KİŞİSEL VERİ İŞLEME ENVANTERİ HAZIRLAMA REHBERİ

Kişisel Veri İşleme Envanteri Hazırlama Rehberi (“Rehber”) ve Kişisel Veri İşleme Envanteri Örneği, 28 Nisan 2019 tarihinde, Kişisel Verileri Koruma Kurumu’nun (“Kurum”) web sitesinde yayımlanmıştır.

Rehber; “Giriş”, “Tanım”, “Envanter Hazırlamakla Yükümlü Olanlar”, “Envanterin Verbis’ten Farkları”, “Envanterin İçeriği”, “Envanter Hazırlamak Üzere Bir Ekibin Oluşturulması veya Kişilerin Görevlendirilmesi”, “Envanter Hazırlama Aşamaları” ve “Envanter Örneği” olmak üzere, sekiz ana bölümden oluşmaktadır.

Rehber’de yer alan ve önem arz eden hususlar özetle aşağıdaki gibidir :

  • Kişisel Veri İşleme Envanteri (“Envanter”); veri sorumluları tarafından tüm süreçlerin değerlendirilmesi, her faaliyetle ilgili işlenen kişisel verilerin tek tek belirlenmesi, bu kişisel verilerin hangi amaçlar ve hukuki sebeple işlendiği, aktarılıp aktarılmadığı, kimlere aktarıldığı, işlenen kişisel verinin kimlere ait olduğu, her bir kişisel veri için veri sorumlusunca belirlenen saklama süresi, verilerin güvenliği için hangi teknik veya idari tedbirlerin alındığı bilgilerinin detaylı analizinin yapılması sonucunda ortaya çıkacak bir tür rapor olarak tanımlanmaktadır [Veri Sorumluları Sicili Hakkında Yönetmelik m.4/f.1(h)].
  • Veri Sorumluları Sicili’ne kayıt yükümlülüğü olan tüm veri sorumlularının Envanter hazırlaması gerekmekte olup, Sicile kayıt ve aydınlatma yükümlülüğü yerine getirilirken veya ilgili kişi başvurularının yanıtlanmasında ve açık rızanın kapsamının belirlenmesinde söz konusu Envanter’in esas alınması zaruret arz etmektedir.
  • Envanter ve Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) üç temel noktada birbirinden ayrılmaktadır;
  • VERBİS’te veri kategorileri bazında, işleme amacı, aktarım yapılıp yapılmadığı, bir aktarım söz konusuysa bu aktarımların kimlere yapıldığı, saklama süresi, alınan güvenlik tedbirleri noktasında daha genel bir giriş yapılması gerekirken; Envanter’de, veri sorumlusunun tüm iş süreçlerinde yer alan tüm faaliyetleri bazında elde ettiği belge, doküman, veri kümesi, kayıtlar gibi kişisel veri içeren tüm fiziksel veya elektronik ortamlarda işlenen kişisel verilerin her biri için ayrı ayrı olmak üzere hangi amaç ve hukuki gerekçelerle işlendiği, aktarım olup olmadığı, aktarım yapılan üçüncü taraflar, saklama süreleri, veri konusu kişi grupları ve alınan güvenlik tedbirleri bilgisini içeren ve çok daha detaylı olarak hazırlanan bir rapor olması gerekir. 
  • VERBİS’e girilmiş olan bilgiler dileyen herkes tarafından görüntülenebilmekte iken; Envanter veri sorumlusunun kendi bünyesinde tutulacak olan bir rapor olup, bu raporun alenileştirilmesi gibi bir zorunluluk bulunmamaktadır.
  • VERBİS için bir sistem hazırlanmış ve ilgili ekranlardan giriş yapılması zorunlu tutulmuş iken; Envanter’in şekli açısından herhangi bir yönlendirme yapılmamıştır.
  • Envanter’de asgari olarak yer alması gereken unsurlar aşağıdaki şekilde olmakla beraber, Envanter’in sadece bu hususları içermesi gerektiği anlaşılmamalı; somut durumun gerekliliklerine göre bu unsurların genişletilmesi ihtiyacının ortaya çıkabileceği göz ardı edilmemelidir.

Envanter’deki asgari unsurlar;

-Veri kategorisi,

-Kişisel veri işleme amaçları ve hukuki sebebi,

-Aktarılan alıcı / alıcı grupları,

-Veri konusu kişi grupları,

-Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi

-Yabancı ülkelere aktarımı öngörülen kişisel veriler,

-Veri güvenliğine ilişkin alınan teknik ve idari tedbirler.

  • Kişisel verilerin korunması mevzuatındaki yükümlülüklerin veri sorumlularınca eksiksiz yerine getirilebilmesi amacıyla, Envanter’i hazırlama sürecinde, (hukuk, bilgi işlem veya insan kaynakları departmanlarında görevli) bir veya birden fazla kişiden oluşan bir birim görevlendirilmelidir. Bu ekibin görevleri, Rehber’de şu şekilde sıralanmaktadır;

- Fiziksel veya elektronik ortamda işlenmekte olan verilerin analizinin yapılması (kişisel verinin niteliğinin tespit edilmesi, kişisel veri işleme faaliyetlerinin tespit edilmesi, kişisel veri akış şemalarının çizilmesi gibi),

- Envanter hazırlanması ve aydınlatma metinlerinin oluşturulması,

- Kişisel veri koruma kültürü ve bu kapsamda farkındalık oluşmasını sağlamak amacıyla çalışanlara eğitimler verilmesi. 

  • Envanter hazırlama sürecinde veri sorumlusu bünyesinde oluşturulacak ilgili ekip tarafından atılması gereken adımlar;

- Süreç veya faaliyet bazında kişisel verilerin tespiti (iş süreçlerinin tek tek analiz edilmesi),

- Tespit edilen kişisel verilerin niteliklerinin belirlenmesi (işlenen verinin özel nitelikli kişisel veri olup olmadığının tespit edilmesi),

- İşlenen kişisel verinin hukuki sebebinin tespiti (iş süreçleri bazında işlenen kişisel verilerin her biri için Kanun’un 5. veya 6. maddelerinde yer alan işleme şartlarından hangisine dayanılarak veri işlenmekte olduğunun belirlenmesi),

- Kişisel veri amaçlarının tespiti (“İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesinin doğal bir sonucu),

- Veri konusu kişi grubunun belirlenmesi,

- İşlenen kişisel verilerin saklama sürelerinin belirlenmesi (“İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesinin doğal bir sonucu),

- İşlenen kişisel verilerin aktarıldığı alıcı/alıcı gruplarının belirlenmesi,

- Yabancı ülkelere aktarılan kişisel verilerin belirlenmesi,

- İşlenen kişisel veriler için alınan idari ve teknik tedbirlerin belirlenmesi (Bu kapsamda, Kişisel Verileri Koruma Kurulu tarafından hazırlanan “Kişisel Veri Güvenliği Rehberi” ve yine Kurul’un 31/01/2018 tarihli ve 2018/10 sayılı Kararı’na göre hareket edilmesinin önem arz ettiği vurgulanmıştır.) şeklindedir.

Kişisel Veri İşleme Envanteri Hazırlama Rehberi’ne buradan ulaşabilirsiniz.

Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz. 

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr

 

__

* gerekli alanlar

__ (0)