GİRİŞ
Gerçek kişiler, kâr amacı güden kuruluşlar, veya kamu kurum ve kuruluşları daha iyi ve kolay hizmet sunabilmek, ticaret alanını genişletebilmek gibi amaçlarla kişisel verileri toplamakta, işlemekte, zaman zaman da üçüncü kişilerle paylaşmaktadır. Fakat bu durum veri güvenliği açısından bir takım risklere yol açabilmektedir. Ülkemizde de risklerin en aza indirilmesi amacıyla kişisel verileri korumaya yönelik Avrupa Birliği direktifleri baz alınarak 7 Nisan 2016'da Kişisel Verileri Koruma Kanunu yürürlüğe girmiştir. Kanun düzenlemesinin yanında yönetmelikler, tebliğler, örnek taahhütnameler hazırlanarak, kişisel verilerin korunmasına yönelik belli başlı şablonlar ortaya çıkmıştır. Böylece, kişisel verileri işlemekle görevli gerçek ve tüzel kişiler için ilgili kanun ve düzenlemelere uyum, aydınlatma yükümlülüğü, veri güvenliğine ilişkin teknik ve idari tedbirler, Veri Sorumluları Sicili işlemleri, kişisel verileri silme, yok etme veya anonim hale getirme gibi yükümlülükler getirilmiştir.
Bu yazımızda ise yönetmelikle düzenlenen Kişisel Veri İşleme Envanteri hazırlama sürecine ilişkin bilgi vereceğiz.
İlgili yönetmeliğe ulaşmak için tıklayınız.
Kişisel veri hazırlama envanteri nedir?
Veri Sorumluları Sicili Hakkında Yönetmelik kişisel veri hazırlama envanterini tanımlamıştır. İlgili yönetmeliğe bakacak olursak;
Veri Sorumluları Sicili Hakkında Yönetmelik
MADDE 4 – (1) Bu Yönetmelikte geçen;
h) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak
gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları
ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla
ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami
muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri
güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” ifade eder.
Kişisel veri hazırlama envanteri ilgili kişinin veri sorumlusuna başvuru yaptığında verilecek cevap için bakılması gereken bir rapor olmasının yanında; kişisel verilere ilişkin detaylandırılmış bir belgedir. Ayrıca sicile kayıt, aydınlatma yükümlülüğü, ilgili kişi başvurularının yanıtlanması, açık rıza kapsamının belirlenmesinde de envanter esas alınır.
Kişisel veri hazırlama envanteri neden hazırlanır?
Kişisel veri hazırlama envanteri veri sorumlusunun kişisel veri işleme faaliyetlerinin ilgili mevzuatlara uyumunun sağlanması ve bir anlamda kendini denetlemesi için hazırlanır.
Kişisel veri hazırlama envanteri oluşturulurken ne tür analizler yapılmalıdır?
Kişisel veri hazırlama envanteri çıkarılırken aşağıda sıraladığımız analizler detaylı şekilde yapılmalıdır.Yapılan işe ilişkin tüm süreçlerin değerlendirilmesi,faaliyetlerin irdelenmesi,her faaliyete ilişkin kullanılan kişisel verilerin tek tek belirlenmesi,bu kişisel verilerin hangi amaç ve hukuki sebeple işlendiğinin belirlenmesi,kişisel verilerin aktarılıp aktarılmadığı,aktarıldı ise kimlere aktarıldığı,işlenen kişisel verilerin kimlere ait olduğu,kişisel verilerin saklanma süresi,yurt dışına aktarım yapılıp yapılmadığı,veri güvenliğine ilişkin gerekli idari ve teknik tedbirlerin alınıp alınmadığı dikkatle incelenmelidir.
Kimler kişisel veri hazırlama envanteri hazırlamakla yükümlüdür?
Veri Sorumluları Sicili Hakkında Yönetmelik
MADDE 5 – (1) Sicilin oluşturulması, idaresi ve gözetimi hususunda aşağıdaki ilke, usul
ve esaslara uyulur:
ç) Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla
yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine
dayalı olarak hazırlanır.
...
Görüldüğü üzere veri sorumluları siciline kayıt yaptırma yükümlülüğü bulunan veri sorumluları kişisel veri hazırlama envanteri de hazırlamalıdır.
Kişisel veri hazırlama envanteri ile VERBİS arasındaki farklar nelerdir?
