Kişisel Veri İşleme Envanteri (ENVANTER) Nedir?
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirler başta olmak üzere, veri işleme faaliyetlerinin tüm adımlarını açıklayarak detaylandırdıkları envanteri,” ifade eder.
Envanter; faaliyetleri kapsamında kişisel veri işlemekte olan veri sorumlularınca,
- verinin giriş noktasından itibaren tüm süreçlerin değerlendirilmesi,
- bu süreçler kapsamındaki tüm faaliyetlerin sistematik olarak irdelenmesi,
- veri sorumlusunca her faaliyetle ilgili işlenen kişisel verilerin tek tek belirlenmesi,
- kişisel verilerin hangi amaçlar ve hukuki sebeple işlendiği, aktarılıp aktarılmadığı, kimlere aktarıldığı, işlenen kişisel verinin kimlere ait olduğu, her bir kişisel veri için veri sorumlusunca belirlenen saklama süresi, yurt dışına aktarım yapılıp yapılmadığı, verilerin güvenliği için hangi teknik veya idari tedbirlerin alındığı, silme, yok etme ve anonimleştirme politikasının tespiti
gibi tüm bilgilerinin detaylı analizinin yapılması sonucunda ortaya çıkacak bir tür rapordur.
Envanter hazırlama yükümlülüğü getirilmesinin nedeni; veri sorumlularının faaliyetlerine bağlı tüm süreçlerinde Kanuna uyumunun sağlanması, başka bir ifadeyle Kanuna aykırı bir kişisel veri işleme durumu olup olmadığının kolayca tespitinin sağlanmasıdır. Zira envanter veri sorumlusu tarafından işlenen verilerin bir bilançosudur. Diğer bir ifadeyle, kişisel veri işleme faaliyetlerinin Kanuna uyumu ile ilgili veri sorumlusunun ilk bakışta gerçekleştirebileceği bir tür kendi kendini denetleme sistemi oluşturulmasıdır.
Envanter Neden Gereklidir? Neden Envanter Oluşturmalısınız?
Veri sorumlusunun envanter oluşturması işlediği veriler üzerinde hakimiyetini sağlaması ve verileri işleme işlemlerini kolay yönetmesi bakımından önemlidir. Zira, veri sorumlusunca bir envanter yapılmaması halinde sürdürülen uyum çalışmaları eksik kalır, herhangi bir başvuru halinde ilgili kişiye gereken sürede ve tam cevap verilmesi zor bazen imkânsız hale gelebilir. Envanterden yasal olarak Veri Sorumluları Sicilinde bahsedilmektedir. Kişisel Verileri Koruma Kurulu da oluşturduğu kararlarda ve rehberlerde envanter yapılmasının zorunluluğu, önem ve gerekliliğine vurgulama yapmıştır.
Envanteri Nasıl Oluşturmalısınız?
Kişisel veri işleme envanterinin her durumda veri sorumlusu bünyesinde oluşturulması gerekir, AKSİNİN DÜŞÜNÜLMESİ YANİ DIŞARIDAN ENVANTER TUTMA HİZMETİ ALINMASI SAKINCALI VE GÜVENSİZ BİR YÖNTEMDİR.
Envanter içeriği, Excel ya da Word dosyası şeklinde organizasyonda kullanılan veri tabanlarından izole bir şekilde basit bir yapıda tutulabilir. Yanısıra, veri sorumlusunun kullandığı veritabanları ile bütünleşik bir yapıda da tutulabilir. Bütünleşik veri tabanları, bilginin iş yapma verimliliği ve etkinliğini arttırmak amacıyla, tanımlanmış kurallar ve düzen içinde elde edilmesi, depolanması, iletilmesi ve kullanılmasını yani sorgulanması, raporlanmasını sağlamak üzere bilgi ve iletişim teknolojilerinden yararlanarak geliştirilen sistemlerdir. Örneğin bütünleşik bir ERP yazılımı kullanan veri sorumlusu (SAP, Oracle, Canias, Netsis vs) bünyesinde ayrı bir envanter tutulması nerdeyse gereksizdir denilebilir. Zira, mevcut yapı üzerinden gerekli raporlama ve iş emirlerini almak, silme ve yok etme yapmak, anonimleştirme ya da maskeleme yapmak mümkündür.
Eğer bütünleşik bir yapı yani bir ERP sistemi ya da bütünleşik başka bir yazılım ve veritabanı veri sorumlusu bünyesinde, alt yapısında mevcut değil ise, bu takdirde veri sorumlusunun faaliyetleri, işlediği kişisel verilerin türü ve sayısına bağlı olarak raporlama amacıyla hangi yapının seçileceği önemlidir.
