Kişisel veriler ile ilgili diğer yazılarımıza ulaşmak için tıklayınız.
Kişisel veri işleme envanteri, Veri Sorumluları Sicili Hakkında Yönetmelik’te; “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter” olarak tanımlanmıştır. Kısaca envanter, veri sorumlularının gerçekleştirdiği bütün veri işleme faaliyetlerini gösteren dokümandır.
Envanter Hazırlamakla Yükümlü Olanlar
VERBİS’e kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla da yükümlüdür. VERBİS başvurularında VERBİS’e açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır. Dolayısıyla VERBİS’e kayıt yükümlülüğü altında olan şirketler tarafından envanterin de hazırlanması gerekmektedir.
Veri sorumlularının tüm yükümlülükleri için ilgili yazımıza göz atabilirsiniz.
Envanter ile VERBİS’in Farkları
Envanter ile VERBİS arasında temel olarak üç fark bulunmaktadır.
A. VERBİS’te, “veri kategorileri” bazında veri sorumlusu tarafından kişisel veri işlenip islenmediği ve işleniyorsa bu veri kategorilerinin hangi amaçlarla işlendiği, aktarım olup olmadığı, aktarım yapılan alıcı grupları, varsa saklama süresi, ilgili kişiler ve alınan güvenlik tedbirleri konusunda bilgi girişi yapılması gerekirken; Envanterde veri sorumlusunun tüm iş süreçlerinde yer alan tüm faaliyetleri bazında elde ettiği belge, doküman, veri kümesi, kayıtlar gibi kişisel veri içeren tüm fiziksel veya elektronik ortamlarda islenen kişisel verilerin her biri için ayrı ayrı olmak üzere hangi amaç̧ ve hukuki gerekçelerle işlendiği, aktarım olup olmadığı, aktarım yapılan üçüncü taraflar, saklama süreleri, veri konusu kişi grupları ve alınan güvenlik tedbirleri bilgisini içeren ve çok daha detaylı olarak hazırlanan bir rapor olması gerekir. Kısaca VERBİS’te sadece başlıklar halinde kategorik bazda bilgi girişi yapılırken, Envanterde bu verilerin, alt kırınımlarıyla birlikte detaylı şekilde yer alması gerekmektedir. Dolayısıyla VERBİS aslında Envanterde bulunan bilgilerin özetidir.
B. VERBİS’e girilen bilgiler kamuya açık olarak sistem üzerinden sergilenmektedir. Envanter ise şirketlerin kendi bünyesinde kalacak ve sadece gerekli durumlarda ilgililere sunulmak için saklanacaktır.
C. VERBİS için bir sistem hazırlanmış ve ilgili ekranlardan giriş yapılması zorunlu tutulmuşken Envanterin şekli açısından herhangi bir yönlendirme yapılmamıştır.
Envanter İçeriğinde Bulunması Gerekenler
Hazırlanacak olan envanterde aşağıdakilerin bulunması önerilmektedir.
- Veriyi işleyen departman
- Süreç ve faaliyet bilgisi
- Veri kategorisi
- Kişisel Veri İşleme amacı ve işlemenin hukuki sebebi
- Veri konusu kişi grupları
- Muhafaza edilme süresi
- Alıcı grupları
- Yurtdışına aktarıma ilişkin bilgiler
- Alınan idari ve teknik tedbirler
Kişisel Veri İşleme Envanteri Nasıl Hazırlanmalıdır?
Kişisel veri işleme envanterinin hazırlanmasında en önemli husus, envanterin veri sorumlusunun bütün veri işleme faaliyetlerini eksiksiz olarak içermesidir. Bu kapsamda örneğin veri sorumlusu tüzel kişilik bünyesindeki her bir birimin gerek dijital (online ya da offline) ortamda herhangi bir cihaz vasıtasıyla gerekse dijital olmayan yollarla işlediği tüm veriler tespit edilmelidir.
