Kişisel Veri İşleme Envanteri’nin tanımı mevzuatımıza 28 Nisan 2019 Tarihli ve 30758 sayılı Resmi Gazete ile yapılan değişiklikle birlikte tam olarak girmiştir diyebiliriz. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 4. maddesinin “e” bendinde yapılan tanıma göre;
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri” ifade etmektedir.
Buna göre veri sorumlusu, ilgili kişilere ait topladığı verileri yönetmelikteki tanıma uygun bir şekilde kategorize etmelidir. Buna göre veri sorumlusunun, hazırlayacağı veri işleme envanterinde;
- İlgili kişilerden toplanan verilerin kategorisini,
- Kişisel verilerin işleme amaçlarını ve hukuki sebeplerini,
- Verilerin aktarıldığı alıcı ya da alıcı gruplarını,
- Veri konusu kişi grubuyla ilişkilendirerek oluşturulan ve kişisel verilerin işlendikleri amaçlar için gerekli olan muhafaza süresini,
- Yabancı ülkelere aktarımı öngörülen kişisel verileri,
- Veri güvenliğine ilişkin alınan teknik tedbirler de dahil olmak üzere tüm tedbirleri (Uyum sürecinde belirlenen şirket politikasını),
eksiksiz bir şekilde açıklayarak detaylandırması büyük önem taşımaktadır. Yönetmelikte sayılan ve envanterde yer alması gereken bu kriterler asgari kriterlerdir. Bu nedenle iş yerinin faaliyetine ve topladığı kişisel verilerin niteliğine göre envanterdeki bilgilerin bunlarla sınırlı tutulmayıp gereklilik ölçüsünde envanterde bulunması zaruri olan bilgilerin de eklenmesi gerekmektedir.
Envanter hazırlama yükümlülüğüne mevzuatımızda yer verilmesinin temel amacı veri sorumluları ile ilgili kişi yani verinin ait olduğu kişiler arasındaki tüm iş, alışveriş vb. süreçlerde oluşabilecek karışığın önlenmesi, meydana gelecek ihlallerin tespitinin ve denetiminin kolaylaştırılması ve tüm sürecin mevzuata uyumlu hale getirilmesini sağlamaktır.
Bahse konu yönetmeliğin “Kişisel Veri Saklama Ve İmha Politikasına İlişkin Esaslar” başlıklı 5. maddesinin ilk fıkrasında yer alan düzenleme ile “Kanunun 16’ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.” envanter hazırlamakla yükümlü olanlar sayılmıştır. Buna göre ilgili kişiden alınacak açık rızasının kapsamının belirlenmesi, başvuruların yanıtlanmasında ve sicile kayıt yükümlülüğünün yerine getirilmesine ilişkin konularda yukarıda detaylarıyla açıklamış olduğumuz Kişisel Veri İşleme Envanteri esas alınacaktır. Kişisel veri işleme envanteri hazırlamakla yükümlü olanlar hazırlayacakları envanteri kendi bünyesinde, erişimin sınırlandırıldığı ve gizliliğin sağlandığı bir şekilde tutmak ve Kurulun talep etmesi halinde Kurula ibraz etmekle yükümlüdürler.
Kişisel veri işleme envanterinin hazırlanabilmesi ve eksiksiz olarak tüm gerekliklerin yerine getirilmesi için veri sorumlusu tarafından teknik ve hukuki anlamda yetkin kişilerden oluşan bir ekibin görevlendirilmesi pek tabii büyük bir gerekliliktir. Görevlendirilen ekip, veri sorumlusu şirket bünyesinde hem manuel hem de otomatik yollarla toplanan verileri analiz edecek, verilerin kişisel veri veya özel nitelikli kişisel veri olduğu konusunda ayrım yapacak, mevzuata uyum projesi kapsamında envanter ve aydınlatma metinleri hazırlayacak ve son olarak veri sorumlusu şirket bünyesinde çalışanlarda farkındalığın oluşması amacıyla eğitimler düzenleyecektir.
Envanter Örneği İçin Bakınız ( https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/14a17049-71da-4417-a07b-961f75a0070e.PDF )
