VERİ ENVANTERİ NASIL HAZIRLANIR?
Kanunun görev verdiği veri sorumluları, kanunun öngördüğü ve emrettiği şekilde veri envanteri hazırlamakla yükümlüdürler. Veri envanteri hazırlama usul ve esasları, ilgili kanunun ilgili maddelerinde detaylı olarak anlatılmıştır.
Burada amaç, işletme faaliyetlerinin veri işleme ve depolama açısından düzenli bir şekilde yerine getirilmesi ve kişilerin ya da kurumların veri güvenliğinin tam olarak sağlanmasıdır.
Kişisel Veri İşleme Envanteri Bileşenleri Nelerdir?
Aşağıda kişisel veri işleme envanterleri bileşenleri ile ilgili açıklamaları maddeler halinde bulacaksınız:
- Verileri işleyen departman,
- Veri işleme süreci ve faaliyetleri,
- Verilerin kategorilendirilmesi,
- Veriye konu olan kişiler ya da gruplar,
- Verilerin ne kadar sürede muhafaza edileceği,
- Veri alıcı grupları,
- Yurtdışına aktarılacak olan verilere ilişkin bilgiler ve
- Verilerle ilgili alınacak idari ve teknik tedbirlerin belirlenmesi.
Kimler Veri Envanteri Hazırlamakla Yükümlüdür?
Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. Maddesinin 1. Fıkrası (ç) bendine göre; “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında sicile açıklanacak bilgileri Kişisel veri işleme envanterine dayalı olarak hazırlanır.” Hükmü yer alır.
Ayrıca, aynı kanunun (d) bendinde; “Kanunun 10. Maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, kanunun 13. Maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak sicile sunulan ve sicilde yayınlanan bilgiler esas alınır.” Hükmü yer alır.
Envanter İçeriğinde Neler Var?
Veri envanteri içeriğinde aşağıdaki hususlar yer alır:
- Veri kategorisi,
- Kişisel verilerin ne amaçla işlendiği ve hukuki nedenleri,
- Verileri aktaran alıcılar ve alıcı grupları,
- Veriye konu olan kişi grupları,
- Kişisel verilerin ne kadar sürede muhafaza edileceği,
- Yabancı ülkelere veri aktarımı,
- Veri güvenliğine yönelik olarak alınacak tedbirler.
Yukarıda saydığımız maddelerin her birinin veri envanteri içeriğinde yer alması gerekir.
Tabi ki KVKK envanter içeriğinde başka bilgilerin de yer alması gerekiyor. mesela kişisel verilerin çeşitliliğinin envanter içerisinde belirtilmesi gerekiyor. ayrıca kişisel verilerin üçüncü kişilere ne şekilde aktarılacağı ve dolaşım sürelerinin de envanter içerisinde yer alması gerekiyor.
Verilerin ne kadar sürede saklanması ve hangi nedenlerden dolayı silinmesi ve imha edilmesi gibi konularda veri envanteri içerisinde yer alması gereken konular arasında yer alıyor.
Envanter Hazırlamak için Ekip Oluşturulması
KVKK envanter hazırlama işlemi için belirli bir ekibin oluşturulması gerekir. Veri sorumluları, kanunun kendilerine verdiği yetkiye dayanarak bir ekip oluşturabilir. Buradaki amaç, verilerin eksiksiz bir şekilde yerine getirilmesi ve kanunun belirlediği yükümlülüklerin aksamadan gerçekleştirilmesidir.
İlgili kanun maddesi veri envanteri için oluşturulacak ekip için de bazı tavsiyelerde bulunmuştur. Kanun özellikle konusunda yetkin kişilerin ekipte yer almasının yararlı olacağını belirtir. Ayrıca kişisel veriler hakkında detaylı bilgiye sahip olan ve hukuk, bilgi işlem ve insan kaynakları gibi birimlerde uzmanlaşmış olan kişilerin ekibe dahil olmasını ister.
Doğal olarak ekibin başında, veri sorumlusu bulunur. Veri sorumlusu ise fiziksel ya da elektronik ortamda işlenen verilerin analizini yapmakla yükümlüdür. Daha doğrusu birincil görevi budur. Diğer görevleri de ekibin kalan üyelerine dağıtır.
Kişisel verilerin:
- Doğru bir şekilde işlenebilmesi,
- Depolanabilmesi,
- Değiştirilebilmesi,
- Açıklanması,
- Devrinin alınması,
- Sınıflandırılması ve
- Gerektiğinde imha edilmesi gibi
İşlemlerin tek bir kişi tarafından yapılması mümkün değildir. Bu yüzden yukarıda saydığımız kişilerden oluşan bir ekip kurulması ve bu ekip tarafından sağlıklı bir veri envanterihazırlanması gerekir. Ekibin her bir üyesi, envanterin bir parçası üzerinde çalışmalıdır. Daha doğrusu çalışması yararlı olacaktır. bu yüzden veri sorumlusunun envanter çalışmasından önce etkili bir plan yapması gerekir.
Son aşamada veri sorumlusu başkanlığında, veri işleme ve diğer konularla ilgili eğitim çalışmalarının gerçekleştirilmesi gerekir.