Veri sorumlusu organizasyonunda çok farklı türde ve sayıda kişisel verilerin işlenmesi söz konusu değilse ( örneğin, bir süpermarket zinciri, mağaza zinciri, online alışveriş sitesi, büyük ve entegre bir sanayi tesisi vs söz konusu değil ise), salt bu amaçla bir bütünleşik alt yapı yazılımı almak ya da yazdırmak anlamlı olmayabilir. Bu tür veri sorumluları bünyesinde basit bir yapının yönetimi ve verilerin daha basit bir ortamda tutulması daha az maliyetli olacaktır. Ancak, bu tür bir yapı kullanmanın dezavantajı, işlenme şartları ortadan kalkan kişisel verilerin silinmesi ya da anonim hale getirilmesi işlemlerinin envanterden bağımsız şekilde manuel gerçekleştirilmesi gerecektir. Kaldı ki, silme yok etme işlemleri için farklı bir iş planı oluşturma zorunluluğu da doğmaktadır. İlaveten, bir başvuru sırasında örneğin excel üzerinden tutulan envanterlerde, aktarmalar, kopyalamalar sırasında yaşanan veri kayıplarının sorun yaşatabileceği de göz ardı edilmemelidir.
KVKK Asistan Envanter Yazılımı Ayrık Bir Yapı Mıdır? Bütünleşik Midir?
KVKK ASİSTAN envanter yazılımı ayrık bir yapıdır, kullanımı bütünleşik yapısı olan veri sorumluları bakımından da özellik arzeder.
Envanter Yazılımı Yardımıyla Envanter Oluşturulması İle Excel Üzerinden Envanter Oluşturulması Arasında Nasıl Bir Fark Vardır?
Excel de Microsoft tarafından üretilmiş ve bugüne kadar üretilmiş olanlar içinde gerçekten bir yazılımdır ve Excel üzerinden envanter oluşturulması mümkündür.
Ancak;
- Kullanım kolaylığı (giriş ekranı kullanma) yani ZAMAN MALİYETİ
- Envanter yazılımı ile BİR KEZ DATA YÜKLENMESİ NETİCESİNDE OTOMATİK OLARAK ELDE EDİLEN ÇIKTILAR
- Envanter yazılımı ile ARAMA VE GÜNCELLEMENİN DAHA KOLAY OLMASI
Nedenleriyle envanter yazılımı kullanmak daha avantajlıdır.
A. Veri Girişine Başlamadan Evvel; Hazırlık Aşaması – Ön Çalışma Yapılması
(ENVANTERİ KULLANMAYA BAŞLAMADAN EVVEL BU AŞAMANIN MUTLAKA BİR HUKUKÇU NEZARETİNDE TAMAMLANMIŞ OLMASI VEYA İLGİLİ PERSONELİN EN AZ 16 SAATLİK BİR KVKK UYGULAMA EĞİTİMİ ALMIŞ OLMASI ÖNERİLMEKTEDİR.)
Bu aşamaları tamamlamadan, yani aşağıdaki adımlardaki süreçler sona ermeden envantere veri/bilgi (data) girişine başlamanız zaman kaybetmenize ve karışıklık yaşamanıza neden olabilir. Lütfen envanter üzerinde çalışmaya başlamadan evvel aşağıdaki adımlardaki çalışmaları gerçekleştiriniz veya gerçekleştirdiğinizden emin olunuz.
A.1. Veri Sorumlusu Bünyesinde Veri Girişi Yapacak Kişilerin Ve Sorumlu Olacağı Departman/Ların Tespit Edilmesi
Departmanların tespit edilmesi ile amaçlanan sonuç, envanter oluşturulurken dikkate alınacak iş süreçlerinin tespiti bakımından her departmanın kendi iş süreçlerini en iyi bileceği varsayımından kaynaklanan bir öneri olup, dikkate almanız UYUM yönetiminizi kolaylaştıracaktır.
A.2 Departman ‘Veri Girişi Ön Formları’nın Oluşturulması
A.2.a. Her Departmanın Faaliyet/Süreç Listelerini Çıkarması
Her departmanın kendi iş süreçlerinden hareketle departman faaliyetlerinin tümünü tespit etmesi gereklidir.
