Kişisel Veri İşleme Envanterinde Saklama Süresi Belirtilmeli mi?

Kimler Kişisel Veri Envanteri Hazırlamalıdır?

Veri Sorumluları Sicili Hakkında Yönetmeliğe göre kişisel veri işleme envanteri; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir. Tüm veri sorumluları kişisel veri işleme envanteri hazırlamak zorunda değildir. Yukarıda bahsi geçen Yönetmeliğin 5 inci  maddesine göre kişisel veri işleme envanteri hazırlanması, VERBİS'e kayıt olmakla yükümlü veri sorumlularının yerine getirmesi gereken bir yükümlülüktür. Böylelikle VERBİS'e kayıt yükümlülüğü bulunmayan veri sorumlularının kişisel veri envanteri hazırlama yükümlülüğü bulunmamaktadır.

Fakat KVKK tarafından önerilen VERBİS'e kayıttan istisna tutulan veri sorumlularının da kişisel veri envanteri hazırlamasıdır.

Veri Sorumluları Hazırladıkları Kişisel Veri İşleme Envanterini KVKK'ya Göndermeli midir?

Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesine göre hazırlanan kişisel veri işleme envanterini KVKK'ya göndermek gibi bir durum söz konusu değildir. Kişisel veri işleme envanteri veri sorumlusunun kendi faaliyet alanı içinde kalmalıdır.

Veri sorumlusu gerek aydınlatma metinlerini oluştururken gerekse ilgili kişi tarafından yapılan başvuruları cevaplandırırken hazırlamış olduğu kişisel veri envanterinden faydalanmalıdır. KVKK tarafından herhangi bir denetim yapılması durumunda, Kurul kişisel veri envanterinin kuruma gönderilmesini talep edebilir.

Envanter VERBİS'e Yüklenecek mi? 

Kişisel veri işleme envanterinin VERBİS’e yüklenmesi gibi bir durum söz konusu değildir.

Kişisel Veri İşleme Envanterinde Saklama Süresi Belirtilmeli mi?

Kişisel veri işleme envanterinde saklama süresi belirtilmelidir. Veri Sorumluları Sicili Hakkında Yönetmeliğin 4 üncü

maddesinde “kişisel veri işleme envanteri”; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini, kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter olarak tanımlanmaktadır.

Dolayısıyla yalnızca Veri Sorumluları Sicil Bilgi Sistemine kayıt olmakla yükümlü veri sorumlularının kişisel veri envanteri hazırlaması mecburidir. Fakat KVKK VERBİS'ten istisna tutulan veri sorumlularının da envanter hazırlamasını önermektedir. Hazırlanan envanterler KVKK'ya gönderilmemektedir fakat; herhangi bir denetim vuku bulduğunda Kurulun kişisel veri envanterini talep etme yetkisi bulunmaktadır. Bunun yanında envanter VERBİS'e yüklenen bir çalışma değildir. Kişisel veri işleme envanterinde kişisel verilerin azami saklama süreleri de mutlaka belirtilmelidir.