Kişisel veri hazırlama envanteri ile VERBİS arasındaki farkları tablo yardımıyla anlatacak olursak;
| VERBİS | Kişisel Veri Hazırlama Envanteri |
| Veri kategorilerinin hangi amaçla işlendiği, aktarım olup olmadığı, aktarım yapılan alıcı grupları, saklama süresi, ilgili kişiler ve alınan güvenlik tedbirleri konusunda bilgi girişi yapılması gerekir. | Veri sorumlusunun tüm iş süreçlerinde yer alan ve kişisel veri içeren tüm faaliyetler için elde edilen doküman ve kayıtlar için her birisi için ayrı ayrı olmak üzere, hangi amaç ve hukuki gerekçelerle işlendiği, aktarım olup olmadığı, aktarım varsa aktarımın gerçekleştiği üçüncü taraf, saklama süresi, alınan güvenlik ve idari tedbirleri ve kişi gruplarını inceleyen çok daha detaylı bir rapor olması gerekir. |
| VERBİS kayıtları herkes tarafından görüntülenebilir. Kamuya açıktır. | Envanter kayıtları ise yalnızca veri sorumlusunun kendi bünyesinde kalacak, kamuya açık olmayacaktır. |
| VERBİS için ayrı bir sistem altyapısı oluşturulmuştur. | Envanter kayıtlarının şekli açısından herhangi bir yönlendirme yapılmamıştır. Envanter Office dosyası şeklinde veya veri tabanında ilgili dosyalarda tutulabilecektir. |
| VERBİS'te sadece başlıklar halinde kategorik bazda bilgi girişi yapılır. | Envanterde bu verilerin, alt kırılımlarıyla birlikte detaylı şekilde yer alması gerekmektedir. |
Kişisel veri hazırlama envanterinde hangi bilgiler yer almalıdır?
Kişisel veri hazırlama envanterinde;
- Veri kategorisi,
- Kişisel veri işleme amaçları ve hukuki sebebi,
- Aktarılan alıcı veya alıcı grupları,
- Veri konusu kişi grupları,
- Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Veri güvenliğine ilişkin alınan teknik ve idari tedbirler yer almalıdır.
Yönetmelikle belirlenen ve yukarıda saydığımız bu bilgiler artırılabilir.
Kişisel veri işleme envanterini kim/kimler hazırlayacaktır?
Veri sorumlusu kişisel veri hazırlama envanterini hazırlamak, buna ilişkin yükümlülükleri yerine getirmek üzere bir ya da birden fazla kişiyi görevlendirebilir. Görevlendirilecek kişi ya da kişiler, KVKK'ya, kişisel veri işleme süreçlerine hakim ve yetkin, kişisel veriler hakkında detaylı bilgi sahibi olan hukuk, bilgi işlem ve insan kaynakları gibi birimlerde görev yapan kişiler arasından seçilmelidir.
Kişisel veri hazırlama envanteri nasıl hazırlanır? Kişisel verilerin analizi nasıl yapılır? Süreç nasıl işler? Aşamaları nelerdir?
Öncelikle veri sorumlusu envanteri hazırlamak ve süreci takip etmek üzere kişisel veri işleme süreçlerinde bilgili ve yetkin bir ekip belirlemelidir. Yapılacak görevlendirme geniş bir katılım grubuna verilmelidir. Daha yetkin ve daha çok sayıdaki kişinin envanter hazırlama sürecine dahil olması bu süreci daha da kolaylaştıracak ve envanterin nitelikli olmasını sağlayacaktır.Görevlendirilen ekip, veri sorumlusu tarafından işlenecek tüm kişisel verilerin analizini yapmalıdır. Kişisel verilerin analizi yapılırken ilk iş verinin niteliğinin belirlenmesidir. Yani verinin kişisel veri mi yoksa özel nitelikli kişisel veri mi olduğunun tespiti yapılmalıdır. Sonrasında ise kişisel verilerin elde edilmesi kaydedilmesi, kullanılmasının engellenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, güncellenmesi, saklanması, depolanması, değiştirilmesi, açıklanması, devralınması, sınıflandırılması gibi veri işlemeye ilişkin süreçlerin de tek tek tespit edilmesi gerekir. Ayrıca kişisel veri iş akış şemaları çizilebilir.
