KVKK

Kişisel veri işleme envanteri nasıl hazırlanır?

KVKK envanteri ya da doğru adlandırılmasıyla kişisel veri işleme envanteri, veri sorumlusu nezdinde yürütülecek bir KVKK uyum sürecinin en önemli belgesidir. O halde birlikte bakalım; kişisel ver işleme envanteri nedir ve envanter nasıl hazırlanır?

KVKK uyum süreci

6698 sayılı Kişisel Verilerin Korunması Kanunu 2016 yılında hayatımıza girdi ve o günden bu yana sıkça gündeme geliyor. Konunun bu kadar gündem olmasının iki temel nedeni olduğunu söyleyebiliriz:

  • Hayatımızın tam ortasında kendine yer bulan kişisel veri kavramını hukuki bir mevzuata bağlamış olması
  • VERBİS kaydı yükümlülüğü getirmesi

VERBİS kaydı nedir?

Yukarıda sayılan sebeplerden ikincisi yani Veri Sorumluları Sicil Bilgi Sistemi, Kişisel Verileri Koruma Kurumu tarafından oluşturulan bir sicildir ve kısa ismi VERBİS’tir.

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yer alan bazı veri sorumlularına VERBİS kaydı yapma zorunluluğu getirilmiştir ki; bu zorunluluğun kimlere getirildiğini ve VERBİS kaydının nasıl yapılmasını gerektiğini daha önce zaten yazmıştım: https://mustafabaysal.com/verbis-kaydi-nasil-yapilir/

kvkk kişisel veri işleme envanteri

Kişisel veri kavramının önemi

Yukarıdaki sebeplerden ilki olarak ise kişisel veri kavramının bir hukuki mevzuata bağlanmış olmasını göstermiştim.

Bunlara göz atmadan gidersen, pişman olabilirsin!

Kişisel verilerimizi hayatımızın her alanında başkalarıyla paylaşıyor olsak da her şeyin neredeyse dijitalleştiği günümüz hayatında, kişisel verilerimiz daha korumasız ve paylaşıma açık.

Sahip olduğumuz her bir kişisel veri bize ait bir parça ve iznimiz olsun ya da olmasın, kişisel verilerimize sahip olanlar hakkımızda daha çok bilgiye de sahip oluyor.

Böylece bizi daha yakından tanıyan, zevklerimizi ve ihtiyaçlarımızı bilen ve bize ürün pazarlamak arzusunda olan bir kesim hayatımıza giriyor.

Kişisel veri nedir?

Kişisel veriyi belki yüz farklı biçimde ve öznel olarak tanımlamak mümkündür. Fakat 6698 sayılı Kanun’da kişisel veri şu şekilde tanımlanmıştır:

“Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”.

Bu tanımlamanın en önemli parçası, kanun kapsamında yer alan kişisel verinin yalnızca GERÇEK kişilere ait olmasıdır. Yani 6698 sayılı Kanun tüzel kişilerin verileriyle ilgilenmez ve bir tüzel kişiliğin verisi ancak ve ancak bir gerçek kişiyi belirliyorsa ya da belirlenebilir kılıyorsa, o zaman kanun kapsamına girer.

Ayrıca kişisel veriler ilgili kişiyi hem doğrudan belirleyebilir (Adı soyadı, TC kimlik numarası gibi) hem de onu belirlenebilir kılabilir (Saç rengi, ayakkabı numarası gibi).

kvkk envanter örnekleri

VERBİS kaydı ile envanter ilişkisi

Kişisel veri işleme envanteri hazırlamak her veri sorumlusu için zorunlu değildir; ancak VERBİS kaydı yapmakla yükümlü olanlar aynı zamanda ENVANTER hazırlamak ile de mükelleftir.

O halde şunu diyebiliriz ki; VERBİS kaydı zorunluluğu ile envanter zorunluluğu ya birlikte vardır ya da birlikte yoktur.

Yine de şunu önemle vurgulamak isterim ki; birazdan açıklayacağım nedenlerle, bir veri sorumlusunun ister VERBİS kaydı zorunluluğu olsun ve isterse de olmasın, kişisel veri işleme envanterinin bulunması her zaman onun yararına olacaktır.

