Kişisel Verilerin Korunması ve Envanter Hazırlama Süreci

Av. Aybüke SAMUR

   Bu yazımızda;   

• Kişisel Veri İşleme Envanteri Nedir?
• Veri Envanterinin Faydası Nedir?
• Envanter Hazırlamakla Yükümlü Olanlar Kimlerdir?
• Envanter İçeriği Nasıl Olmalıdır?
• Kişisel Verileri Koruma Kurumunun Açıklaması
• Envanter Hazırlama Süreci nelerdir bu konuları aşağıda ayrıntılı olarak açıklamaya çalışacağız.

1)KİŞİSEL VERİ İŞLEME ENVANTERİ NEDİR?

Envanter, “Veri Sorumluları Sicili Hakkında Yönetmelik” in 4. maddesinin birinci fıkrasının (h) bendinde;

“h) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,”

şeklinde tanımlanmıştır.

Envanter; faaliyetleri kapsamında kişisel veri işlemekte olan veri sorumlularınca tüm süreçlerin değerlendirilmesi, bu süreçler kapsamındaki tüm faaliyetlerin irdelenmesi, bu kişisel verilerin hangi amaçlar ve hukuki sebeple işlendiği, aktarılıp aktarılmadığı, kimlere aktarıldığı, işlenen kişisel verinin kimlere ait olduğu, her bir kişisel veri için veri sorumlusunca belirlenen saklama süresi,verilerin güvenliği için hangi teknik veya idari tedbirlerin alındığı bilgilerinin detaylı analizinin yapılması sonucunda ortaya çıkacak bir tür rapordur.

2)VERİ ENVANTERİNİN FAYDASI NEDİR?

Envanter hazırlama yükümlülüğünün getirilmesinin nedeni; veri sorumlularının faaliyetlerine bağlı tüm süreçlerinde kanuna uyumunun sağlanması, başka bir ifade ile kanuna aykırı bir kişisel veri işleme durumunun olup olmadığının kolayca tespitinin sağlanmasıdır.

3)ENVANTER HAZIRLAMAKLA YÜKÜMLÜ OLANLAR KİMLERDİR?

Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. maddesinin birinci fıkrasının (ç) bendinde,

“Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.”,

(d) bendinde de,

“Kanunun 10. maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13. maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.”

şeklinde hükmolunmuştur.

 Bu bağlamda, Veri Sorumluları Siciline kayıt yükümlülüğü olan tüm veri sorumlularının Envanter hazırlaması gerekmektedir.

4)ENVANTER İÇERİĞİ

 Veri Sorumluları Sicili Hakkında Yönetmeliğe göre Envanterde asgari olarak;

• Veri kategorisi,
• Kişisel veri işleme amaçları ve hukuki sebebi,
• Aktarılan alıcı / alıcı grupları,
• Veri konusu kişi grupları,
• Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi,
• Yabancı ülkelere aktarımı öngörülen kişisel veriler,
• Veri güvenliğine ilişkin alınan teknik ve idari tedbirler,

yer alması gerekmektedir.

5)KİŞİSEL VERİLERİ KORUMA KURUMUNUN AÇIKLAMASI

 VERBİS’e kayıt süresi 31 Haziran 2020 tarihine kadar uzatılmıştır. Kişisel Verileri Koruma Kurumu, bunu duyurduğu zamanaynı zamanda 2 temel noktaya da işaret etmiştir. Şöyle ki;

• Veri sorumluları tarafından VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirilirken, öncelikle kişisel veri işlemekte olan tüm süreçleri içerecek şekilde kişisel veri işleme envanteri hazırlanması ve VERBİS’e bildirim yapılırken gelişigüzel değil, mutlaka söz konusu envanter baz alınarak giriş yapılması gerektiğinin tüm veri sorumlularına bu durumun hatırlatılmasına,
• Kişisel veri işleme envanteri hazırlamadan gelişigüzel VERBİS’e kayıt ve bildirim gerçekleştiren veri sorumluları ile envanter hazırlama süreçlerini tamamlayamadığı için süresinde kayıt ve bildirim yükümlülüğünü yerine getiremeyecek olan veri sorumluları dikkate alınarak, VERBİS’e girilmiş olan bilgilerde herhangi bir hata veya kanuna aykırılık varsa bu durumun biran önce düzeltilmesi gerektiği belirtilmiştir.

