KVKK’ya göre, Kişisel Verileri Koruma Kurulu aracılığıyla belirlenen avukatlar, finans danışmanları, gümrük danışmanları benzeri istisnalar haricinde, kişisel verileri işleyen gerçek ve tüzel kişiler, Kişisel Verileri Koruma Kurulu aracılığıyla tutulan Veri Sorumluları Siciline kaydolmak mecburiyetindedir. Veri Sorumluları Sicili Hakkında Yönetmelik’in 5. maddesinin 1. fıkrasının (ç) bendi gereğince ise, Veri Sorumluları Siciline kayıtla sorumlu olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla sorumludur.
Kişisel Veri İşleme Envanteri, Kişisel Verileri Koruma Kurulu aracılığıyla hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik ile Veri Sorumluları Sicili Hakkında Yönetmelik çerçevesinde “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter” olarak ifade edilmiştir.
Kişisel Veri İşleme Envanterinin maksadı, kişisel veri işleme faaliyetinin ve bunun ile alakalı tüm proseslerin KVKK’ya uygunluğunun sağlanması ve yasaya aykırı olarak kişisel veri işleme hususlarının saptanabilmesi maksadıyla veri sorumlusunun kendini denetlemesini gerçekleştirilmektedir.
Veri Sorumluları Siciline gerçekleştirilecek başvurularda veri sorumluları aracılığıyla verilen bilgiler Kişisel Verileri İşleme Envanterine uyumlu olacaktır. Aynı zamanda, veri sorumluları aracılığıyla aydınlatma yükümlülüğü gerçekleştirilirken, ilgili kişi aracılığıyla veri sorumlusuna yapılan başvurular yanıtlanırken ve ilgili kişiler aracılığıyla açıklanacak açık rızanın kapsamı saptanırken, Kişisel Verileri İşleme Envanterine uyumlu olarak Veri Sorumluları Sicilinde bildirilen bilgiler temel alınacaktır. Buna ilave olarak, Veri Sorumluları Siciline kaydolmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uyumlu olarak kişisel veri saklama ve imha politikası düzenlemekle yükümlüdür. Yani, Kişisel Veri İşleme Envanterinin KVKK ve ilgili yönetmelikler gereğince veri sorumlusu aracılığıyla gerçekleştirilecek yükümlülükler için bir dayanak belge olması sebebiyle bahsedilebilecektir.
Veri Sorumluları Sicili Hakkında Yönetmelik gereğince, Kişisel Veri İşleme Envanteri çerçevesinde aşağıda bulunan bilgilerin yer alması gereklidir:
- Veri kategorisi
- Kişisel veri işleme amaçları ve hukuki sebebi
- Aktarılan alıcı/alıcı grupları
- Veri konusu kişi grupları
- Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi
- Yabancı ülkelere aktarımı öngörülen kişisel veriler
- Veri güvenliğine ilişkin alınan teknik ve idari tedbirler
Kişisel Verileri Koruma Kurumu aracılığıyla Kişisel Verileri İşleme Envanteri Hazırlama Rehberi düzenlenmiş ve Kişisel Verileri İşleme Envanteri örneği ile beraber Kişisel Verileri Koruma Kurumunun resmî web sitesinde yayımlanmıştır. Bahsi geçen rehbere göre, yukarıda bahsedilen ve asgari olarak yer alması gereken bilgilerin yanında, Kişisel Verileri İşleme Envanteri çerçevesinde bilgi girişi yapan kişi, departman adı, birim adı, süreç adı, faaliyetin adı, faaliyetin açıklaması, işlenen kişisel veri, işlenen kişisel veri kategorisi, kişisel verileri işleme koşulu, işlenen özel nitelikli kişisel veri, işlenen özel nitelikli kişisel veri kategorisi, özel nitelikte verileri işleme koşulu, kişisel verisi işlenenlere, kişisel verilerin ilk elde edilmesi sırasında aydınlatma yapılıp yapılmadığı, kişisel verinin sağlandığı kaynak, sağlama yöntemi, muhafaza edildiği elektronik ortam, muhafaza edildiği fiziksel ortam, birimi haricinde bu veriye erişenler, saklama maksadı, periyodik imha süresi, aktarma maksadı, kişisel veri aktarımının hukuki nedeni, kişisel veri aktarım usulü, özel nitelikli kişisel veri aktarımının hukuki nedeni, özel nitelikli kişisel veri aktarım usulü, alınan idari önlemler, alınan teknik önlemler ve özel nitelikli kişisel verilere alınan yeterli tedbirler bulunabilir.
Kişisel Verileri İşleme Envanteri düzenlemeden önce, ilk olarak veri sorumlusu aracılığıyla yürütülen prosesler ve yapılan faaliyetler çerçevesinde hangi kişisel verilerin işlendiğinin ve bu kişisel verilerinin özelliklerinin saptanması gerekmektedir. Örnek olarak, insan kaynakları aracılığıyla yürütülen işe alım prosesinde, adayların hangi kişisel verilerinin işleneceği ve bahsi geçen işlenecek kişisel verilerin ilgili kişinin sağlığı, etnik kökeni, dini, ceza mahkumiyeti, sendika üyeliği benzeri özel nitelikli kişisel veri olup olmadığı veri sorumlusu aracılığıyla saptanacaktır.
KVKK çerçevesinde belirtilen genel ilkeler gereğince, veri sorumluları, kişisel verileri belli, açık ve meşru maksatlar için ve işlendikleri maksatla ilişkili, kısıtlı ve ölçülü olarak işlemekle sorumludur. Yani, Kişisel Verileri İşleme Envanteri düzenlenmeden önce, kişisel verileri işleme maksatlarının ve hukuki nedenlerinin saptanması ve bu hukuki nedenlerin KVKK çerçevesinde sayılan veri işleme koşullarına uyum sağlaması gerekmektedir. Örnek olarak, e-ticaret alanında faaliyet veren bir veri sorumlusu, müşterilerinin e-posta adreslerine ve bunun yanında cep telefonlarına promosyon mesajı iletecekse, kişisel veri işleme maksadı reklam ve promosyon olduğunun ve bunun yanı sıra bu işleme faaliyeti için açık rızanın alınması gerekliliğinin saptanması gerekmektedir.
İçerikte bahsedilenlere ilave olarak, veri sorumlusu aracılığıyla, veri işleme ile alakalı bir şekilde veri konusu kişi grupları, işlenen kişisel verilerin muhafaza edilme süreleri, kişisel veriler iletilecekse verilerin iletildiği alıcı/alıcı grupları, yabancı ülkelere iletilen kişisel veriler ve işlenen kişisel veriler için alınan teknik ve idari önlemler saptanmalı ve saptanan bu bilgilere göre veri sorumlusu aracılığıyla Kişisel Verileri İşleme Envanteri düzenlenmelidir.
Yazar: Zehra Betül Taşkın
Benzer: https://www.nesilteknoloji.com/verbis-ve-kisisel-veri-isleme-envanteri-arasindaki-farklar/
