- İlgili kişinin kim olduğuna dair envanterde bir bölüm olmak zorundadır. Bir kişisel verinin ilgili kişisi, aydınlatma metinleri ve açık rıza metinlerinin de konusu olacaktır. Bir envanterde tedarikçi, çalışan, müşteri vb. ilgili kişi kategorileri için farklı dokümanlar hazırlanacak; açık rıza alınıp alınmayacağına ilişkin hususların belirlenmesinde de bu kategoriler etkili olacaktır.
- Saklama süreleri ise envanterde her kişisel veri için detaylı şekilde doldurulması gereken bir alandır. Bir kişisel verinin işlenme amacının yerine getirilmesi için gereken süre kadar saklanabileceğini belirtmiştik. Örneğin; hükümlüye ait adli sicil kaydı beş yılda silineceğinden, özel nitelikli kişisel veri niteliğini haiz adli sicil kaydının en çok 5 yıl kadar saklanması gerekecektir.
Kişisel Veri Envanteri Nedir?
Kişisel veri envanteri, veri sorumlularının işledikleri ve bünyelerinde bulundurdukları kişisel verilerin kategorik bazda bir excel dosyası veya farklı bir veri tabanı sisteminde belirli kriterlere göre sıralanmasıdır. Envanterlerde kişisel verinin içeriği değil, bir bakıma kişisel verinin tanımı yazılır. Örneğin, bir e-posta adresi kişisel veri envanterine işlenirken: Muhasebe – Kurumsal İletişim – İletişim – E-posta Adresi – Tedarikçi -İletişim faaliyetlerinin yürütülmesi – Açık rıza alınması – 10 yıl – İdari ve Teknik Tedbirler olarak sırasıyla işlenmelidir.
Burada çalışanın posta adresinin ne olduğu işlenmezken, hangi amaçla işlendiği vb. sütunlara ilişkin bilgiler eksiksiz olarak doldurulur. Bu kişisel veri envanteri bir şirketteki tüm departmanları kapsayacaktır. Dolayısıyla yerinde inceleme olması halinde Kişisel Verilerin Korunması Kurumu tarafından envanterler de incelenecektir. Envantere göre daha az detaylı kategori içeren VERBİS kayıtları ile envanterler uyumlu olmalıdır. Dolayısıyla envanter çıkarılırken oldukça titiz olunmalıdır.
Kişisel Veri Envanteri Hazırlarken Dikkat Edilecekler Nelerdir?
Envanter sürekli güncellenecek ve şirket farklı amaçla veya farklı bir kişisel veriyi işlediğinde derhal envantere ekleme yapmalıdır. Kişisel veri envanterlerinin de belli bir yapısı olduğundan dikkat edilmesi gereken bazı hususlar vardır. Örneğin;
- İlk sütunda departman adı yazılmalıdır ki bir inceleme sırasında veya uyum programı yürütülürken o kişisel verinin kaynağına ulaşmak daha kolay olacaktır.
- KVKK envanter rehberlerinden de anlaşılacağı üzere, kişisel verinin kategorisi çok iyi belirlenmelidir. TC. kimlik numarası kimlik kişisel verisiyken, adres bilgisi iletişim kişisel verisidir. Envanterde kategoriye göre ayırdığımız kişisel veriler, bu kişisel verilerin amaçlarının ve hukuki sebeplerinin daha iyi tespit edilmesini sağlayarak daha hukuki bir sınıflandırma sunar.
- İşleme amaçları bir envanterin en önemli kısmıdır desek mübalağa etmiş olmayız. İlgili kişiden açık rıza da almış olsak, kişisel verinin işlenmesinin bir amacı olmalıdır. Açık rıza bir kişisel verinin işlenmesindeki hukuki sebep iken, işlenme şartı 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) bulunan kişisel verilerin işlenmesindeki uyulması gereken ilkelerden biridir. KVKK’nın 4’üncü maddesinde kişisel verilerin belirli ve meşru amaçlar için işlenmesi, işlendikleri amaçlar ile bağlantılı, ölçülü ve sınırlı olunması gerektiği öngörülmüştür. Bunun yanında kişisel verinin; ilgili olunan mevzuatta bulunan veya kişisel verinin işlenmesindeki amaç için gerekli olan süre kadar saklanacağı da koruma altına alınmıştır. İşlenme amacının doğru belirlenmesi, saklama süresine ve aydınlatma metinlerinin içeriğine de etki edecektir.
- İdari ve teknik tedbirlerde, uyum programları kapsamında gerçekleştirilecek olan idari tedbirler ve veri güvenliğine ilişkin ön plana çıkan teknik tedbirler Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) ile uyumlu bir şekilde doldurulmalıdır. Aksi takdirde kendi veri politikasını bir bakıma kişisel veri envanteri ile ifade eden şirketin, KVKK nezdinde puanı da düşük olacaktır.