Kişisel veri işleme envanteri nedir?

KVKK kişisel veri işleme envanteri “Veri Sorumluları Sicili Hakkında Yönetmelik”te şöyle tanımlanmıştır:

“Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir”.

Envanteri şahsen şöyle tanımlamayı da uygun ve doğru buluyorum:

“Kişisel veri işleme envanteri; veri sorumlusunun KVKK uyum sürecine temel olmak üzere hazırlanan ve veri sorulusunca işlenen tüm kişisel verileri barındıran, sahip olduğu bilgiler ile KVKK dokümanlarının oluşturulmasını sağlayan bir belgedir”.

kvkk envanter hazırlama

Envanter nasıl hazırlanır?

Kişisel veri işleme envanterinin hazırlanması başlı başına bir deneyim ve sistematik bir çalışma gerektirir. Envanter hazırlanırken akıldan çıkarılmaması gereken konu, bu envanterin tüm KVKK uyum sürecinin temeli olacağı ve veri sorumlusunca işlenen tüm kişisel verileri içermesi gerektiğidir.

Bir kişisel veri işleme envanteri hazırlanırken şu soruların cevaplarının bulunması gerekir. Her bir soru, envanterin bir sütununu teşkil edecektir:

  • Veri sorumlusu bünyesinde hangi birimler var?
  • Bu birimlerde hangi faaliyetler yürütülüyor?
  • Bu faaliyetler yürütülürken işlenen kişisel veriler neler?

Sonrasında tespit edilmiş bulunan her bir kişisel veri envantere yazılmalı ve her kişisel veri için olmak üzere aşağıdaki sorular sorulmalıdır:

  • Bu kişisel veri özel nitelikli kişisel veri mi? (Özel nitelikli kişisel veriyi daha önce tanımlamıştım: https://mustafabaysal.com/ozel-nitelikli-kisisel-veri/
  • Bu kişisel veriyi işleme amacı nedir?
  • Kişisel veri kimleri ilgilendiriyor?
  • Kişisel verinin işlenmesi için hukuki sebep nedir?
  • Bu kişisel veriyi ne kadar süre muhafaza edeceğim?
  • Kişisel veriyi yurt içinde ya da dışında bir yere aktarıyor muyum?
  • Kişisel verinin güvenliğini sağlamak için hangi tedbirleri alıyorum?

Yukarıda yer alan soruların hiçbirisi rastgele sorular değil ve bu sorular, aşağıda örneğini görebileceğiniz kişisel veri işleme envanterinin birer sütununu oluşturuyor.

KVKK envanteri ne işe yarar?

Kişisel veri işleme envanteri KVKK uyum sürecinin her şeyidir. O kadar önemli bir belgedir ki; eksik veya yanlış olursa, KVKK uyum süreci de eksik veya yanlış olacaktır.

Çünkü hem KVKK dokümanlarının hazırlanması ve hem de VERBİS kaydının gerçekleştirilmesi aşamalarında başvuracağımız kaynağımız envanter olacaktır.

Doğru bir dokümantasyon, içeriğini tamamen envanterden alacak ve hem belgeler hem de VERBİS kaydı envanter ile yüzde yüz uyumlu olacaktır.

KVKK envanteri olmadan VERBİS kaydı olmaz mı?

Kesinlikle olmaz! Bu tür sorulara genelde yumuşak cevaplar vermeyi tercih etsem de konu envanter olduğunda çok katı bir tavrımın olduğunun bilinmesini isterim.

Hele ki VERBİS kaydı yapılmış olmasına rağmen envanteri olmayan bir veri sorumlusu varsa ki ne yazık ki var, bu VERBİS kaydının spor toto oynamaktan farksız olduğunu söylemem gerekir.

Kaldı ki VERBİS kaydı yapmakla mükellef olan bir veri sorumlusunun envanter hazırlaması ayrıca yasal olarak zorunludur.