6)ENVANTER HAZIRLAMA SÜRECİ

• Öncelikle Süreç Veya Faaliyet Bazında Kişisel Verilerin Tespiti Yapılmalıdır.

Bu amaçla çalışan ekibin tüm iş süreçlerini birimler bazında tek tek tespit etmesi, süreçler kapsamındaki faaliyetleri listelemesi, faaliyetleri yerine getirirken hangi tür kişisel veri içeren bilgi veya belgeleri elde ettiğini ve bu bilgi veya belgelerde yer alan tüm kişisel verileri tek tek belirlemesi gerekmektedir.

• Tespit Edilen Kişisel Verilerin Niteliklerinin Belirlenmesi Gerekir.

İşlenen kişisel verinin özel nitelikli kişisel veri olup olmadığına bakılmalıdır. İşlenen kişisel veri özel nitelikli kişisel veri ise bunlara ilişkin Kanunda öngörülen işleme şartları, işleme amaçları, yurt içine aktarım, yurt dışına aktarım ve alınması gereken güvenlik tedbirleri açısından farklılıklar olacağından özel nitelikli kişisel verilerin ayrımı burada önem arz etmektedir.

• İşlenen Kişisel Verinin Hukuki Sebebinin Tespiti Gerekmektedir.

Veri sorumlularının, iş süreçlerine bağlı olarak işlediği kişisel verilerin her biri için Kanunun 5. veya 6. maddelerinde yer alan işleme şartlarından hangisine dayanarak kişisel veri işlemekte olduğuna dair Envanterde belirleme yapacağı alandır.

• Kişisel Veri İşleme Amaçlarının Tespitinin Yapılması Gerekir.

Kanunun 4. maddesi 2. fıkrası (ç) bendinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi gereği veri sorumlularının, faaliyetleri kapsamında işlediği kişisel verileri, hangi işleme amacına dayanarak işlediğini tek tek kişisel veri bazında belirlemesi gerekmektedir.

Veri sorumlusu, işlemekte olduğu herhangi bir kişisel veri için bir amaç tespit edemiyorsa bu durumda bu veriyi işlememeli veya işlenmişse söz konusu veri için imha işlemi uygulamalıdır.

• Veri Konusu Kişi Grubunun Belirlenmesi:

Kişisel verilerin hangi veri konusu kişi grupları için işlendiğine dair belirlemenin yapılacağı alandır. Veri sorumlularının, faaliyetleri kapsamında işlediği kişisel verileri hangi kişi veya kişi grupları ile ilgili olarak işlediğini tek tek kişisel veri bazında belirlemesi gerekmektedir.

• İşlenen Kişisel Verilerin Saklama Süresinin Belirlenmesi:

Veri sorumluları, işledikleri kişisel verilere ilişkin saklama sürelerini belirlerken öncelikle işlenen kişisel verilerle ilgili mevzuatta herhangi bir saklama süresi öngörülüp öngörülmediğine bakmalıdırlar. İlgili mevzuatta bir süre öngörülmüşse saklama süresi olarak bu süre belirtilmelidir.

• İşlenen Kişisel Verilerin Aktarıldığı Alıcı / Alıcı Gruplarının Belirlenmesi:

Veri sorumluları tarafından, işlenen kişisel verilerin hangi alıcılara veya alıcı gruplarına aktardığına dair belirlemenin yapılacağı alandır.

• Yabancı Ülkelere Aktarılan Kişisel Verilerin Belirlenmesi:

Kanun, yurt içinde veri aktarımı ile ilgili olarak, Kanunun 5. ve 6. maddelerinde yer alan işleme şartlarının varlığını yeterli görmüşken, yurt dışına aktarılacak veriler için bunlara ilave olarak bazı şartlar belirlemiştir.

• İşlenen Kişisel Veriler İçin Alınan Teknik ve İdari Tedbirlerin Belirlenmesi:

Kanunun 12. maddesinin 1. fıkrasına göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.