelerin başlangıç noktası kurumdan kuruma değişebileceğinden ilgili mevzuat metnine daima başvurulmalıdır.
| Kurum Türü | Yazışma/Kayıt Türü | Minimum Saklama Süresi | Yasal Dayanak |
|---|---|---|---|
| Bankalar | Genel müşteri yazışmaları, kredi dosyaları | 10 yıl | 5411 s.K. md.73; BDDK Bilgi Sistemleri Yön. |
| Bankalar | AML / KYC yazışmaları | 8 yıl (ilişki bitiminden) | 5549 s.K. md.8; MASAK Tebliği No:13 |
| Aracı Kurumlar | Müşteri emirleri, danışmanlık yazışmaları | 10 yıl | SPK III-45.1 Tebliği md.34 |
| Sigorta Şirketleri | Poliçe, hasar ve şikâyet yazışmaları | 10 yıl | 5684 s. Sigortacılık K.; Hazine ve Maliye Bak. yönetmelikleri |
| Ödeme Kuruluşları / E-Para | İşlem kayıtları, müşteri yazışmaları | 10 yıl | 6493 s.K.; BDDK Ödeme Hizmetleri Yön. |
| Tüm Finans Kurumları | Şüpheli işlem bildirimleri (STR) | 8 yıl (en az) | 5549 s.K. md.8 |
| Tüm Finans Kurumları | Vergi matrahına etki eden yazışmalar | 5 yıl (VUK md.253) | 213 s. VUK md.253 |
Yasal saklama süresini karşılamak tek başına yetmez; arşivin teknik bütünlüğü de denetim sırasında sorgulanır. Türk mevzuatında açıkça WORM (Write-Once, Read-Many) zorunluluğu öngörülmese de BDDK'nın bilgi sistemleri yönetmeliği, kayıtların "değiştirilemez ve silinemeyen" biçimde tutulmasını şart koşar; bu durum fiilen WORM uyumunu zorunlu kılar.
Zaman damgası: 5070 sayılı Elektronik İmza Kanunu ve buna bağlı TÜBİTAK BİLGEM tarafından işletilen zaman damgası hizmetleri, e-posta arşivlerinin belirli aralıklarla zaman damgasıyla korunmasını hukuki güvence açısından kritik hale getirir. Avrupa'da eIDAS Yönetmeliği'nin karşılığı olan bu uygulama, Türkiye'de yetkili sertifika hizmet sağlayıcıları aracılığıyla gerçekleştirilir.
RFC 3161 — Internet X.509 PKI Zaman Damgası Protokolü: Arşiv sistemlerinin çoğu RFC 3161 standardını kullanarak her mesaj için kriptografik zaman damgası üretir. Bu sayede "Bu e-posta sonradan değiştirildi mi?" sorusunun yanıtı matematiksel olarak kanıtlanabilir.
RFC 4880 — OpenPGP: Uzun vadeli e-posta arşivlemede mesajların orijinalliğini korumak için OpenPGP imzalaması ek bir güvence katmanı sağlar; özellikle sertifika zinciri geçersiz hale geldiğinde bile imzanın doğrulanabilmesi için arşiv sırasında açık anahtarların da saklanması gerekir.
Denetim izi (audit log): Arşive kimin hangi tarihte eriştiği, hangi mesajın görüntülendiği veya indirildiği kayıt altına alınmalıdır. BDDK müfettişleri bu logları inceleyebilir; eksiklik halinde idari yaptırım söz konusu olabilir.
Finans kurumlarının e-posta arşivini yurt dışı sunucularda tutması, BDDK ve KVKK açısından ek gereklilikler doğurur. BDDK'nın 2021 tarihli Bilişim Sistemleri Yönetmeliği'nin geçici maddeleri, belirli kritik veriler için yurt içi depolama zorunluluğunu getirmiş; 2023 itibarıyla bu kurallar netlik kazanmıştır.
Microsoft 365, Google Workspace veya benzer bulut hizmetleri kullanılıyorsa, hizmet sağlayıcının Türkiye'deki veri merkezi seçeneğinin (Microsoft Türkiye'de bölgesel veri merkezi açıklamış olmakla birlikte gerçek zamanlı durumu kontrol edilmelidir) ya da onaylı yerel bir arşiv katmanının tercih edilmesi önerilir. KVKK kapsamındaki yurt dışı aktarım için Madde 9 uyarınca ya yeterlilik kararı olan bir ülkeye aktarım ya da uygun güvenceler (standart sözleşme maddeleri veya BCR) gerekmektedir.