Bu nedenle önce envanter hazırlanmalı ve ancak hazır olduktan sonra KVKK belgeleri hazırlanmalı ve son olarak VERBİS kaydı yapılmalıdır.

kişisel veri işleme envanteri örneği

Kişisel veri işleme envanteri örneği

Bu envanterin bir örneği zaten Kişisel Verileri Koruma Kurumu’nun web sitesinde vardır ve Amerika’yı yeniden keşfetmeye gerek yok.

Ancak Kurum’un web sitesindeki örnek envanter pdf formatında ve yazının sonundaki bağlantıları kullanarak, o envanter esas alınarak hazırlanmış bir kişisel veri işleme envanterinin hem Word hem de Excel versiyonuna ulaşabilirsiniz.

Envanter oluşturulması için izlenmesi gereken yol

Biraz yukarıda, envanterin meydana getirilmesi için sorulması gereken sorulara yer verdim ve emin olabilirsiniz ki bu soruların sorulması ve cevaplarının doğru şekilde elde edilmesi halinde, mükemmel bir kişisel veri işleme envanteriniz olacaktır.

Ancak buradaki sorunlardan birisi, bu soru sorma işleminin nasıl yapılması gerektiği ile ilgilidir. Bunun için de bir yol haritam mevcut ve bu yol haritasının takip edilmesi işlerinizi kolaylaştıracaktır:

  • Envanter oluşturulması için öncelikle bir kişi veya mümkünse bir ekip görevlendirilir.
  • Bu ekip ya da kişi önce veri sorumlusunun tabi olduğu mevzuat başta olmak üzere veri sorumlusu ile ilgili temel düzeyde tüm bilgileri edinir.
  • Ardından birim yöneticileri ile toplantılar gerçekleştirilir.
  • Bu toplantılar alt düzeyde de devem ettirilir ve mümkün olduğunca çok personelle görüşülür.
  • Veri sorumlusu tarafından hazırlanmış tüm iç prosedürler ve iş akış şemaları tetkik edilir.
  • Bütün bu aşamalarda personele sürekli sorular sorulur ve işlenen kişisel veriler çıkarılmaya çalışılır.

Bu işlemler yürütülürken ana gaye, hiçbir kişisel verinin geride bırakılmaması olmalıdır. Bundan ötürü, küçük ya da büyük ayrımı yapmadan her bir faaliyet/süreç sonuna kadar incelenmelidir.

SONUÇ

KVKK uyum sürecinin en önemli aşamasının ne olduğu bana sorulsaydı, cevabım tereddütsüz şekilde “kişisel veri işleme envanteri” hazırlanması olurdu.

Kişisel veri işleme envanteri öyle bir belgedir ki; tıpkı bir ülkeden meri bulunan mevzuatın en tepesinde anayasanın olması ve diğer tüm mevzuatın ona dayanması gibi envanter de diğer tüm belgelerin üzerinde yer alır ve tüm KVKK dokümanları içeriği envantere dayanır.

Bu nedenle, veri sorumlusu bünyesinde yürütülen bir KVKK uyum sürecinde ilk ve esas odaklanılması gereken aşama kişisel veri işleme envanteri oluşturulması aşaması olmalıdır.

Kişisel veri işleme envanteri örneğinin Excel ve Word versiyonlarına aşağıdan ulaşabilirsiniz:

Excel: https://drive.google.com/file/d/1L_2l10xH6wPUIUUfi_lyhIT-Bgraj4My/view?usp=sharing

Word: https://drive.google.com/file/d/15JDN3AYGQPZ2S6RL2D74OaXCmTROUGwD/view?usp=sharing

12 adımda kvkk kitabı mustafa baysal

Mustafa Baysal

Sizin için doğru ve değerli bilgiyi paylaşmaya çalışıyorum. Bu yazı gerçekten işinize yaradıysa ve teşekkür etmek istiyorsanız, yapmanız gereken tek şey onu PAYLAŞMAK.

Bunlara göz atmadan gidersen, pişman olabilirsin!

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Aşağıdaki yazılara bakmadan gitme!
Kapalı
Başa dön tuşu