Bilindiği üzere 7 Nisan 2016'da 6698 sayılı Kişisel Verilerin Korunması Kanununun yürürlüğe girmesi ile birlikte pek çok kurum kuruluş, özel şirket ve gerçek kişiler bir takım yükümlülükler ile karşı karşıya kaldı. Bu yükümlülüklerin en önemlilerinin, VERBİS kaydının yapılması ve Kişisel Veri İşleme Envanteri hazırlanması olduğunu rahatlıkla söyleyebiliriz. Fakat KVKK uyum süreci yalnız VERBİS kaydı ve envanterin hazırlanması ile son bulmadığını da söylemek de fayda var. Sürecin idari boyutuna ilişkin bir kaç adımdan bahsedecek olursak; KVKK idari tedbirlere uyum kapsamında politikalar, sözleşmeler, taahhütnameler, denetimler, risk analizleri, boşluk analizleri, kurumsal iletişim, eğitim ve farkındalık faaliyetleri olarak kısaca özetleyebiliriz.
Kişisel Veri İşleme Envanteri Nedir? Neden Önemlidir?
Veri Sorumluları Sicili Hakkında Yönetmelik kişisel veri hazırlama envanterini tanımlamıştır. İlgili yönetmeliğe bakacak olursak;
Veri Sorumluları Sicili Hakkında Yönetmelik
MADDE 4 – (1) Bu Yönetmelikte geçen; h) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” ifade eder.
Kişisel veri hazırlama envanteri ilgili kişinin veri sorumlusuna başvuru yaptığında verilecek cevap için bakılması gereken bir rapor olmasının yanında; kişisel verilere ilişkin detaylandırılmış bir belgedir. Ayrıca sicile kayıt, aydınlatma yükümlülüğü, ilgili kişi başvurularının yanıtlanması, açık rıza kapsamının belirlenmesinde de envanter esas alınır.
KVK Kurulunca öngörülen envanter; kurumların yapısını gerçeğe uygun analiz etmeli ve detaylara önem verilerek hazırlanmalıdır. Bu bağlamda kurumların kişisel veri işleme envanterlerini hazırlarken haftalar, belki aylar süren çalışmalar yapılarak manuel hazırlanmasını değil teknoloji çağına uygun, profesyonel bir bakış açısıyla hazırlanmış yazılımlar ile otomatik olarak hazırlanmasını önermekteyiz. Veri sorumlusu kişisel veri işleme envanterini hazırlarken kullanılabilecek yazılımlar vasıtasıyla süreci hem daha sağlıklı hale getirebilecek hem de KVKK tarafından yapılacak re'sen denetimlerde ispat yükümlülüğü açısından bir adım önde olacaktır. Dosya yığınları halinde tutulan envanterler; hem süreci zorlaştıracak hem de yeni eklenen kişisel veriler tespit edildiğinde ilgili personellerin ve veri sorumlusunun iş yükünü artıracaktır.
Kişisel veri hazırlama envanteri oluşturulurken ne tür analizler yapılmalıdır?
Kişisel veri hazırlama envanteri çıkarılırken departmanlar bazında işlenen tüm kişisel verilere ilişkin en az aşağıda sıraladığımız analizler yapılmalıdır:
- Yapılan işe ilişkin tüm süreçlerin değerlendirilmesi,
- faaliyetlerin irdelenmesi,
- her faaliyete ilişkin kullanılan kişisel verilerin tek tek belirlenmesi,
- bu kişisel verilerin hangi amaç ve hukuki sebeple işlendiğinin belirlenmesi,
- kişisel verilerin aktarılıp aktarılmadığı,
- aktarıldı ise kimlere aktarıldığı,
- işlenen kişisel verilerin kimlere ait olduğu,
- kişisel verilerin saklanma süresi,
- yurt dışına aktarım yapılıp yapılmadığı,
- veri güvenliğine ilişkin gerekli idari ve teknik tedbirlerin alınıp alınmadığı dikkatle incelenmelidir.
Dolayısıyla yukarıda ifade ettiğimiz kişisel veri işleme envanteri hazırlama yazılımlarının kullanılması veri sorumlularını envanter konusunda rahatlatacak, kişisel verilerin korunması açısından mevcut durumun tespiti profesyonel bir şekilde sağlanacak ve böylelikle KVKK sürecine esas oluşturan temel belge en sağlıklı şekilde hazırlanmış olacaktır.
Veri sorumluları siciline kayıt yükümlülüğü bulunan her veri sorumlusu için kişisel veri işleme envanteri hazırlamak zorunludur. Bu sebeple VERBİS yükümlüsü her kurum kişisel veri işleme envanterini detaylı bir şekilde hazırlamalıdır. Konuyla alakalı profesyonel olarak hazırlanmış yazılımların kullanılmasının faydalı olacağı kanaatini taşımaktayız.