EĞER VERİ SORUMLUSU GÜNCEL BİR KALİTE YÖNETİM SİSTEMİNE SAHİP İSE BU DURUMDA İŞLEMLER DAHA KOLAY İLERLER. ZİRA VERİ SORUMLUSUNUN KALİTE SİSTEMİNDE YER ALAN ESAS FAALİYETLERİ DEPARTMAN BAZINDA KOLAYCA LİSTELEYEBİLİR VE ANA FAALİYETLERİN DE ALT KIRILIMLARINI LİSTELEYEBİLİRSİNİZ.
Departman iş süreçleri tespiti bakımından EĞER KALİTE YÖNETİM SİSTEMİNE SAHİP DEĞİLSENİZ sunduğumuz örnek ‘departman iş süreçleri’nden yararlanılabilir.
Bir iş süreci veya faaliyet birden fazla departmanda geçerli olabilir. Departman yöneticileri iş süreçleri/faaliyetlerini ayrı ayrı tam ve eksiksiz olarak yazacaklardır.
A.2.b Faaliyetlerin KVKK Uyumluluğu Bakımından Gözden Geçirilmesi (Hukukçu İle Çalışılması Gerekir)
Faaliyetler altında yer alan prosedür adımlarının ve prosedür adımlarına ait formların (kağıt kaynaklar) KVKK uyumu bakımından KVKK danışmanı olan hukuk müşaviriniz tarafından kontrol edilmesi ve gerek prosedür adımlarında gerek ise kullanılan formlarda gereken düzeltmelerin öncelikle yapılması gerek prosedür gerek ise kullanılan formların KVKK ya uyumlu hale getirilmesi şarttır.
A.2.c Departman Bazında Kişisel Veri Alınan Kaynakların/Belgelerin Tespit Edilmesi
Her departmanın kendi iş süreçlerinden hareketle ‘almakta ve işlemekte olduğu veri kaynaklarını ve belgelerini’ tespit etmesi gereklidir.
(VARSA) KALİTE YÖNETİM SİSTEMİ BAKIMINDAN BU İŞLEM FAALİYET/PROSEDÜRLERE BAĞLI FORMLARIN TESPİTİDİR. ZİRA BU FORMLAR ÇOĞUNLUKLA KİŞİSEL VERİ TAŞIYAN KAYNAKLARDIR. EĞER BİR FORM KİŞİSEL VERİ İÇERMİYOR İSE BU TAKDİRDE O FORMU KAYNAKLAR ARASINDAN ÇIKARMALISINIZ. VERİ GİRİŞİNDE KULLANACAĞINIZ BU KAYNAKLARI ÖNCELİKLE KVKK UYUMLULUĞU BAKIMINDAN GÖZDEN GEÇİRDİĞİNİZDEN UYUMLU HALE GETİRDİĞİNİZDEN EMİN OLUN!
Kalite sisteminiz yok ise bu durumda tespit ettiğiniz faaliyetlerin içinde kullandığınız dokümanları/formları teker teker listelemelisiniz.
Bir veri kaynağı/belge birden fazla departmanda kullanılıyor olabilir. Her departman bu veri kaynağını/belgeyi ayrı ayrı işaretleyecektir.
Tespit edilen kaynakların/belgelerin hangi faaliyet ve faaliyetlerde kullanıldığının tespit edilmesi -ÇAPRAZ KONTROLLER
Her departman kullandığını tespit ettiği veri kaynağı/belgelerin hangi faaliyetlerde kullanıldığını tespit etmelidir. Bir veri kaynağı/belge birden fazla faaliyette kullanılmakta olabilir.
Elde ettiğiniz kaynak/belgeden bu veri/verileri taşıyan başka bir belge/kaynak elde edilip edilmediğinin tespiti -İLGİLENDİĞİNİZ KAYNAĞIN BAŞKA BİR İŞ SÜRECİNİN PARÇASI OLUP OLMADIĞINDAN EMİN OLUP, (VARSA) KALİTE STANDARDININ PROSEDÜR VE FORM KONTROLÜNÜ DE KVKK BAKIMINDAN GERÇEKLEŞTİRİN!
İşlediğiniz veri kaynağı/belgeden ayrıca başka bir veri kaynağı belge elde edilmekte ise bunların da tespit edilmesi gereklidir. Zira yeni elde edilen veri kaynağı/belge de aynı kişi veya bir başka veri işleyen için bir veri kaynağı olarak envanterde yerini almalıdır. Ancak üretilen belgeler bakımından aydınlatma ve açık rızaların ilk kaynak girişinde tam alınmış olması halinde yeniden aydınlatma ve açık rıza süreçlerini tamamlamaya gerek bulunmamaktadır.
