Mobile logo
Top

Kişisel Veri İşleme Envanteri

kişiselveriler.blog / Bilgi Bankası  / Kişisel Veri İşleme Envanteri
Bilgi Bankası Temel Kavramlar Yazı

Kişisel Veri İşleme Envanteri

Veri Sorumluları Sicili Hakkında Yönetmelik, Sicil’e kayıt yaptırması gereken veri sorumlularının bir kişisel veri işleme envanteri oluşturmasını ve Sicil’e sunacağı bilgileri bu envantere dayalı olarak hazırlamasını zorunlu kılmaktır. Peki kişisel veri işleme envanteri ne anlama gelmektedir? Hangi amaçlarla kullanılmaktadır?

KİŞİSEL VERİ İŞLEME ENVANTERİ NEDİR?

Kişisel veri işleme envanteri, Yönetmelik’te

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

olarak tanımlanmıştır. Kısaca envanter, veri sorumlularının gerçekleştirdiği bütün veri işleme faaliyetlerini gösteren dokümandır. Veri sorumluları hazırlayacakları envanterde:

  • Her bir veri işleme faaliyetinin amacını,
  • İşlenen verilerin yer aldığı kategoriyi,
  • Veri aktarımı söz konusu ise alıcının yer aldığı kategoriyi ve
  • Veri sahibinin yer aldığı kategoriyi ilişkilendirerek göstermelidirler.

Örnek vermek gerekirse, birçok şirket güvenlik amacıyla bina girişlerinde ziyaretçilerden nüfus cüzdanı talep etmekte ve nüfus cüzdanı üzerinde yer alan TCKN bilgisini sistemlerine kaydedebilmektedir. Bu veri işleme faaliyeti için envanterde belirtilmesi gereken aşağıdaki şekilde ifade edilebilir:

Veri işleme amacı             Şirket binasında güvenliğin sağlanması

Veri kategorisi                   Kimlik bilgisi

Veri konusu kişi grubu    ⇒Ziyaretçi

Bunun yanı sıra envanterde aşağıdaki bilgiler de yer almalıdır:

  • Yurt dışına aktarılması öngörülen kişisel veriler.
  • Veri güvenliğini sağlamak için alınan tedbirler.
  • Kişisel verilerin azami saklama süresi.

AZAMİ MUHAFAZA SÜRESİ NASIL BELİRLENİR?

Veri sorumluları, Sicil’e başvuruda bildirecekleri veri kategorilerini için mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresini de bildirmekle yükümlüdür. Yönetmelik’e göre, veri sorumlusu tarafından Sicil’e bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicil’e bildirim yapılacaktır.

Azami muhafaza edilme sürenin belirlenmesinde aşağıdaki faktörlerin dikkate alınması öngörülmüştür:

  • İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre.
  • İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre.
  • İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre.
  • İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre.
  • Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı.
  • Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre.
  • Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi.

ENVANTER NASIL HAZIRLANMALIDIR?

Kişisel veri işleme envanterinin hazırlanmasında en önemli husus, envanterin veri sorumlusunun bütün veri işleme faaliyetlerini eksiksiz olarak içermesidir. Bu kapsamda örneğin veri sorumlusu tüzel kişilik bünyesindeki her bir takımın gerek dijital (online ya da offline) ortamda herhangi bir cihaz vasıtasıyla gerekse dijital olmayan yollarla işlediği tüm veriler tespit edilecektir.

Dijital ve fiziki arşivlerde tutulan verilerin de tespit edilip envantere işlenmesinin zorunlu olduğu düşünülürse, bu sürecin ne kadar zor olduğu daha iyi anlaşılabilir. Ayrıca envanterin oluşturulduğu sırada mevcut olmayan fakat daha sonra eklenen veri işleme faaliyetleri de en kısa sürede envantere eklenmelidir.

Bunun yanı sıra her bir faaliyetin; amaç, veri konusu kişi, alıcı grubu ve veri kategorisi ile de doğru ilişkilendirilmesine özen gösterilmelidir. Elbette bir kişisel veri birden çok amaçla işleniyor ya da birden çok kişiye aktarılıyor olabilir. Bu halde kişisel verilerinin farklı işleme amaçlarının ya da aktarım faaliyetlerinin ayrı ayrı gösterilmesi gerekecektir.

Kurul, envanterin hazırlanmasının herhangi bir şekil şartına bağlı olmadığını, kolayca erişilebilir ve veri işleme faaliyetlerine ilişkin doğru bilgilendirmeye elverişli olmak koşuluyla isteğe bağlı olarak metin ya da liste formunda hazırlanabileceğini ifade etmiştir.

ENVANTER NE İŞE YARAR?

Yukarıda da ifade edildiği üzere, kişisel veri işleme envanteri bir şirketin (ya da diğer türde bir veri sorumlusunun) bütün kişisel veri işleme faaliyetlerini ortaya koyan bir dokümandır. Envanter:

  • Veri Sorumluları Sicili’ne kayıt başvurusunda,
  • Aydınlatma yükümlülüğünün yerine getirilmesinde,
  • Veri sahiplerinin başvurularının yanıtlanmasında ve
  • Açık rızanın kapsamının belirlenmesinde kullanılacaktır.

Özetle, Veri Sorumluları Sicili’ne kayıt olmakla yükümlü olan her şirket aynı zamanda bir kişisel veri işleme envanteri hazırlamak zorundadır. Asgari içeriği Yönetmelik ile belirlenen envanter için özel bir şekil şartı getirilmemiştir. Önemli olan, envanterin bütün veri işleme faaliyetlerini içermesidir. Envanterin oluşturulması kişisel verilerin korunması alanının hukukumuza yeni dahil olduğu düşünüldüğünde başlangıçta karmaşık gözükse de esasen, Kanun’un yürürlüğe girmesinden bu yana uyum sürecini başlatan birçok veri sorumlusunun bu yönde adımlar attığı ifade edilmelidir.

5 Şubat 2018
0
0
veri envanteri veri sorumlusu yükümlülük
Related Posts
Kişisel Verileri Korumaya Hazır mısınız?
 5 Eylül 2019
Sorularla VERBİS Rehberi Yayınlandı
 29 Mart 2019
İşlediğimiz Kişisel Verileri Nasıl Koruyabiliriz?
 2 Şubat 2019
Dilara Tunçtürk
Dilara Tunçtürk
Yorum Bulunmuyor

Yorum Yapın