Dijital çağda, veri yönetimi hem ulusal hem de uluslararası düzeyde büyük bir öneme sahip. Hem KVK Kanunu hem de Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) bu kapsamda veri sorumlularına birtakım yükümlülükler getirmektedir. Bu yükümlülüğün başında tüm uyum çalışmalarına yön verecek nitelikte bir kişisel veri envanteri hazırlamak gelir.
Türk Hukukunda Kişisel Veri İşleme Envanteri
Türkiye’de kişisel verilerin korunması kapsamında, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt zorunluluğu olan veri sorumluları için kişisel veri işleme envanteri hazırlamak büyük önem taşıyor. Kişisel veri envanterinde özellikle:
- Yasal Zorunluluk: VERBİS’e kayıt zorunluluğu olan veri sorumlularının kişisel veri işleme envanteri hazırlaması zorunludur.
- Dokümanların Uyumu: Aydınlatma metinleri, açık rıza metinleri ve ilgili politikalar hazırlanırken kişisel veri işleme envanterine uygunluğu sağlamak, bu dokümanların hukuka uygunluğunu garanti eder.
- Veri Saklama Ortamları: Kişisel verilerin veri sorumlusunun alt yapısından nerelerde saklandığını ortaya koyar.
- Veri Saklama Süreleri: Envanter, verilerin ne kadar süreyle saklanacağını belirlerken bir rehberlik sağlar.
- Güncelleme Zorunluluğu: Kişisel veri işleme faaliyetlerinde bir değişiklik olduğunda, envanterin ve VERBİS kaydının güncellenmesi gerekmektedir.
Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bunun için en uygun yöntem bir veri işleme envanterinin hazırlanmasıdır.
Envanter hazırlama yükümlülüğü getirilmesinin nedeni; veri sorumlularının faaliyetlerine bağlı tüm süreçlerinde Kanuna uyumunun sağlanması, başka bir ifadeyle Kanuna aykırı bir kişisel veri işleme durumu olup olmadığının kolayca tespitinin sağlanmasıdır. Diğer bir ifadeyle, kişisel veri işleme faaliyetlerinin Kanuna uyumu ile ilgili veri sorumlusunun bir tür kendi kendini denetlemesidir.
Veri Sorumluları Sicili Hakkındaki Yönetmelik m. 4/1’de kişisel veri işleme envanteri “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter” olarak tanımlanmıştır.
Aynı yönetmeliğe göre, VERBİS’e kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicildeki beyanlar envantere dayalı olarak yapılır ve ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamı envantere dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır. Ayrıca veri sorumlusu kişisel veri saklama ve imha politikasını envantere uygun olarak hazırlamakla yükümlüdür
VERBİS’te sadece başlıklar halinde kategorik bazda bilgi girişi yapılırken, envanterde bu verilerin, alt kırılımlarıyla birlikte detaylı şekilde yer alması gerekmektedir. VERBİS’e kaydolacak envanter içeriğine KVK Online Danışman Yazılımı hesabında VERBİS Simülatörü sekmesinden erişebilirsiniz.
Envanter veri sorumlusunun kendi bünyesinde kalacak ve kamuya açık olmayacaktır. Ancak, Kurul tarafından talep edilmesi durumunda envanterin Kurula ibraz edilmesi gerekmektedir. Ayrıca, ilgili kişiler tarafından veri sorumlusuna başvurularda, ilgili kişiye verilecek cevap için envanterden faydalanılması gerekmektedir.
Envanterin için belirli bir şekil şartı bulunmamakla birlikte güncel tutulması gerekmektedir. KVK Online Danışman Yazılımı hem envanteri KVK ONLİNE Ekibi ile birlikte oluşturmanızda hem de güncellemenizde kolaylık sağlar ve veri işleyen departmanlarınızın aynı ekrandan giriş yapma imkânı verir. Böylece envanter değişikliklerini en son kimin yaptığını takip edebilir, güncel haline erişim sağlayabilirsiniz. Envanter tamamlandıktan sonra istediğiniz formatta bilgisayarınıza indirebilir veya paylaşabilirsiniz.
GDPR Kapsamında Kişisel Veri İşleme Envanteri: Veri Koruma Etki Değerlendirmesi (DPIA)
GDPR (Genel Veri Koruma Tüzüğü) kapsamında da kişisel veri işleme envanteri hazırlama zorunluluğu bulunmaktadır, bu “Veri Koruma Etki Değerlendirmesi” (Data Protection Impact Assessment – DPIA) olarak adlandırılır. DPIA, özellikle yüksek risk taşıyan veri işleme faaliyetleri için gereklidir. Bu değerlendirme, planlanan veri işleme faaliyetlerinin kişisel veri koruma hükümlerine uygun olup olmadığını belirlemek için yapılır.
Sonuç
Hem Türkiye’de hem de Avrupa Birliği’nde kişisel verilerin korunması, sadece bir yasal zorunluluk değil, aynı zamanda şirketlerin itibarını koruma ve bireylerin haklarını güvence altına alma sorumluluğudur. Bu bağlamda, veri sorumluları için kişisel veri işleme envanteri hazırlamak, bu sorumluluğun en temel ve kaçınılmaz adımlarından biridir.