Kişisel Veri Envanteri Nasıl Hazırlanır?

Kişisel Veri Envanteri Nasıl Hazırlanır?

Kişisel bir envanteri nasıl hazırlanır sorusu 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile önemli hale gelen sorulardan biridir. Kanunun çeşitli hükümlerinde, veri sorumlusunun kişisel veri envanteri hazırlama yükümlülüğü olduğu ifade edilmiştir. Hukuka aykırılık ortaya çıkmaması adına, hazırlanan kişisel veri envanterlerinin veri sorumlusu tarafından ortaya konulan veri işleme faaliyetleriyle uyumlu hale getirilmesi gerekmektedir.

Kişisel Veri Envanteri Nedir?

Kişisel veri envanteri; veri sorumlusunun faaliyetleri sırasında işlediği kişisel birilerin türleri, üyeleri işlerine amaçları, veli kategorileri, kişisellerinin aktarıldığı üçüncü kişileri yahut ayrı saklama süresine barındıran rapordur. 

Kişisel veri envanteri, veri sorumlusunun veri işleme faaliyetlerinde gerçekleştirdiği her türlü işlerini detaylandıran ve kişisel verilere ilişkin hususların tespitleri sağlayan denetleme mekanizması işlevi de görmektedir.

Kişisel Veri Envanteri Hazırlamakla Yükümlü Olan Veri Sorumluları Kimlerdir?

Kişisel veri envanteri hazırlamakla yükümlü olan veri sorunları VERBİS kayıt yükümlülüğü altındaki veri sorumlularıdır. 

Noterler, siyasi partiler, avukatlar, yeminli mali müşavirler, serbest muhasebeci mali müşavirler, günlük müşavirleri, arabulucular gibi VERBİS kaydından muaf olan veri sorumluları, kişisel veri envanteri hazırlama yükümlülüğünden de muaftır. 

VERBİS kaydından muaf olan veri sorumlularına ilişkin detaylı bilgi, “VERBİS Kaydı” başlıklı makalede detaylıca açıklanmaktadır.

Kişisel Veri Envanterinde Bulunması Gereken Bilgiler

Kişisel veri envanterinde bulunması gereken bilgiler asgari olarak şunlardır:

  • İşlenen kişisel verilerin dahil olduğu veri kategorileri, 
  • Kişisel veri işleme amacı ve hukuki sebebi, 
  • Verilerin aktarıldığı üçüncü kişiler ve alıcı grupları, 
  • Kişisel verisi işlenen kişi grupları, 
  • Kişisel verilerin muhafaza edileceği azami süre, 
  • Yurt dışına aktarılacak kişisel veri türleri, 
  • Veri güvenliğinin sağlanması için alınan teknik ve idari tedbirler. 

Yukarıda yer alan veriler dahil olmak üzere, kişisel veri envanteri her veri sorumlusunun organizasyon yapısına ve büyüklüğüne uygun olacak şekilde oluşturulmaktadır. 

Örneğin, veri işleyen departmanın adı, bilgi girişi yapan çalışan, faaliyetin adı, özel nitelikli kişisel veri kategorileri, aydınlatma yapılıp yapılmadığı, kişisel verinin elde edildiği yöntem, periyodik imha süresi, verilerin muhafaza edildiği ortam gibi hususlar da kişisel veri envanterinde bulunabilir

Kişisel Veri Envanteri Nasıl Hazırlanır?

Kişisel biri envanteri; veri sorumlusunun veri işleme faaliyetleri göz önünde bulundurularak kategorizasyon yapılmasıyla hazırlanır. Kişisel veri envanteri hazırlama aşamaları şunlardır:

  • Veri Sorumlusunun Kişisel Veri İşleme Süreçlerinin Tespit Edilmesi
  • İşlendiği Tespit Edilen Kişisel Verilerin Niteliklerinin Belirlenmesi
  • Verilerin Hukuki Tespitinin Yapılması
  • Kişisel Veri İşleme Amaçlarının Belirlenmesi
  • Kişisel Veri Gruplarının Tespit Edilmesi
  • Kişisel Verilerin Muhafaza Edileceği Sürenin Belirlenmesi
  • Veri Aktarımının Yapılacağı Alıcı Gruplarının Belirlenmesi
  • Yurt Dışına Aktarım Yapılacak Kişisel Verilerin Belirlenmesi
  • Veri Güvenliğini Sağlamak İçin Alınan İdari ve Teknik Tedbirlerin Belirlenmesi

Veri Sorumlusunun Kişisel Veri İşleme Süreçlerinin Tespit Edilmesi

Kişisel veri envanterinin hazırlanmasında öncelikle veri sorumlusunun organizasyonel yapısı tespit edilip tüm birimler bazında iş süreçleri çıkarılır. İş süreçlerinde yapılan faaliyetler, kullanılan bilgi ve belgeler irdelenir. 

