6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girdi. KVKK kapsamında 'Veri Sorumlusu' tanımı yapılarak Veri Sorumlusuna ilişkin çeşitli yükümlülükler getirildi. Öncelikle belirtmek gerekir ki; ilgili mevzuat kapsamında 'Veri sorumlusu' kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandı. Şirketler tüzel kişi olarak, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında doğrudan kendileri "veri sorumlusu" olduğundan, sorumluluk bakımından tüzel kişinin şahsı sorumlu olacaktır.
Kişisel verileri işleyen Veri Sorumluları, veri işlemeye başlamadan önce 'Veri Sorumluları Siciline' kaydolmak zorundadır. Bununla birlikte Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca veri sorumluları siciline kayıt olmak zorunda olan Veri Sorumlularına kişisel veri işleme envanteri hazırlama yükümlülüğü getirilmiştir. Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesinin birinci fıkrasının 'ç' bendi uyarınca "Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır" denilmektedir.
Kişisel veri işleme envanteri belirtilen Yönetmeliğin 4 üncü maddesinin birinci fıkrasının 'h' bendinde ''Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter'' olarak ifade edilmektedir. Buna göre belirtilen envanter;
- Kişisel veri işleme faaliyetlerini
- Kişisel veri işleme amaçlarını
- Kişisel verilerin işlenmesindeki hukuki sebebi
- Veri kategorisini
- Aktarılan alıcı grubu
- Veri konusu kişi grubu
- Saklama süresini
- Verilerin yabancı ülkelere aktarılıp aktarılmadığını
- Veri güvenliğine ilişkin alınan teknik ve idari tedbirleri
asgari olarak içermelidir. Belirtilen asgari unsurlar ayrıca Veri Sorumluları Sicili Kayıt Sistemi'nde ( VERBİS ) kaydedilmektedir. Ancak Veri Sorumluları Sicili ile Veri İşleme Envanteri arasında çeşitli farklar bulunmaktadır. Bunlar;
- Veri Sorumluları Sicili'nde belirtilen sınırlı alanlara başlıklar halinde bilgi girişi yapılarken, Kişisel Veri Envanterinde tüm bu verilerin daha detaylı olarak yer alması gerekir.
- Veri Sorumluları Sicili kamuya açık olarak tutulmaktadır. VERBİS'e girilen bilgiler dileyen herkes tarafından görüntülenebilir. Kişisel Veri Envanteri ise Veri Sorumlusunun kendi bünyesinde kalacak ve sadece Kişisel Verilerin Korunması Kurulu tarafından talep edildiğinde ibraz edilecektir.
- VERBİS sistemi içerisinde ilgili alanlarda giriş yapması zorunlu tutulmuşken Envanterin şekli açısından herhangi bir şart veya koşul öngörülmemiştir.
Sonuç olarak Kişisel Veri İşleme Envanteri hazırlarken fiziksel ve elektronik ortamda işlenen tüm kişisel verilerin analizi yapılmalı, kişisel verilerin işlenme aşamaları tek tek tespit edilmeli ve kişisel verilerin akış şemaları oluştulmalı ve ayrıntılı bir rapor haline getirilmelidir.
KVKK ile getirilen yüksek idari para cezaları (1.000.000 TL'ye kadar) ile Yöneticilerin yargılanmasına yol açabilecek kişisel verilere ilişkin suçlar düşünüldüğünde; kişisel veri işleme envanteri hazırlanması ve bu sürece şirketlerde bulunan tüm departmanların katılması son derece önem arz etmektedir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.