Şirket KVKK veri işleme envanterlerini usulüne uygun nasıl hazırlanır?
KVKK veri işleme envanteri, Veri Sorumluları Sicili Hakkında Yönetmeliği ile tanımlanmıştır.
Veri Sorumluları Sicili Hakkında Yönetmelik; “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” şeklindedir.
Veri işleme envanteri; veri sorumlusunun birimlerince hangi kişisel verinin ne amaçlarla işlendiğini, kimlerin kişisel verilerinin işlendiğinin, işlenen kişisel verinin genel nitelikli mi özel nitelikli mi olduğunun, hangi hukuki sebebe dayanılarak işlendiğinin, kimlere aktarıldığının, ne kadar süre muhafaza edildiğinin, yurt dışına aktarılıp aktarılmadığının, ne şekilde korunduğunun belirtilerek tek bir belgede açık biçimde toplanmasıdır.
Bilindiği üzere VERBİS’e kayıtla yükümlü olan kişilerin kişisel veri işleme envanteri hazırlamak yükümlülüğü bulunmaktadır. Firmalarca sıklıkla yapılan hata VERBİS kaydının oluşturulduktan sonra envanter hazırlanmasıdır. Aslında kişisel veri envanteri hazırlamak yükümlülüğü VERBİS’e kayıt yükümlülüğünün ilk aşamasını oluşturmakta olup VERBİS’e girilecek verilerin birimlerce tüm iş süreçleri içinde yer alan tüm faaliyetleri çerçevesinde daha özel bir ayrıştırmayla toplanmasıdır.
Ayrıca belirtmek gereklidir ki Kişisel Veri işleme Envanteri oluşturulmasındaki temel amaç kişisel veriyi detaylandırılarak anlaşılması ve yönetilmesini kolaylaştırmaktır. (Mustafa Baysal, KVKK Kişisel Verilerin Korunması El Kitabı, Veri İşleme Envanterinin Hazırlanması)
Peki envanter nasıl hazırlanmalıdır?
Veri sorumlusunun KVKK kapsamında yerine getirmesi gereken tüm yükümlülüklerinin temelinde yatan husus kişisel verinin doğru tespit edilmesi hususudur. Veri sorumlusu her bir kişisel veriyi ayrıca tespit etmediği sürece yükümlülüklerini tam olarak yerine getirdiğinden söz edilemeyecektir.
Veri Sorumluları Sicili Hakkında Yönetmeliğince Envanterde asgari olarak yer alması gereken unsurlar;
-Veri kategorisi,
-Kişisel veri işleme amaçları ve hukuki sebebi,
-Aktarılan alıcı / alıcı grupları,
-Veri konusu kişi grupları,
-Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi,
-Yabancı ülkelere aktarımı öngörülen kişisel veriler,
-Veri güvenliğine ilişkin alınan teknik ve idari tedbirler.
Envanter Oluşturma Aşamaları
KVK Kurumunun örnek olarak paylaştığı Kişisel Veri İşleme envanterinden ve Kişisel Veri İşleme Envanteri Hazırlama Rehberinden envanter oluşturma aşamalarını görebiliriz.
Envanter Oluşturma Aşamaları;
1. Veri Sorumlusuna ait departmanların belirlenmesi
2. Departmanda yürütülen iş faaliyetlerinin belirlenmesi
3. Yürütülen iş faaliyeti çerçevesinde işlenen kişisel verilerin belirlenmesi
4. İşlenen kişisel verilerin kimlere ait olduğunun belirlenmesi
5. İşlenen kişisel verilerin kategorisinin belirlenmesi
6. İşlenen kişisel verinin genel nitelikli mi özel nitelikli mi olduğunun belirlenmesi
7. Kişisel verinin hangi amaçla işlendiğinin belirlenmesi
8. Veri işleme hakkının hukuki sebebi ne olduğunun belirlenmesi
9. İşlenen kişisel verilerin ne kadar süre saklandığının belirlenmesi
10. Kişisel verilerin başkalarına aktarılıp aktarılmadığının, aktarılıyorsa kimlerle paylaşıldığının belirlenmesi
11. Kişisel verinin yurt dışına aktarılıp aktarılmadığının belirlenmesi
12. Kişisel verilerin korunması için alınan idari ve teknik tedbirlerin belirlenmesi gerekmektedir.