Organizasyon Veri Haritasına Ulaşılması
KVKK Bakımından Organizasyon Veri Haritası Nasıl Oluşturulur?
ÖZET; Organizasyondaki hangi departman hangi faaliyetleri gerçekleştirir, hangi faaliyet sırasında hangi kaynak(belge-araç) yoluyla hangi kişisel verileri hangi sebep ve amaçla işler, bunlardan hangi faaliyet ve sonuçları elde eder onları tespit edin. Elde ettiğiniz tablo organizasyonunun veri haritasıdır. |
AÇIKLAMALAR
VERİ HARİTASI OLUŞTURMAK
Veri Haritası, Organizasyonun/Veri Sorumlusunun, Kişisel Veriler Konusunda yapacağı her türlü çalışmanın başlangıç ve çıkış noktasıdır. O nedenle bilerek ve dikkatlice oluşturulmasına ve organizasyonu tam olarak yansıtmasına, ifade etmesine dikkat edilmelidir.
I. Geçici Veri Koruma Ekibi tarafından tespit edilen Veri Sorumlusu Organizasyon Şeması üzerinden öncelikle fiziki veri işleme ve koruma;
1. Kişisel Verilerin kimler vasıtasıyla ve hangi yöntemlerle ( genel anlamda otomatik olmayan veri kayıtları, kimlik fotokopisi alma, iş başvurusu alma, elden-fiziki olarak gelen sözleşme, irsaliye fatura gibi) organizasyona girdiği,
2. Hangi yöntemler ile organizasyonda tutulduğu ( fiziki dosyalama, tarayıp yazılım programına aktarma),
3. Organizasyondaki tüm faaliyetler ve iş süreçleri dikkate alınarak tespit edilecek işlenme şekilleri, kullanım yerleri,
4. Organizasyon içindeki görev ve pozisyonlar dikkate alındığında kimlerin bu verilere ulaştığı (yetki matrisi veya görev tanımları),
5. Verilerin kimlere, hangi hukuki nedenler ile ve nasıl aktarıldığı,
6. Ne kadar süre işlenildiği ve saklandığı,
7. Kullanılmayan verilerin ne yapıldığı, gibi soruların cevabını arayınız ve tespit ediniz.
II. Organizasyondaki teknik alt yapının ve otomatik veri toplama ve işleme iş süreçlerinin mevcut durumunu tespit ediniz. Buradaki çalışma, organizasyonda hangi bilgisayar programları, yazılımları kullanılmaktadır, bulut hizmeti alınmakta mıdır, mal ve hizmetler internet üzerinden satılmakta mıdır, bu hizmetler kimlerden nasıl alınmaktadır, hangi işleri kapsamaktadır, veriler nerelerde tutulmaktadır, şifreleme, güvenlik vs. gibi konularda mevcut durum nedir? sorularının cevaplarının tespitini kapsamaktadır.
Ayrıca, otomatik veri işleme denilen yöntemin organizasyonunuzdaki kapsamını belirlemek bakımından hangi verilerin otomatik yollar ile geldiği, dosyalandığı, yeni verilere ulaşıldığı, aktarıldığı gibi otomatik veri işleme kapsam ve iş süreçlerini de yine;
1. Kişisel Verilerin hangi otomatik yöntemlerle ( genel anlamda otomatik olmayan veri kayıtları, örnek olarak ise mail yoluyla gelen veriler, whatsapp mesajlarından gelenler, işyeri doktorunun doğrudan Sağlık Bakanlığı veri tabanına veri girmesi gibi) organizasyona girdiği,
2. Hangi yöntemler ile organizasyonda tutulduğu ( bilgisayar programları -yazılımları yardımıyla dosyalama),
3. Organizasyondaki tüm faaliyetler ve iş süreçleri dikkate alınarak tespit edilecek işlenme şekilleri, kullanım yerleri,
4. Organizasyon içindeki görev ve pozisyonlar dikkate alındığında kimlerin bu verilere ulaştığı (yetki matrisi veya görev tanımları),
5. Verilerin kimlere, hangi hukuki nedenler ile ve nasıl aktarıldığı,
6. Ne kadar süre işlenildiği ve saklandığı,
7. Kullanılmayan verilerin ne yapıldığı,
noktalarında inceleyip, her iki grup çalışmanızın neticesini departman departman basit bir yazılı bir tablo haline getiriniz.
III. Tüm bu tespitlerden elde ettiğiniz sonuç organizasyonunuzun mevcut veri haritası olacaktır ki bu çalışma çıkaracağınız VERİ ENVANTERİ'nin bir özetidir. Bundan sonra devam ettireceğiniz çalışmalar bu veri haritası üzerinden ve bu haritanın detaylandırılması ve detaylarının kontrol altına alınması ve düzenlenmesi çalışması olacaktır.
VERİ ENVANTERİNİ, VERİ KORUMA EKİBİNİZİ-VERİ KORUMA KOMİTESİ/KURULU OLUŞTURUP GEREKLİ EĞİTİMLERİ ALDIKTAN SONRA AKILLI ENVANTER YARDIMIYLA KOLAYCA ÇIKARABİLİRSİNİZ.