Kişisel Veri Envanterinize Bakış Açınızı Değiştirin!

Kişisel veri envanteri, hukuken VERBİS’e kaydolması gereken şirketler için hazırlanması zorunlu, çok detaylı bir dokümandır ve veri sorumlusu şirketlerin tüm faaliyetleri kapsamında işledikleri kişisel verileri Kanunda aranan başlıklar altında detaylı olarak listeler. Bu videoda kişisel veri envanterinin öneminden ve hazırlanmasındaki ek faydalardan bahsetmek istiyorum. Zira şirketler için hazırlaması ve güncel tutması meşakkatli olan bu dokümanın hazırlık sürecinde aslında, şirketler için bir çok ek fayda da elde edebilirler.

Öncelikle bu konuda ilk akla gelen soru, VERBİS Kaydı yükümlülüğü kriterlerini taşımayan şirketlerin envanter hazırlamak zorunda olup olmadıklarıdır. İlgili Yönetmeliğin lafzi yorumuna göre, yalnızca VERBİS’e kaydolması gereken şirketlerin bu envanteri hazırlaması gerektiği anlaşılmakla birlikte, bizim hukuki değerlendirmemiz, hem gerçek anlamda bir veri koruma uygulamasının resmin bütününü görme imkanı veren envanter olmadan eksik kalacağı hem de birazdan anlatacağım veri koruma süreçlerinin işletilmesindeki faydalar nedeniyle kişisel veri işleyen tüm şirketlerin kişisel veri envanteri hazırlaması gerektiği yönündedir.

Kabul edilmelidir ki gerçek anlamda doğru ve güncel bir envanter oluşturmak kolay değildir ve maalesef yaygın uygulama şirketlerin şablonlar üzerinden envanterlerini oluşturması şeklindedir.   

Çünkü şirketlerin operasyonel süreçleri içindeki kişisel veri işleme faaliyetleri, faaliyet konusu, kurumsal ve idari yapılanması ve operasyonel süreçlerinin işleyişine göre farklılık göstermektedir.

Ancak oldukça meşakkatli olan bu hazırlık sürecinin ciddiyetle ele alınmasında ve yapılmasında şirketler çok önemli operasyonel ve yönetimsel ek faydalar da elde edebilirler.  Diğer bir ifade ile Kişisel veri koruma uyum süreçlerini ve bunun en önemli kalemlerinden olan envanter hazırlığını bir çeşit külfet gören şirketlere, bakış açılarını değiştirmeyi öneriyorum!

Şöyle ki;

• Sağlıklı bir envanter hazırlık çalışması, tüm operasyonel süreçlerin ve faaliyetlerin analiziyle işlenen kişisel verilerin tek tek tespitini ve her birinin işlenme amacı, hukuki gerekçesi, aktarım koşulları ve saklama sürelerinin belirlenmesini gerektirir.
• Bu içerikte hazırlanan bir envanter, Şirkette işlenen veri tiplerini ve şirket içindeki yolculuklarını bütüncül olarak görmeyi sağlar. Bu bir anlamda şirketinizin kuş bakışı veri görüntüsüdür!
• Şirket faaliyetlerinde alınan verilerin gerçek anlamda ihtiyaç olup olmadığını analiz etme ve minimize etme imkanı yaratır.
• Hukuka aykırı bir işleme tipi varsa kolaylıkla tespit edilmesini sağlar ve herhangi bir işleme şartı ve amacı bulunmayan verilerin tespit edilmesi halinde envanter yardımı ile hukuken gerekli saklama süreleri kontrol edilip imha gerekliliği belirlenir.
• Ayrıca bu hazırlık sürecinde çalışanların işledikleri verilerin gerekliliğini ve diğer birimler ile veri aktarım durumunu sorgulamasını ve riskleri görerek bu konuda sorumluluk hissetmelerini sağlar.
• Böylece Envanter hazırlık sürecini verimli geçiren şirketlerde tüm birim ve kişilerin sürece katılımı veri koruma bilinç ve kültürünün oluşturulmasında büyük önem taşır.
• Veri sahibi ilgili kişi başvurularının zamanında ve doğru şekilde cevaplanması için yol haritası verir. Aksi durumda başvuranın verisi hangi birimlerde ve işlenme şartları nelerdir tespit ya mümkün olamaz ya da 30 günlük süre içinde tespit edilemez.
• Hukuka ve şirket faaliyetlerine uygun aydınlatma ve açık rıza metinleri hazırlanmasında doğru envanter önemli bir temel teşkil eder. Uygulamada kullanılan aydınlatma ve rıza metinlerinin çoğu şirketler tarafından kendi envanterleri baz alınmadan, başka şirketlerin metinleri kopyalanarak hazırlanmaktadır.
• Son olarak Envanter güncel ve doğru olmalıdır. Bu nedenle de düzenli envanter kontrolü ve güncellemesi planlanmalıdır ve bu sayede envanterde değişiklik gereken aktivite veya yeni veri işleme faaliyetinin tespiti zaman geçirmeden sağlanmış olur.

Tüm bu anlatılanlar ışında Kişisel veri envanteri hazırlama aşamasında şirket süreçlerinin, işlenen verilerin ve bunların şirket içindeki yolculuğunun belirlenmesi ve de sektör bilgisi, süreç analizi, proje yönetimi ve risk analizi tecrübesi büyük önem taşır.

Kurt & Partners olarak kişisel verilerin korunması alanında hukuki uyum süreçlerinin en önemli adımlarından biri olan Kişisel Veri Envanteri hazırlama çalışmalarını, şirketiniz için birimler ve etkileşimi bakımından faydaya çevirerek veri koruma bilinç ve kültürünün oluşmasına da katkı sağlayacak şekilde planlamaktayız.