Kişisel Veri İşleme Envanteri Hazırlama İşlemleri


NASIL YAPILIR?


Kişisel Veri İşleme Envanteri Hazırlama İşlemleri Nasıl Yapılır?

 ÖZET ; 

Kişisel Veri Envanteri VERBİS kaydı zorunluluğu olan veri sorumluları bakımından yasal bir yükümlülüktür. Ancak envanter kişisel verilerin yönetim ve uyumlu bir şekilde işlenmesinin sürdürülebilirliği bakımından bir kontrol aracı olduğundan VERBİS kaydı olmayan veri sorumluları bakımından da gereklidir. Envanter, sadece veri girişinden ibaret değildir, bir ön hazırlık gerektirir, veri girişi tamamlandıktan sonra da alınan çıktıların doğru kullanılması ve veri yönetimine katkıda bulunması için doğru kullanılması fayda sağlar. 


AÇIKLAMALAR  

KİŞİSEL VERİ İŞLEME ENVANTERİ NEDİR? NASIL ÇIKARILIR?

Kişisel veri işleme envanteri (ENVANTER) nedir? Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” ifade eder.

Envanter; faaliyetleri kapsamında kişisel veri işlemekte olan veri sorumlularınca, 

-verinin giriş noktasından itibaren tüm süreçlerin değerlendirilmesi, 

-bu süreçler kapsamındaki tüm faaliyetlerin sistematik olarak irdelenmesi, 

-veri sorumlusunca her faaliyetle ilgili işlenen kişisel verilerin tek tek belirlenmesi, 

-kişisel verilerin hangi amaçlar ve hukuki sebeple işlendiği, aktarılıp aktarılmadığı, kimlere aktarıldığı, işlenen kişisel verinin kimlere ait olduğu, her bir kişisel veri için veri sorumlusunca belirlenen saklama süresi, yurt dışına aktarım yapılıp yapılmadığı, verilerin güvenliği için hangi teknik veya idari tedbirlerin alındığı, silme, yok etme ve anonimleştirme politikasının tespiti,

gibi tüm bilgilerinin detaylı analizinin yapılması sonucunda ortaya çıkacak bir tür rapordur.

Envanter hazırlama yükümlülüğü getirilmesinin nedeni; veri sorumlularının faaliyetlerine bağlı tüm süreçlerinde Kanuna uyumunun sağlanması, başka bir ifadeyle Kanuna aykırı bir kişisel veri işleme durumu olup olmadığının kolayca tespitinin sağlanmasıdır. Zira envanter veri sorumlusu tarafından işlenen verilerin bir bilançosudur. Diğer bir ifadeyle, kişisel veri işleme faaliyetlerinin Kanuna uyumu ile ilgili veri sorumlusunun ilk bakışta gerçekleştirebileceği bir tür kendi kendini denetleme sistemi oluşturulmasıdır.

ENVANTER HAZIRLAMA VE SÜRDÜRME ADIMLARI

Her şeyden evvel envanter hazırlamakla ilgili kişiler doğru tespit edilmeli ve görevlendirilmelidir. Bu kişiler idari kadrodan bir yöneticinin eşliğinde IT, İK, varsa hukuk ve nihai teyit için diğer departman yöneticileridir. 

Adımlar; 

1. Şirket organizasyon şemasının üzerinde organizasyon veri haritası çıkarınız;  yani departman departman organizasyondaki süreç veya faaliyet bazında işlenen kişisel verileri genel olarak tespit ediniz;  

                       (-Şirkette hangi departmanlar vardır, 

                       -hangi departman hangi yollar ile, hangi giriş kapılarından hangi kişisel verileri toplar, 

                       -bu kişisel veriler hangi ortamlarda tutulur, kimlere aktarılır, sonuç olarak nasıl işlenir? 

                       gibi bilgiler Organizasyon Veri Haritasını oluşturur.) 

2. İş süreçleri bakımından veri haritasını KVKK ya UYUMLU hale getiriniz. 

3. Veri Haritasında yer alan ve işlendiği tespit edilen kişisel verilerin niteliklerini belirleyiniz, BUNU VERİ İŞLEYEN HER DEPARTMAN İÇİN TEKRAR EDİNİZ; kişisel veri- özel nitelikli kişisel veri; kimlik bilgisi, sağlık bilgisi, adres-iletişim bilgisi.. gibi.

4. Veri Haritasında işlenen kişisel verinin hukuki sebebini tespit ediniz, BUNU VERİ İŞLEYEN HER DEPARTMAN İÇİN TEKRAR EDİNİZ; hukuki yükümlülüklerin yerine getirilmesi, sözleşme kurulması, yasal bir hakkın kullanılması ..gibi,

5. Kişisel veri işleme amaçlarını tespit ediniz, BUNU VERİ İŞLEYEN HER DEPARTMAN İÇİN TEKRAR EDİNİZ; çalışanlar için mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, öğrenciler için mevzuat ve sözleşmeden kaynaklanan yükümlülüklerin yerine getirilmesi, ziyaretçi kaydı oluşturulması ve takibi…gibi,