Envanter Hazırlama Aşamaları
Veri envanteri hazırlamak amacıyla ekip kurulduktan sonra, belirli aşamalarla envanterin hazırlanmasına geçilir.
Ekip tarafından aşağıdaki maddeler sırasıyla uygulanarak, veri envanteri hazırlanabilir.
- Kişisel Verilerin Tespiti
Ekip öncelikle tüm süreci tek tek tespit eder. Yapacakları faaliyetler hakkında kapsamlı bir plan hazırlar. Kişisel verilerin teker teker belirlenmesi ve nasıl işleneceğinin belirlenmesi gerekir.
Bazı kişisel veriler birden fazla işlenebilir. Bu durumda ekip tarafından tespit edilir ve envantere konu edilir.
Yapılan tüm süreç daha sonra detaylı bir şekilde analiz edilir. Analiz işlemi, yapılan faaliyetlerin karıştırılmaması ve mükerrer işleme neden olunmaması içindir.
- Kişisel Verilerin Niteliklerinin Belirlenmesi
Kişisel verilerin yapısının belirlenmesi önemlidir. Çünkü her bir veri kendisine özgü yapıya sahiptir. Bazı veriler özel niteliklere sahip olabilir. Bazı verilerde hassas yapıda olabilir. İlgili kanunda verilerin yapıları ve nitelikleri hakkında detaylı bilgilere yer verilmiştir.
VERBİS envanteri oluşturulurken bu aşamada; kimlik, özlük, iletişim verileri, finans, sendika üyeliği, ceza mahkumiyeti bilgisi ve sağlık verisi işlenebilir. Bu gibi durumlarda veriler özel nitelikli kategorisine dahil edilmelidir.
Yani kişisel verilerin ayrımı kanunda önemli olarak belirtilmiştir. Eğer bu ayrım yapılmazsa, ayrım yapılmadığından dolayı yüksek cezalarla karşılaşılabilir.
- Verilerin Hukuki Nedenlerinin Tespiti
Veri sorumlusu ekibi ile birlikte kanunun 5. Ve 6. Maddesinde belirtilen hangi işleme şartlarının uygulanacağına karar verir. Daha doğrusu hukuki olarak tespitte bulunur.
Mesela bir emlakçı ya da kiracı ile birlikte imza edilen sözleşme, kişisel veri envanterine konu olabilir. Ya da bir müşteriye SMS yoluyla bilgi iletilmiş olabilir. Bu gibi ayırımların net bir şekilde hukuki açıdan belirtilmesi gerekir.
- Veri İşleme Amaçlarının Tespit Edilmesi
İlgili kanunun 4. Maddesinin 2. Fıkrası (ç) bendinde; “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi veri sorumluları açısından belirtilmiştir. Yani veri sorumluları, verileri ne amaçla işleyeceklerini veri envanteri kapsamında detaylı bir şekilde belirtmeliler.
Eğer veri amacının belirlenmesine zorlanılıyorsa ya da veri işleme amacının belirlenmesi imkansızsa, o zaman veri sorumlusu ekibi ile birlikte o veriyi imha etmeli ya da silmelidir.
- Veriye Konu Olan Kişilerin ya da Grupların Belirlenmesi
Veri sorumlusu ekibiyle beraber, kişisel verilerin hangi grupta yer alması gerektiğini belirtirler. Aynı işlem kişiler bazında da geçerlidir.
Yani veri sorumlusu kişisel verileri hangi kişi ya da kişi grupları bazında işlediğini belirlemelidir.
Bu maddeyi uygulayabilmek için VERBİS sisteminde yer alan “veri konusu kişi grupları” bölümünden yararlanabilirsiniz.
- Verilerin Saklama Sürelerinin Belirlenmesi
Doğal olarak hiçbir veri sonsuza kadar saklanmaz. En azından kişisel verilerin birçoğu bu kategoride değerlendirilebilir.
İlgili kanunun 4. Maddesinin 2. Fıkrasının (d) bendinde; “İlgili mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesine yer verilmiştir. Bu ilkeye göre, kişisel verilerin saklanma süreleri veri sorumlusu ve ekibi tarafından net bir şekilde belirlenmelidir.
Veri Envanteri Neden Hazırlanır?
Veri sorumluları tüm faaliyetlerini kanuna uygun bir şekilde gerçekleştirmek zorundadır. Ayrıca veri envanteri hazırlanması, verilerin işlenmesi ve imhasına kadar geçen sürecin sağlıklı bir şekilde kontrol edilebilmesi için gereklidir.
Veri envanteri hazırlanması sayesinde kişisel veriler kolayca tespit edilir ve işlenebilir.
KVKK Veri envanteri örneği için, https://kvkk.gov.tr/SharedFolderServer/CMSFiles/b5fe209d-3c12-4c70-8dac-a2eaa5742ae6.xlsx adresini ziyaret edebilirsiniz.
Veri envanteri ve diğer konular hakkında, https://www.orcdanismanlik.com/ sitemizi ziyaret edebilir, bizlerden detaylı bilgi alabilirsiniz.