Kişisel veri hazırlama envanterine ilişkin yapılacakları aşama aşama anlatacak olursak;
Süreç ve Faaliyet Bazında Kişisel Verilerin Tespiti
Ekip öncelikle tüm iş süreçlerini birimler bazında tespit etmelidir. İş ile alakalı tüm faaliyetler tek tek listelenmelidir. Faaliyetler yerine getirilirken kullanılan tüm kişisel verilerin neler olduğu tek tek belirlenmelidir. Burada dikkat çeken husus farklı faaliyetlerde kullanılan aynı kişisel veriler olduğudur. Yani aynı kişisel veri birden fazla süreç içerisinde tekrar tekrar görülebilmektedir. Fakat her bir faaliyet bazında aynı kişisel veriler farklı farklı amaçlarla işlenebilir. Kişisel verinin işlenme amacına bağlı olarak da işleme şartları, saklama süresi, alınacak idari ve güvenlik önlemleri değişiklik gösterebilir.
Özetlemek gerekirse, süreç ve faaliyet bazında kişisel verilerin tespit edilmesi işlemi her birimdeki tüm kişisel veri içeren bilgi ve belgelerin ve faaliyet ve süreçlerin analizi demektir.
Tespit Edilen Kişisel Verilerin Niteliklerinin Belirlenmesi
Bu noktada bakılması gereken husus işlenen kişisel verinin özel nitelikli kişisel veri olup olmadığıdır. Somut bir örnek verecek olursak; örneğin A şirketi bir çalışanına dair özlük dosyası oluştururken kimlik, ikamet, banka ve iletişim verilerini işlediği gibi adli sicil, sendika üyeliği, sağlık verisi de işliyor olabilir. Böyle bir durumda işlenen özel nitelikli kişisel verilerin de tespit edilmesi gerekir. Çünkü kanuna göre özel nitelikli kişisel verilerin işleme şartları, yurt içine ve yurt dışına aktarımı, alınması gereken tedbirler konusunda farklılıklar bulunmaktadır.
İşlenen Kişisel Verinin Hukuki Sebebinin Tespiti
Kanunda kişisel verilerin işlenme şartları belirlenmiştir. Kişisel veri işleme şartları sağlanmadan kişisel veri işlenmesi Kanuna aykırı olur. Bu sebeple işlenen kişisel verilerin hukuki sebebinin tespiti oldukça önemlidir. Somut örnekler üzerinden gidecek olursak, örneğin bir kamu kurumu ilgili kanunlarda öngörülmesi, görev verilmesi, hukuki yükümlülüğün yerine getirilmesi gibi sebeplerle kişisel veri işliyor olabilir. Ya da bir emlakçı, kiracı ve kiraya veren ile birlikte imzalanan sözleşme çerçevesinde kişisel veri işliyor olabilir. Başka bir örnek; AVM'de bulunan bir kıafet mağazası ilgili kişiden açık rıza alarak o kişinin e-posta adresine ticari posta atabilir.
Kişisel veri, kişisel veri işleme şartları sağlanmadan işleniyorsa ne yapılmalıdır?
Kişisel veri işleme şartları sağlanmadan işlenen kişisel veriler Kanuna aykırıdır. Bu sebeple veri sorumlusu iş süreçlerini yeniden düzenlemelidir. Kanuna aykırı işlenen kişisel veriler imha edilmeli, kişisel veri işleme şartları tekrar gözden geçirilerek, kişisel veri işleme süreci Kanuna uygun hale getirilmelidir.
Kişisel Veri İşleme Amaçlarının Tespiti
Bu aşamada Kanuna göz atmak gerekir. Şöyle ki;
Kişisel Verilerin Korunması Kanunu
MADDE 4 - (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
Kanun maddesinden de görüldüğü üzere kişisel veriler işlenirken işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma gibi ilkelere uyum sağlanmalıdır. Veri sorumlusu iş yeri faaliyetleri kapsamında işlenen kişisel verileri hangi işleme amacına dayanarak işlediğini tek tek kişi bazında belirlemelidir. İşlenen bir kişisel veri için amaç tespit edilemiyorsa o kişisel veri işlenmemeli, fakat işlendiyse imha edilmelidir.
Veri Konusu Kişi Grubunun Belirlenmesi
Veri konusu kişi grubu, veri sorumluları tarafından, kişisel verilerin hangi veri konusu kişi grupları için işlendiğine dair belirlemenin yapılacağı aşamadır. Veri sorumlusu, faaliyetler kapsamında işlediği kişisel verileri hangi veri konusu kişi grubuyla ilintili olarak işlediğine dair belirleme yapmalıdır. Bu belirleme tek tek kişi bazında yapılmalıdır. Örneğin bir alışveriş merkezinde ürün veya hizmet satın alan kişiler için işlenen kişisel veriler ile ziyaret eden kişisel verilerin ayrıca belirlenmesi gerekir. Veri sorumlusu, kişisel veriler için çalışan, çalışan adayı, denek, habere konu kişi, hissedar/ortak, potansiyel ürün veya hizmet alıcısı, sınav adayı, stajyer, tedarikçi çalışanı, tedarikçi yetkilisi, öğrenci, izleyici, toplantı katılımcısı, ürün veya hizmet alan kişi, veli / vasi / temsilci, ziyaretçi gibi bir çok veri konusu kişi grubu belirleyebilir.