Ayrıca envanterin oluşturulduğu sırada mevcut olmayan fakat daha sonra eklenen veri işleme faaliyetleri de en kısa sürede envantere eklenmelidir.
Bunun yanı sıra her bir faaliyetin; amaç, veri konusu kişi, alıcı grubu ve veri kategorisi ile de doğru ilişkilendirilmesine özen gösterilmelidir. Elbette bir kişisel veri birden çok amaçla işleniyor ya da birden çok kişiye aktarılıyor olabilir. Bu halde kişisel verilerinin farklı işleme amaçlarının ya da aktarım faaliyetlerinin ayrı ayrı gösterilmesi gerekecektir.
Kurul, envanterin hazırlanmasının herhangi bir şekil şartına bağlı olmadığını, kolayca erişilebilir ve veri işleme faaliyetlerine ilişkin doğru bilgilendirmeye elverişli olmak koşuluyla isteğe bağlı olarak metin ya da liste formunda hazırlanabileceğini ifade etmiştir. Tarafımızca da önerilen en makul form liste (tablo) formudur.
Envanter oluşturulurken önerilen akış aşağıdaki gibidir:
1. Süreç Bazında Kişisel Verilerin Tespiti
Öncelikli olarak kişisel verilerin işlendiği tüm süreçlerin, faaliyetlerin belirlenmesi gerekmektedir. Süreçler kapsamında hangi kişisel verilerin işlendiğinin tek tek tespit edilmesi, bir anlamda veri sorumlusu faaliyetlerinin kişisel veriler açısından fotoğrafının çekilmesidir.
2. İşlenen Kişisel Verinin İşleme Sebebinin Tespiti
İkinci olarak işleme sebebinin belirlenmesi ve veri işlemenin KVKK’da sayılan açık rıza dışındaki istisna hallerinden birine girip girmediği belirlenmelidir. Eğer bu istisnalar kapsamına girmeyen bir veri işleme söz konusuysa ya açık rıza alınmalı ya da bu veri işleme faaliyeti sonlandırılmalıdır.
3. Aktarılan Kişisel Verilerin Tespiti
Üçüncü olarak, verilerin aktarılıp aktarılmadığı tespit edilerek, verilerin aktarıldığı kişiler ile gerekli sözleşmeler imzalanmalıdır.
4. Alınan ve Alınacak Teknik ve İdari Tedbirlerin Belirlenmesi
Son basamak olarak ise hali hazırda alınmış olan teknik tedbirler tespit edilmeli, eksikler varsa giderilmeli ve yeterli idari tedbirlerin alınması gerekmektedir.
Kişisel Veri İşleme Envanterinin Amacı ve Önemi
Yukarıda da ifade edildiği üzere, kişisel veri işleme envanteri veri sorumlusunun bütün kişisel veri işleme faaliyetlerini ortaya koyan bir dokümandır.
Envanter;
- VERBİS kayıt başvurusunda kullanılacaktır. Envanterdeki bilgilerin özet hali VERBİS’e geçirilecektir.
- Aydınlatma yükümlülüğünün yerine getirilmesinde kullanılacaktır. Aydınlatma ve bilgilendirme metni envanter üzerinden belirlenen verilere ilişkin olarak hazırlanacaktır.
- Açık rızanın kapsamının belirlenmesinde kullanılacaktır. İstisna hallerine girmeyen durumlarda açık rıza alınması gerekmektedir.
- Veri sahibi ilgili kişilerin başvurularının yanıtlanmasında kullanılacaktır.
- Kişisel Veri Saklama ve İmha Politikasının hazırlanmasında kullanılacaktır. Muhafaza süreleri ve diğer tedbirler bu politika ile belirlenecektir.
- Diğer kurumsal politikaların hazırlanmasında kullanılacaktır.
Kişisel veri işleme envanterinin hazırlanması ve bu konularla ilgili daha fazla bilgi ve danışmanlık hizmeti almak için tarafımızla sitemizdeki iletişim sayfasından veya info@startupnedir.com e-posta adresinden iletişime geçebilirsiniz.