Bu noktada, birden fazla birim tarafından işlenen aynı verilerin kaydında tekrara düşmemek önemlidir. Diğer bir taraftan, aynı verinin farklı birimlerde farklı amaçlarla kullanılması halinde, farklı muhafaza edilme süreleri gündeme gelebilir. Yahut bir veri birimdeki işlenme faaliyeti sonucunda yurt dışına aktarılmıyorken diğer birimde aktarılabilmektedir. Tüm bu farklılıklar ve benzerlikler göz önünde bulundurarak doğru kayıtlardan oluşan bir veri envanteri hazırlanmalıdır. 

İşlendiği Tespit Edilen Kişisel Verilerin Niteliklerinin Belirlenmesi

Veri sorumlusunun faaliyetleri sırasında işlenen kişisel veriler tespit edildikten sonra bu verilerin nitelikleri belirlenmelidir. Bu noktada işlenen kişisel verinin özel nitelikli olup olmadığı tespit edilir. 

Kişisel ve işlenen kişisel verilerin özel nitelikli olup olmaması; işlenme amacı yahut yurt dışına aktarım gibi hususları etkilediğinden oldukça önemlidir.

Verilerin Hukuki Sebebinin Tespitinin Yapılması

Bir sonraki adım olarak kişisel veri işleme faaliyetlerinin hukuki sebebinin tespiti yapılır. Bu itibarla, kişisel verinin, Kanunun 5. ve 6. maddelerinde sayılan hangi hukuki sebep gerekçesiyle işlendiği belirlenir. 

Örneğin, ilgili kanunlarla açıkça öngörülmesi, kanun hükmünün yerine getirilmesi, sözleşmenin kurulabilmesi için zorunlu olması vs. 

Bu noktada işlenen kişisel verinin özel nitelikli olup olmamasına göre bir ayrım yapılır. Özel nitelikli olmayan kişisel veriler için Kanunun 5. maddesinde bulunan hukuki sebepler, özel nitelikli kişisel veriler için Kanunun 6. maddesinde bulunan hukuki sebepler dikkate alınır.

Kişisel Veri İşleme Amaçlarının Belirlenmesi

Veri işleme sebeplerinin tespit edilmesinden sonra kişisel veri işleme amaçlarının da belirlenmesi gerekmektedir. Kişisel bir işleme süreçlerinde herhangi bir amacın bulunmaması halinde ilgili verinin işlenmemesi kuraldır. 

Veri işleme amaçları her somut olay yahut her veri niteliğine göre değişebilmektedir. Örneğin, çalışanlara ait kimlik verileri; finans ve muhasebe işlerinin yürütülmesi amacıyla, insan kaynakları amacıyla, iş sağlığı güvenliği amacıyla, performans değerlendirme amacıyla, eğitim ya da denetim amacıyla işlenebilmektedir.

Kişisel Veri Gruplarının Tespit Edilmesi

Kişisel veri grupları tespit edildikten sonra verilerin sınıflandırılması amacıyla gruplar oluşturulmaktadır. İşlenen kişisel veriler bu gruplarda kategorize edilmektedir. 

Örneğin, çalışanlardan alınan kişisel veriler; kimlik bilgileri, bilgilere adres, kan grubu bilgisi gibi çeşitli kategorilere ayrılabilir. 

Kişisel Verilerin Muhafaza Edileceği Sürenin Belirlenmesi

Kişisel verileri muhafaza edileceği süre, Kanunda yer alan hükümler uygulanarak yahut veri işleme amacı göz önüne alınarak belirlenmektedir. Belirlenen sürenin sonunda işlenen kişisel verinin imha edilmesi gerekmektedir. 

