Kişisel Veri İşleme Envanteri

Kişisel Veri İşleme Envanteri: KVKK uyum durumunuz için anlık resminiz

Kişisel Veri İşleme Envanteri nedir?

Bir veri sorumlusunun kişisel verilerle olan tüm işlemleri için gerekli olan bilgiler bu envanterde tutulur.

Envanter, VERBİS kaydı başta olmak üzere tüm politika metinlerinin ve aydınlatma yükümlülüğü kapsamında oluşturulan tüm aydınlatma metinlerinin çıkış noktası ve esasını teşkil eder.

Kişisel veri işleme envanteri düzenlenmeden hiçbir şekilde KVKK uyumluluğundan söz edilmesi mümkün değildir. Envanter, hukuka uyumluluk konusunda işletme ve kurumların durumunu ortaya koyan bir çalışmadır.

Veri Sorumluları Sicili Hakkındaki Yönetmelik kişisel veri işleme envanterini şu şekilde tanımlamaktadır:

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Bir kişisel veri işleme envanterinde bulunması gerekenler şunlardır.

  • Kişisel veri işleme amaçları ve hukuki gerekçesi,
  • Veri kategorisi,
  • Aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturulan ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreler,
  • Yabancı ülkelere aktarılması öngörülen kişisel veriler,
  • Veri güvenliğine ilişkin alınan teknik ve idari tedbirler.

Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. 

Sicil başvurularında (VERBİS kaydı) Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanacaktır.

Bu yükümlülüğün temel amacı, veri sorumlularının faaliyetlerine bağlı tüm süreçlerinde Kişisel Verilerin Korunması Kanununa uyumunun sağlanması ve veri sorumlususnun bu kapsamda kendi kendini denetlemesidir.  

Kişisel Veri İşleme Envanteri;

  • Veri işlemekte olan veri sorumlularınca tüm süreçlerin değerlendirilmesi,
  • Bu süreçler kapsamındaki tüm faaliyetlerin irdelenmesi,
  • Her faaliyetle ilgili işlenen kişisel verilerin tek tek belirlenmesi,
  • Bu kişisel verilerin;
    • Hangi amaçlar ve hukuki sebeple işlendiği,
    • Aktarılıp aktarılmadığı,
    • Kimlere aktarıldığı,
    • İşlenen kişisel verinin kimlere ait olduğu,
    • Her bir kişisel veri için veri sorumlusunca belirlenen saklama süresi,
    • Yurt dışına aktarım yapılıp yapılmadığı,
    • Verilerin güvenliği için hangi teknik veya idari tedbirlerin alındığı, bilgilerinin detaylı analizinin yapılması sonucunda ortaya çıkacak bir tür rapordur. 

Ayrıca, VERBİS kaydına esas teşkil etme dışında Envanter;

Kişisel Veri İşleme Envanteri ve VERBİS, veriler açısından temelde benzerlik gösterse aşağıda belirtilen farklılıklar söz konusudur. Buna göre;

  • VERBİS’te sadece başlıklar halinde kategorik bazda bilgi girişi yapılırken, Envantere bu veriler alt kırılımlarıyla birlikte detaylı şekilde yer alacaktır.
  • Kamuya açık olarak Kişisel Verileri Koruma Kurumu tarafından tutulmakta olan VERBİS’e girilmiş olan bilgiler isteyen herkes tarafından görüntülenebilmekte iken, Envanter veri sorumlusunun kendi bünyesinde kalaır ve kamuya açık değildir. (Kurul tarafından talep edilmesi durumunda envanterin Kurula ibrazı ve veri sorumlusuna yapılan başvurulara verilecek cevaplar için envanterden faydalanılması gerekilidir.)
  • VERBİS için bir sistem hazırlanmış ve ilgili ekranlardan giriş yapılması zorunlu tutulmuşken, envanterin şekli açısından herhangi bir yönlendirme yapılmamıştır. Envanter, herhangibir ofis yazılımı dosyası formatında veya oluşturulan vir veri tabanında tutulabilir.

Kişisel Veri İşleme Envanteri hazırlığındaki en önemli husus, envanterin veri sorumlusunun bütün veri işleme faaliyetlerini eksiksiz olarak içermesidir. 

İlave olarak, faaliyetlerin amaç, veri konusu kişi, alıcı grubu ve veri kategorisi ile de doğru ilişkilendirilmesi önemlidir.