Kişisel Veri Envanteri Nedir?

Kişisel Verilerin Korunmasıyla İlgili Seçilmiş Güncel Gelişmeler 25 Kişisel Verilerin Korunmasıyla İlgili Seçilmiş Güncel Gelişmeler 25

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” ifade eder.

Envanter, faaliyetleri kapsamında kişisel veri işlemekte olan veri sorumlularınca tüm süreçlerin değerlendirilmesi, bu süreçler kapsamındaki tüm faaliyetlerin irdelenmesi, her faaliyetle ilgili işlenen kişisel verilerin tek tek belirlenmesi, bu kişisel verilerin hangi amaçlar ve hukuki sebeple işlendiği, aktarılıp aktarılmadığı, kimlere aktarıldığı, işlenen kişisel verinin kimlere ait olduğu, her bir kişisel veri için veri sorumlusunca belirlenen saklama süresi, yurt dışına aktarım yapılıp yapılmadığı, verilerin güvenliği için hangi teknik veya idari tedbirlerin alındığı bilgilerinin detaylı analizinin yapılması sonucunda ortaya çıkacak bir tür rapordur.

Kişisel Veri Envanteri Nasıl Hazırlanır?

Veri Sorumluları Sicili Hakkında Yönetmeliğe göre; envanter hazırlarken asgari olarak şu unsurlara yer verilmelidir;

-Veri kategorisi,

-Kişisel veri işleme amaçları ve hukuki sebebi,

-Aktarılan alıcı / alıcı grupları,

-Veri konusu kişi grupları,

-Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi,

-Yabancı ülkelere aktarımı öngörülen kişisel veriler,

-Veri güvenliğine ilişkin alınan teknik ve idari tedbirler, yer alması gerekmektedir.

İşlenen kişisel verilerin niteliği ve sayısı, kişisel verisi işlenen kişilerin niteliği ve sayısı, kişisel verilerin çeşitliliği, kişisel verilerin veri sorumlusu bünyesinde veya aktarım yapılan üçüncü kişiler nezdinde dolaşımı, veri güvenliği için alınması gereken teknik ve idari tedbirlerin zorluk derecesi, yurt dışına aktarım, açık rıza alınmasını gerektirecek çok sayıda kişisel veri işlenmesi, saklama süreleri açısından farklılık arz eden verilerin niceliği, özel nitelikli kişisel veriler için alınacak yeterli önlemler, aktarım yapılacaksa bunun hukuki dayanağı gibi birçok kriter değerlendirilerek Envanterin mahiyeti, şekli ve yapısı ile bulunacağı ortama karar verilmesi daha uygun olacaktır.

Belirtmek gerekir ki; anılan yönetmeliklerde, Envanterde bulunması gereken asgari hususlar yer almakta olup buradan, envanterin sadece bu hususları içermesi gerektiği anlaşılmamalıdır. Aksine veri sorumluları, asgari olarak belirtilen bu hususlara faaliyetlerini kapsayacak şekilde diğer hususları da (departman adı, birim adı, bilgi girişi yapan kişi, süreç adı, faaliyetin adı, faaliyetin açıklaması, işlenen kişisel veri kategorisi, işlenen kişisel veri, Kanunun 5. maddesindeki işleme şartı, işlenen özel nitelikli kişisel veri kategorisi, işlenen özel nitelikli kişisel veri, Kanunun 6. maddesindeki işleme şartı, kişisel verisi işlenenlere ilk elde etme esnasında aydınlatma yapılıp yapılmadığı, kişisel verinin elde edildiği kaynak, elde etme yöntemi, saklandığı elektronik ortam, saklandığı fiziksel ortam, biriminiz dışında bu veriye erişenler, saklama amacı, periyodik imha süresi, aktarma amacı, kişisel veri aktarımının hukuki sebebi, kişisel veri aktarım yöntemi, özel nitelikli kişisel veri aktarımının hukuki sebebi, özel nitelikli kişisel veri aktarım yöntemi, alınan idari tedbirler, alınan teknik tedbirler, özel nitelikli kişisel veriler için alınan yeterli önlemler gibi) ilave edebileceklerdir.

Envanter Hazırlama Süreci İçin Atılması Gereken Adımlar Aşağıda Maddeler Halinde Sayılmıştır:

  • Süreç veya Faaliyet Bazında Kişisel Verilerin Tespiti
  • Tespit Edilen Kişisel Verilerin Niteliklerinin Belirlenmesi
  • İşlenen Kişisel Verinin Hukuki Sebebinin Tespiti
  • Kişisel Veri İşleme Amaçlarının Tespiti
  • Veri Konusu Kişi Grubunun Belirlenmesi
  • İşlenen Kişisel Verilerin Saklama Süresinin Belirlenmesi
  • İşlenen Kişisel Verilerin Aktarıldığı Alıcı / Alıcı Gruplarının Belirlenmesi
  • Yabancı Ülkelere Aktarılan Kişisel Verilerin Belirlenmesi
  • İşlenen Kişisel Veriler İçin Alınan Teknik ve İdari Tedbirlerin Belirlenmesi
Editör: Elif Kosedag