Veri envanter listesi kişisel verilerin işlenmesi ile ilgili yasal bir çerçeve olan 6698 sayılı KVKK 24 Mart 2016’da yürürlüğe girmiştir. Akabinde bu kanunla ilgili bazı ikincil düzenlemeler yapılmış ve birtakım yönetmelikler yayınlanmıştır. Bunlar arasında en önemli olanlar, Veri sorumluları sicili hakkında yönetmelik ve kişisel verilerin silinmesi, Yok edilmesi ve anonim hale getirilmesi hakkında yönetmelik’tir. 1 Ocak 2018 tarihinden itibariyle yürürlüğe giren bu yönetmelikler, veri sorumlularına bazı yükümlülükler getirmektedir. Bunlar arasında en önemli olanlardan biri de kişisel veri işleme envanteri hazırlama yükümlülüğüdür.
Kişisel Veri İşleme Envanteri Ne Demektir?
Söz konusu envanterin tanımı ilgili yönetmelikte şu şekilde tanımlanmıştır. Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteridir.
Oldukça detaylı ve uzun bir tanımı yapılan kişisel veri işleme envanteri hakkında şu önemli hususları belirtebiliriz:
• Veri sorumluları, kişisel verilen işlenmesinde tüm süreçleri değerlendirmeli.
• Tüm faaliyetleri detaylandırmalı.
• Kişisel veri sınıfına giren tüm bilgileri ayrı ayrı belirtmeli.
• Bu verilen neden işlendiğini ve bu yaparken takip edilen hukuki prosedürlerin neler olduğunu açıklamalı.
• Bilgiler bir yere aktarılıyorsa, kime, neden ve ne zaman aktarıldığı bilgisine yer vermeli.
• Kişisel verilen saklanma süresini ve korunması için alınan güvenlik önlemlerinin neler olduğunu belirtmeli.
Kişisel veri işleme envanteri , veri sorumluları tarafından hazırlanan ve yukarıda belirtilen konuları kapsayan bir rapordur. Envanterin sahip olması gereken özellikler, nasıl hazırlanması gerektiğine dair de önemli konuları belirtmekte.
Kişisel Veri İşleme Envanteri Nasıl Hazırlanmakta ?
Envanter hazırlık sürecinde yapılması gerekenleri şu şekilde özetleyebiliriz:
• Kişisel verilerin tespit edilmesi
• Bu verilen hangi özelliklere sahip olduğunun belirlenmesi; örneğin, kimlik bilgileri, sağlık bilgileri, üye olunan kuruluşlar, iletişim bilgileri, özlük bilgileri vs.
• Bu verilerin neden işlendiğine dair hukuki bir dayanağın belirlenmesi
• Veri işleme amacının ortaya konması
• Verilerin hangi kişi gurubunu kapsadığının belirlenmesi; örneğin, öğrenciler, çalışanlar, dernek üyeleri, müşteriler, tedarikçiler gibi grupların ortaya çıkarılması
• Kişisel verilen saklama süresinin tespit edilmesi
• Kişisel veriler başka bir gerçek ya da tüzel kişilere aktarılıyorsa, buna dair bilgiler ve hukuki sebeplerin belirtilmesi
• Yabancı ülkelere aktarılan bilgiler varsa bu sürece dair bilgilerin belirtilmesi
• Kişisel verilerin gizliliğini korumak amacıyla alınan bütün güvenlik önemleri ve bu önlemlerin etkinliğinin açıklanması
Veri Güvenliği Nedir?
Veri güvenliği konusunun kapsamı KVKK’da, kişisel verilen hukuka aykırı olarak erişilmesini ve işlenmesini önlemek ve bu verilerin güvenli bir şekilde saklanmasını sağlamak olarak belirtilmiştir. Bu durumda veri sorumluları bilgi güvenliği düzeyini sağlamak amacıyla her türlü idari ve teknik önlemi almak zorundadır. Yasada da belirtildiği üzere alınacak tedbirleri idari ve teknik olarak ikiye ayırabiliriz.
Veri Güvenliği İçin Alınacak İdari Tedbirleri Nedir?
Bu tedbirler, veri sorumlusunun faaliyet alanı, bilgiyi saklama ve işleme amacı, verinin türü ve kapsamı gibi konulara göre farklılık gösterebilir. Fakat bilgi güvenliği anlamında şu tedbirlerin mutlaka alınması gerektiğini belirtebiliriz:
• Kişisel verilerin çalınması, izinsiz olarak başka bir yere aktarılması veya kişisel veri işleme envanterinde yazan kuralların dışında işlenmesine yönelik risk ve tehditlerin belirlenmesi
• Veri sorumlusu bir tüzel kişiyse (şirket, dernek, vakıf, belediye, kamu ve özel sektör kuruluşu vb) çalışanlara veri güvenliği konusunda eğitimlerin verilmesi
• Bilgi güvenliği ile ilgili somut prosedürler ve politikalar belirlenmesi
• Gereksiz veri saklamaktan kaçınılması; muhafaza edilen ve işlenen verilerin az tutulmaya çalışılması
• Veri güvenliği için dışarıdan bir hizmet alımı söz konusu ise bu kişi ya da kurumlarla kurulan ilişkilerin güvenli ve yasal bir zeminde sürdürülmesi.
Bilgi Güvenliği İçin Alınabilecek Teknik Tedbirler Nelerdir?
Bu tedbirlerden en önemli olanları şunlardır:
• Siber saldırılara karşı caydırıcı ve etkili önlemler almak
• Kişisel verilerin yer aldığı bütün platformların ve yazılımların sürekli olarak takip edilmesi
• Bu ortamların güvenliğinin azami düzeyde sağlanması
• Kişisel verilerin düzenli olarak yedeklenmesi
• Bilgi teknolojileri anlamında en güncel sistemlerin, cihazların, ekipmanların ve yazılımların kullanılması; bütün bunların düzenli olarak bakım işleminden geçirilmesi
Veri sorumlusu olarak görev yapan gerçek ya da tüzel kişilerin, bilgi güvenliği konusunda yaşanacak bir problemde sadece ilgili kişilere değil, yasalara karşı da sorumlulukları olduğu unutulmamalıdır. Bu nedenle, veri güvenliği konusuna azami özen gösterilmelidir.