İşlenen Kişisel Verilerin Saklama Süresinin Belirlenmesi
İşlenen kişisel verilerin saklanma süresi için Kişisel Verileri Koruma Kanununun 4 üncü maddesine bakmamız gerekecektir. Şöyle ki;
Kişisel Verilerin Korunması Kanunu
MADDE 4 - (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Eğer ilgili mevzuatta bir süre öngörüldü ise kişisel veriler bu süreyle sınırlı olmak üzere saklanacaktır. İlgili mevzuatta herhangi bir süre öngörülmemişse, veri sorumlusunca bir saklanma süresi belirlenecektir. Veri sorumlusu bu süreyi belirlerken verilerin işlenme amacını göz önünde bulunduracaktır.
Belirtilmesi gereken bir diğer husus ise; aynı kişisel veri farklı faaliyetlerde ve farklı amaçlarla kullanılabildiğinde farklı saklama süreleri belirlenebilir. Bu konu, Veri Sorumluları Sicili Hakkında Yönetmelik ile düzenlenmiştir. İlgili hüküm aşağıdadır;
Veri Sorumluları Sicili Hakkında Yönetmelik
MADDE 9 – (4) Veri sorumluları tarafından birinci fıkranın
(f) bendi uyarınca Sicile açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;
a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi, dikkate alınır.
İşlenen Kişisel Verilerin Aktarıldığı Alıcı veya Alıcı Gruplarının Belirlenmesi
Veri sorumlusu işlenen kişisel verileri hangi alıcı veya alıcı gruplarına aktaracağına dair belirleme yapmalıdır. Bu belirleme tek tek kişi bazında yapılmalıdır. Örneğin bir şirket, çalışanına ait kimlik bilgisini yetkili kamu kurum ve kuruluşları ile paylaşıldığını beyan etmekte iken mesleki iş deneyimlerini sadece iş ortakları ile paylaşıyor olabilir. Veri sorumluları, ilgili kişisel verinin gerçek kişiler, özel hukuk tüzel kişileri, hissedarlar, iş ortakları, iştirakler, bağlı ortaklıklar, tedarikçiler, topluluk şirketleri, yetkili kamu kurum ve kuruluşları, kamuoyu gibi birçok alıcı / alıcı gruplarıyla paylaşıldığını beyan edebilir.
İşlenen Kişisel Verilerin Yurt Dışına Aktarılması
Kişisel verilerin yurt dışına aktarılması söz konusu olabilir. Veri sorumlusu yurt dışına aktarımı yapılacak kişisel verileri tek tek belirlemeli ve Kanunun 9 uncu maddesinde yer alan kişisel verilerin yurt dışına aktarılması şartlarını taşıyıp taşımadığını incelemelidir. Şartlar sağlanmadan yurt dışına aktarım yapılmamalıdır.
İşlenen Kişisel Veriler İçin Alınan Teknik ve İdari Tedbirlerin Belirlenmesi
Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalıdır.
Örnek kişisel veri hazırlama envanteri için tıklayınız.
SONUÇ
Kişisel veri işleme envanteri; kişisel verilerin korunması açısından mevcut durumun tespitini sağlayan ve KVKK sürecine esas oluşturan temel belgedir. Yukarıda da ifade ettiğimiz üzere, envanterde veri kategorisi, kişisel veri işleme amaç ve hukuki sebebi, aktarılan alıcı / alıcı grupları, veri konusu kişi grupları, kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süreleri, yabancı ülkelere aktarımı öngörülen kişisel veriler ve veri güvenliğine ilişkin alınan teknik ve idari tedbirler mutlaka yer almalıdır. Makalemizde tek tek değindiğimiz üzere veri sorumluları siciline kayıt yükümlülüğü bulunan her veri sorumlusu kişisel veri işleme envanteri de hazırlamakla yükümlüdür.
Makalemizin PDF formatına ulaşmak için tıklayınız.
YASAL UYARI Bu çalışma Kamutech Yazılım A.Ş. mevzuat grubu uzmanları tarafından hazırlanmıştır. Makalenin her türlü yayın hakkı Kamutech Yazılım A.Ş.'ye aittir. Kaynak göstermek ve link vermek kaydıyla alıntı yapılabilir.