A.3. Veri Girişine Başlanması
Bu çalışmayı tamamladıktan sonra veri girişine başlanması ve sorulan diğer soruların cevaplandırılması işlemi yürütülür.
Bu ön hazırlık ve ‘departman veri girişi formları’nın tüm departmanlar bakımından tamamlanması sonrası her ilgili, hazırladığı departman veri girişi formlar yardımıyla kolayca kendi departmanı ile ilgili veri envanteri sorularını cevaplamaya başlayabilir. Eğer bir kişi birden fazla departman için veri girişi yapacak ise bu takdirde departman departman ayrıca ilerlenmesi karışıklık yaşamasına engel olacaktır. Yani her departman kendi veri giriş dosyalarını hazırlamalı, sonra toplantı yapılıp ortak olarak gözden geçirilmeli sonra da veri girişi gerçekleştirilmelidir.
B. Envanter Veri Giriş Ekranında Yer Alan Simgelerin, Soruların Açıklanması
İ. BİLGİ/AÇIKLAMA BUTONU: SİMGENİN BULUNDUĞU ALANLA İLGİLİ AÇIKLAMA OLDUĞU ANLAMINA GELİR. BU SİMGENİN ÜSTÜNE BASMANIZ HALİNDE İLGİLİ BÖLÜMLE İLGİLİ AÇIKLAMAYI OKUYABİLİRSİNİZ.
+. YENİ EKLEME BUTONU: BU SİMGENİN BULUNDUĞU ALANDAKİ BİLGİLERE ŞİRKETİNİZE UYGUN, İŞ SÜREÇLERİNİZE UYGUN YENİ EKLEMELER YAPABİLECEĞİNİZİ GÖSTERİR.
CEVABI ‘EVET’ VEYA ‘HAYIR’ OLAN SORULAR : BU SORULARIN MUTLAKA DOĞRU BİR ŞEKİLDE CEVAPLANMASI GEREKİR. ZİRA VERDİĞİNİZ CEVABA GÖRE YENİ SEÇENEK VEYA SORULAR İLE VERİ GİRİŞİNE DEVAM EDİLMESİ GEREKMEKTEDİR.
C. Envanterin Kullanımı, Veri Girişi
C.1. Sırayla Cevaplayın, İşlem Kolaylığından Yararlanın
Her soruya verilen sırada cevap vermeye çalışınız, zira bu sıralamanın kendi içinde bir mantığı bulunmaktadır. Ancak uygun sırada cevap vermemeniz alacağınız sonuçlarda bir farklılık hata meydana getirmez.
C.2. Tüm Soruları Cevaplayın, Eksik Bilgi Hatalı Sonuç Demektir!
Her soruyu mutlaka cevaplamaya çalışınız, zira bıraktığınız boşluklar sağlıklı bir envanter ve dolayısıyla envanter üzerinden otomatik olarak yürütülen diğer işlerin yürümesine engel olur. Örneğin tüm soruların cevaplanmaması veya eksik bilgiler ile cevaplanması envanterinizin ve bağlı olarak ilgili KVKK dokümanlarınızın ve de envantere bağlı diğer iş süreçlerinizin eksik kalmasına neden olacaktır.
C.3. Bilerek Cevaplayın, Hatalı Cevap Hukuka Aykırı Uygulamaya Götürür!
Ön hazırlık yapmadan veya eksik bilgiyle envanter veri girişini tamamlamaya çalışmayın, mutlaka bilen birinden, danışmanınızdan avukatınızdan bilgi alın. Sizin doğru ilerlemeniz için rehbere veya KVKK’nın ilgili dokümanlarına verilen bağlantıları kullanın ve rehberdeki bilgileri tam olarak okuyun.
C.4. Görevler Bölümünü Mutlaka İnceleyin, Tek Tek Tüm Görevlerinizi Tamamlayın!
VERİ GİRİŞİNİ TAMAMLADIKTAN SONRA EKSİK BIRAKILAN HUSUSLAR OLUP OLMADIĞINI ‘GÖREVLER’ BÖLÜMÜNDEN BAKARAK EKSİKLERİ TAMAMLAMANIZ GEREKMEKTEDİR.
Eksikleri tamamlamanız halinde yukarıda yaptığımız uyarıları hatırlayınız, eksik giriş eksik ve hatalı sonuç almak demektir. Bu hatadan kaçınınız, UYUM ve UYGULAMANIZI tam ve hukuka uygun olarak sürdürünüz.