İmha süresi belirlenirken öncelikle veri sorumlusunun faaliyetlerine ilişkin düzenlemeler barındıran kanunlarda herhangi bir saklama süresi bulunup bulunmadığına bakılmalıdır. Kanunlarda hususa ilişkin bir düzenleme bulunmaması halinde her veri işleme amacına uygun olarak saklama süreleri veri sorumlusu tarafından belirlenir. 

Bu noktada, saklama süresinin veri işleme amacıyla orantılı olması gerekmektedir. Kişisel verilerin kullanım amacıyla orantılı olmayan süreler boyunca saklanması hukuka aykırılık meydana getirecektir.

Veri Aktarımının Yapılacağı Alıcı Gruplarının Belirlenmesi

Veri aktarımının yapılacağı alıcı gruplarının belirlenmesi yurt içi ve yurt dışı aktarım için önemli olan bir husustur. Bu kısımda üçüncü kişilere aktarılacak kişisel veriler ve aktarımın yapılacağı alıcılar yer alır.

Örneğin, veri sorumlusunun faaliyetleri gereği iş ortakları, hissedarlar, tedarikçiler, topluluk şirketleri, kamu kurum ve kuruluşları ile paylaşılacak veriler bu alana yazılır.

Yurt Dışına Aktarım Yapılacak Kişisel Verilerin Belirlenmesi

Yurt dışına aktarımının yapılması kanunda özel olarak düzenlenen hususlardan olduğundan yurt dışına aktarılacak veriler de envanterde ayrıca gösterilmektedir. Bu kısımda veri sorumlusunun faaliyetleri sonucu işlenen verilerden hangilerinin yurt dışındaki şirketlere yahut veri işleyenlere aktarılacağı bilgileri yer almaktadır.

Veri Güvenliğini Sağlamak İçin Alınan İdari ve Teknik Tedbirlerin Belirlenmesi

Veri güvenliğinin sağlanması için alınan idari ve teknik tedbirler veri sorumlusunun Kanuni yükümlülüklerindendir. Kişisel verilerin hukuku aykırı olarak işlenmesini önleme, muhafazasını sağlama yahut verilere hukuk aykırı olarak erişilmesini önlemek için alınan tedbirler envantere kaydedilir. 

Veri sorumlusunun, veri güvenliğini sağlamak için almakla yükümlü olduğu teknik ve idari tedbirlerin ilişkin detaylı bilgi “KVKK teknik ve idari tedbirler” başlıklı makalede açıklanmaktadır.

Kişisel Veri Envanteri Nasıl Hazırlanır?

Kişisel Veri Envanterinin VERBİS Kayıtları ile Farkı

Kişisel veri envanterinin VERBİS kayıtları ile farkı, raporların içeriğine ve şekline ilişkin detaylardır. VERBİS kayıtları kişisel verileri yahut amaçlarını kategorik olarak sınıflandırırken kişisel veri envanterinde hangi verilerin hangi amaçlarla işlendiği, ne kadar süreyle muhafaza edileceği bilgileri detaylıca yazılır. 

VERBİS kayıtları kamuya açık şekilde tutulurken kişisel veri envanteri veri sorumlusunun bünyesinde bulunan bir rapordur. Yalnız, Kişisel Verileri koruma Kurumu tarafından talep edilmesi halinde ibraz edilmektedir. 

VERBİS kayıtları zorunlu olarak sistemde tutulmaktadır. Kişisel veri envanteri ise herhangi bir şekil işaretine bağlı olmaksızın fiziki ortamda tutulabileceği gibi tercih edilen elektronik ortamda da düzenlenebilmektedir.

Sonuç

Kişisel veri envanteri hazırlama yükümlülüğü, ilgili kanunlarda düzenlenen yükümlülüklerinden biridir. Kişisel veri envanteri hazırlamadan önce veri sorumlusun bu yükümlülüğe tabi olup olmadığı tespit edilir. Yapılan tespitten sonra, yine veri sorumlusunun faaliyetlerine ilişkin olarak değerlendirmeler yapılarak veri envanteri hazırlanır. Veri envanterinde herhangi bir hata yahut eksiklik olmaması adına, sürecin alanında uzman bir KVKK avukatı ile yürütülmesi önemlidir.