6. Veri konusu kişi grubunu/gruplarını belirleyiniz, BUNU VERİ İŞLEYEN HER DEPARTMAN İÇİN TEKRAR EDİNİZ;  çalışanlar, çalışan adayları, stajyerler, müşteriler, tedarikçiler, öğrenciler, hastalar, misafirler, ziyaretçiler…gibi,

7. İşlenen kişisel verilerin saklama süresini belirleyiniz,BUNU VERİ İŞLEYEN HER DEPARTMAN İÇİN TEKRAR EDİNİZ; 3 yıl, 5 yıl, 10 yıl, 6 ay..gibi

8. İşlenen kişisel verilerin aktarıldığı alıcı / yerli alıcı gruplarını belirleyiniz,BUNU VERİ İŞLEYEN HER DEPARTMAN İÇİN TEKRAR EDİNİZ; Kamu İhale Kurumu, SGK, Vergi Dairesi…gibi,

8. Yabancı ülkelere aktarılan kişisel verileri belirleyiniz, BUNU VERİ İŞLEYEN HER DEPARTMAN İÇİN TEKRAR EDİNİZ; burada özellikle dışarıdan hizmet aldığınız bordro, İK, bulut hizmetlerinin dikkate alınması gerektiğini, bu hizmetlerin yurt dışından sağlanıyor olabileceğini,  ithalat ve ihracat işlemleriniin de bu kapsamda olması gerektiğini unutmayınız.

9. İşlenen kişisel veriler için alınan  ve alınacak teknik ve idari tedbirleri  belirleyiniz; 

  1. Kurumun Bilişim Sistemleri Teçhizatı, Yazılım Ve Verilerin Fiziksel Güvenliği İçin Gerekli Önlemler, 
  2. Hukuka Aykırı İşlemeyi Önlemeye Yönelik Riskler Belirlenmesi, Bu Risklere Uygun Teknik Tedbirler Alınması, 
  3. Erişim Yetki Ve Rol Dağılımları İçin Prosedürler Oluşturulması Ve Uygulanması, 
  4. Erişimler Kayıt Altına Alınarak Uygunsuz Erişimler Kontrol Altında Tutulması, 
  5. Saklama Ve İmha Politikasına Uygun İmha Süreçleri Tanımlanması Ve Uygulanması, 
  6. Hukuka Aykırı İşleme Tespiti Halinde İlgili Kişiye Ve Kurula Bildirmek İçin Bir Sistem Ve Altyapı Oluşturulması, 
  7. Güvenlik Açıkları Takip Edilerek Uygun Güvenlik Yamaları Yüklenmesi, 
  8. Bilgi Sistemleri Güncel Halde Tutulması, 
  9. Kişisel Verilerin İşlendiği Elektronik Ortamlarda Güçlü Parolalar Kullanılması, 
  10. Kişisel Verilerin Güvenli Olarak Saklanmasını Sağlayan Yedekleme Programları Kullanılması 
  11. Elektronik Olan Veya Olmayan Ortamlarda Saklanan Kişisel Verilere Erişim, Erişim Prensiplerine Göre Sınırlandırılması,

gibi.

10. Veri sorumlusu yetki matrisini çıkarınız;  Hangi veri nerede tutulur, kimler toplar, kimler işler, kimler hangi veriye erişir, kimler silinmesine karar verir, kimler , nasıl siler?

11. Verileri güncel tutmak konusunda gereken tedbirleri alınız; eğitimleri veriniz.

12. Verilerin güncel olup olmadığı konusunda periyodik veya random  denetimler gerçekleştiriniz.


Devamını Gör
İLGİLİ MEVZUAT


Mevzuat 

1- 6698 sayılı Kişisel Verilerin Koruması Kanunu

Veri Sorumluları Sicili 

MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. 

(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. 

(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır: 

a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri. 

b) Kişisel verilerin hangi amaçla işleneceği. 

c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar. ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları. 

d) Yabancı ülkelere aktarımı öngörülen kişisel veriler. 

e) Kişisel veri güvenliğine ilişkin alınan tedbirler. 

f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. 

(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir. 

(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir. 

2- Veri Sorumluları Sicili Hakkında Yönetmelik

Kayıt yükümlülüğü kapsamında iletilecek bilgiler

MADDE 9 – (1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:

a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,

b) Kişisel verilerin hangi amaçla işleneceği,

c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,

e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,

f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.

(2) Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.

(3) Veri sorumluları tarafından birinci fıkranın (e) bendi uyarınca Sicile açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları kapsayacak şekilde VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.

(4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;

a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,

b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,

c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,

ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,

d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,

e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,

f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,

dikkate alınır.

(5) Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.

(6) VERBİS içerisinde belirtilen başlıkların ve içeriklerinin, veri sorumlusunun gerçekleştirdiği faaliyetleri ve Sicile iletmesi gereken bilgileri tam olarak kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS içerisinde bu amaca ilişkin ayrılan “Diğer” başlıklı bölümlere girerek Sicile bildirimini tamamlar.

3- Kişisel Verileri Koruma Kurumu Yayınları

KİŞİSEL VERİ İŞLEME ENVANTERİ HAZIRLAMA REHBERİ

VERİ SORUMLULARI SİCİLİ  

VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