Kişisel Veri Envanteri Nedir?

Kişisel Veri Envanteri, “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter,” olarak tanımlanmaktadır.

KVKK Uygulama Kitabı

Bir organizasyonun veri yönetimi konusundaki çalışmalardaki en önemli ihtiyacı ve hatta başlangıç noktası, sahip olduğu verilerin türü, giriş kanalları/yolları, miktarı, yeri, paylaşımı, ömrü ile ilgili bilgilere hakim olmaktır.

Kişisel verilerin korunması alanındaki uygulamalara baktığımızda gereksiz verinin varlığının dahi önemli bir sorun olduğu ortadadır. Bu bakımdan Kurulca önerilen tedbirlerden birinin işlenen verilerin mümkün olduğu kadar azaltılması (veri minimizasyonu-GEREKSİZ VERİLERİ İŞLEMEMEK) olduğunu da unutmamak gerekir.

Özel sektör kurumları ile kamu kurumları, faaliyetleri sırasında çok sayıda ve türde kişisel veri elde etmekte, işlemekte ve saklamaktadır. Ekonomik faaliyetler sırasında ve kamusal yükümlülükler çerçevesinde elde edilen veriler çoğu zaman farklı amaçlar ile ve gereksinmeler dolayısıyla üçüncü kişilerle paylaşmak durumunda kalınmaktadır.

İşte, verilere ait yönetim modelinin yeterli ve organizasyonel yapıya uygun bir şekilde dizayn edilmemesi halinde, sahip olunan ve paylaşılan veri boyutu ve adedi çoğaldıkça bu veriyi korumak ve güvenli tutmak, yani veri hakimiyetini sağlamak konusundaki riskler de artar ve alınması gereken tedbirler çoğalır.

Kişisel Veri Envanteri Ne İşe Yarar?

İşte bu noktada eksiksiz ve organizasyonel yapıya uygun bir veri envanteri yapmanın önemi ortaya çıkmaktadır. Bu nedenle de Kurum yayınlamış olduğu “Veri Sorumluları Sicili Hakkında Yönetmeliği” ile envanter hazırlama zorunluluğu getirmiştir.

Envanter hazırlama zorunluluğundan amaçlanan ‘veri sorumlularının faaliyetleri ve ilgili iş süreçlerinde Kanuna uyumluluk için alt yapı hazırlanması, diğer bir deyişle Kanuna aykırı kişisel veri işlemenin söz konusu olup olmadığının kolayca tespitinin sağlanmasıdır’. İyi hazırlanmış ve organizasyonel yapıyı yansıtan bir kişisel veri envanteri sayesinde, kişisel veri işleme faaliyetlerinin Kanuna uyumu ile ilgili veri sorumlusu da kendini otokontrol olanağına kavuşmaktadır.

Veri Envanterinin Yasal Dayanağı ve Gerekliliği

Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. Maddesine göre “Sicile kayıtla yükümlü olan veri sorumluları , Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.”

Aynı maddeye göre; “Kanunun 10. maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13. maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.”

Görüldüğü üzere sicile açıklanacak bilgilerin bir dayanağı olması ve bunun gerektiğinde Kurum’a tevsiki gerekir. Bu dayanak da Yönetmelik esas alınarak ve organizasyonun yapısına uygun olarak hazırlanan kişisel veri envanteridir.