D. Ön İşlemler Ve Envanter Girişi Sırasında Rehber Kullanımı
Aslında ayrı bir ürün olarak hazırlanmış olan ‘KVKK Uygulama Rehberi’ bu sürümde artık envanter kullanıcılarının kullanımına ve yararlanmasına bırakılmıştır.
Bu rehber sayesinde ihtiyaç duyabileceğiniz açıklamalar ve işlemlerin, süreçlerin ne olduğunu, nasıl yönetmek gerektiğini kolayca öğrenecek ve envanterin dahil olduğu tüm KVKK uyum sürecinde ‘tuşun ucundaki danışman-uzman’ konforu ve kolaylığını yaşayacaksınız.
Tek yapmanız gereken verilen linke tıklamak ve linkin ucundaki açıklama ve bilgileri öğrenmek..
E. Otomatik Doküman Yönetimi
BİRİNCİ GRUP DÖKÜMANLAR;
POLİTİKALAR, AYDINLATMA METİNLERİ VE AÇIK RIZALAR
Envanter sorularının cevaplandırılmasıyla OTOMATİK elde edeceğiniz ve hiçbir değişiklik yapmayacağınız/değişiklik yapmanız gerekmeyen dokümanlardır.
Bu dokümanların her birini yürürlüğe koymanız zorunludur. Bu nedenle yetkili imzalarını tamamlayarak ilgililere tebliğ etmeniz, yayınlamanız veya ilgili yerlerde asmanız gereklidir.
Bu işlemlerinizi tamamlamadan her doküman için ayrıca oluşturulmuş olan ‘Doküman Kullanım ve Yürürlüğe Alma Kılavuzunu’ ayrıca inleyiniz. Hangi belgeyi yürürlüğe koyacaksanız o belge hakkındaki önerilerimizden yararlanınız.
İKİNCİ GRUP DOKÜMANLAR
MÜŞTERİ VE TEDARİKÇİLER İLE VERİ İŞLEYENLER İLE YAPILAN SÖZLEŞMELER
Otomatik dokümanlardan sözleşmeler size görev olarak ve örnek olarak verilmektedir, bu sözleşmelerin boşluklarını tamamlayarak kullanmanız gereklidir. Bu sözleşmeler içerik olarak son derece eksiksiz ve uzman denetiminden geçmiş metinler olmakla birlikte, her işletmenin farklı dinamikleri olabileceğinden sözleşmeleri yürürlüğe koymadan hukuk müşavirinizden teyit almanız yararlı görülmektedir.
VERİYİ İŞLEYEN VERİYE DOKUNAN ÇALIŞAN TAAHHÜTNAMELERİ
Bu taahhütnameleri imzalatacağınız çalışan grubu size otomatik olarak ve liste halinde verilecektir. Sizin için hazırlanmış belgeyi listede belirtilen çalışanlara tebliğ ederek ve gereken taahhüdü alarak yürürlüğe koyabilirsiniz.
ÜÇÜNCÜ GRUP DOKÜMANLAR
DİĞER DÖKÜMANLAR
Bu dokümanlar size envanter ile birlikte hediye edilmiş olan ve yeri geldikçe kullanmanız gerekecek olan örnek dokümanlardır. KVKK Komitesi oluşturma kararı, KVKK Komitesi Çalışma Usul ve Esasları Hakkında Yönetmelik gibi dokümanlar bunlara örnektir.
Bu dokümanları kullanmadan KVKK Rehberindeki ilgili bölümlerdeki linklere erişim sağlamanız ve kullanacağınız dokümana ilişkin işlem ve süreci tanımanızda fayda vardır.
F. Yetki Matrisi
Yetki Matrisi envanter girişiniz tamamlandıktan sonra otomatik olarak oluşan bir tablodur.
Yetki matrisindeki listelenen kişisel verileri işleyen ve dokunan ekibe bu durumun tebliğ edilmesi idari tedbir olarak gerekli olduğu gibi, ayrıca, teknik tedbirlerinde oluşan matrise uygun olarak alınması için IT birimine de gereken talimat verilmeli, bu amaçla gerekli yazılım ve donanım var ise bunlar da gözden geçirilmeli, eksiklikler tedarik edilmelidir.
Yetki matrisi ile ilgili KVKK rehberi yardımından yararlanmanız ve gereken şekilde yürürlüğe koymanızda fayda vardır. Bu nedenle ilgili yerlerde verilen linkleri tıklamalı ve açıklamaları okumalısınız.