Genel kural olarak 10 yıldır. Ancak AML/KYC kapsamındaki yazışmalar iş ilişkisinin sona ermesinden itibaren en az 8 yıl, vergi matrahını etkileyen belgeler ise 213 sayılı VUK'un 253. maddesi uyarınca 5 yıl saklanmalıdır. Birden fazla mevzuat kapsamına giren yazışmalar için en uzun süre esas alınır.
Evet. BDDK ve SPK düzenlemeleri, yalnızca "resmi belge" niteliğindeki e-postaları değil, müşteri ile kurulan her türlü elektronik yazışmayı kapsama alır. Mesajın "gayri resmi" olması saklama yükümlülüğünü ortadan kaldırmaz.
SPK ve BDDK son yıllarda bu konuya ilişkin yorum ve rehberlik belgelerini güncellemiştir. Müşteri ile iş faaliyetine yönelik yapılan anlık mesajlaşmalar "elektronik yazışma" sayılabilmekte ve aynı arşivleme yükümlülüklerine tabi tutulmaktadır. Kurumun bu kanalları iş amaçlı kullanıma kapatması ya da arşiv kapsamına alması gerekir.
BDDK yönetmeliği "değiştirilemez ve silinemeyen" ifadesini kullanır; bu fiilen WORM uyumunu gerektirmektedir. Standart bir yedek sistemi, müdahale izleri olmaksızın veri değiştirilmesine izin verebileceğinden yasal standartı karşılamayabilir. Bulut tabanlı immutable blob depolama (örneğin Azure Immutable Storage, AWS S3 Object Lock) da bu gereksinimi karşılayabilir.
KVKK'nın 7. maddesi, saklama süresinin dolmasıyla birlikte kişisel verilerin imha edilmesini emreder. Ancak sektörel mevzuat (bankacılık, sermaye piyasası) kaynaklı saklama zorunluluğu varken KVKK imha yükümlülüğü askıya alınır. Saklama süresi sona erince ise veriler periyodik imha takvimi çerçevesinde silinmeli ya da anonimleştirilmelidir.
BDDK ve SPK denetimleri önceden bildirim yapılmaksızın başlatılabilir. Denetçiler belirli mesaj veya zaman aralığına ait e-postaları genellikle saatler içinde talep edebilir. Arşiv sisteminin hızlı arama ve dışa aktarım yeteneklerine sahip olması bu nedenle kritiktir.
5411 sayılı Kanun kapsamında BDDK, idari para cezası uygulayabilir; ağır ihlallerde faaliyet izninin kısıtlanmasına kadar gidebilir. SPK, aracı kurumlar için yetki belgesi iptali dahil çeşitli yaptırımlar uygulayabilir. Bunların yanı sıra dava sürecinde delil olabilecek e-postaların yokluğu, kurumu hukuki risk altına sokabilir.
Evet, ancak sorumluluk devredilmez. Hizmet sağlayıcıyla yapılacak sözleşmede SLA (hizmet düzeyi anlaşması) ile arşiv erişim garantisi, veri bütünlüğü taahhüdü ve BDDK denetimi sırasında anlık erişim imkânı mutlaka yer almalıdır. KVKK çerçevesinde hizmet sağlayıcı "veri işleyen" sıfatıyla aydınlatılmış veri işleme sözleşmesine taraf olmalıdır.
Türkiye'de faaliyet gösteren her kurum, yerel mevzuata tabidir. Grup politikası daha kısa saklama süreleri öngörse bile Türkiye şubesi BDDK ve SPK kurallarına uymak zorundadır. Türkiye'deki müşterilere ait veriler ek olarak KVKK'ya tabidir.
BDDK'nın iş sürekliliği ve felaket kurtarma düzenlemeleri, arşiv sistemlerinin de iş sürekliliği planına dahil edilmesini ve periyodik olarak test edilmesini öngörür. Yılda en az bir kez gerçekleştirilecek veri bütünlüğü ve erişilebilirlik testleri hem iyi uygulama hem de denetim beklentisidir.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.