Veri Envanteriniz içinEn Doğru Çözüm ve Yaklaşımlar

Verilerinizin türleri neler? Nerede saklanıyor? Kimlerin erişimi var? Saklama süreleri belirlendi mi?

Toplanan verilerin hangi ortamlarda saklandığı ve nasıl paylaşıldığı konusunda bilgi sahibi olmamak, açık denizde rotasız yol almaya benzer.

Bir organizasyonun veri yönetimi konusundaki en önemli ihtiyacı ve hatta başlangıç noktası, sahip olduğu verilerin miktarı, yeri, paylaşımı ve ömrü ile ilgili bilgilere hâkim olmaktır. Kişisel verilerin korunması alanındaki uygulamalara baktığımızda, gereksiz verinin varlığının dahi önemli bir sorun olduğu ortadadır. (veri minimizasyonu)

Özel sektör ve kamu kurumları, esas faaliyetlerini yürütebilmek için çok sayıda kişisel veri elde etmekte, işlemekte ve saklamaktadır. Ekonomik faaliyetlerini genişletmek isteyen kuruluşlar doğal olarak daha çok kişisel veriye ulaşır ve bunları üçüncü kişilerle paylaşmak durumunda kalır. Verilere ait yönetim modelinin yeterli bir şekilde kurgulanmadığı durumda, sahip olunan veri çoğaldıkça bu veriyi güvenli tutmak konusundaki riskler artar ve alınması gereken tedbirler çoğalır.

Verisistem® uzman ekipleri, işlenen veri miktarınıza ve paylaşımda bulunduğunuz taraflara göre oldukça detaylı hâle gelebilen veri envanteri çalışmasını bu alandaki üstün bilgi birikimi sayesinde hızlıca tamamlamaktadır. Ayrıca eğer uçtan uca tüm kişisel verilerin korunması kanunu uyum çalışması yapılıyorsa envanter hizmeti kapsama dahil olmaktadır.

Envanter Çalışması ile İlgili Çeşitli Tanımlar

Envanter Çalışması ile İlgili Çeşitli Tanımlar

Kişisel veriler ile ilgili envanter çalışması yapmak kolay bir süreç değildir. Ancak zamana yayılarak yapılan bu çalışmanın çıktılarının organizasyonun işleyişi açısından benzersiz bir varlık hâline geleceği tartışılamaz.

Kişisel verilerin korunması ile ilgili envanter çalışması, 30.12.2017 tarihli Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 4. maddesi 1. fıkrası (h) bendinde tanımlanmıştır. Daha sonra çeşitli düzenlemeler ile kapsamı değiştirilmiştir.

Söz konusu yönetmeliklerde Envanter, “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” olarak tanımlanmıştır.

Envanter Çalışması ile İlgili Çeşitli Tanımlar

Neden Veri Envanteri Hazırlamalısınız?

Envanter hazırlama zorunluluğu; veri sorumlularının faaliyetleri ile ilgili iş süreçlerinde Kanuna uyumluluk için alt yapı hazırlanması, diğer bir deyişle Kanuna aykırı bir kişisel veri işlemenin söz konusu olup olmadığının kolayca tespitinin sağlanmasıdır. Bu envanter sayesinde, kişisel veri işleme faaliyetlerinin Kanuna uyumu ile ilgili veri sorumlusu da kendini denetleme olanağına kavuşmaktadır.

Amaç, veriyi bilgiye, bilgiyi anlayışa dönüştürmektir.

Carly Fiorina  HP, Former chief executive officer
Envanter Çalışması ile İlgili Çeşitli Tanımlar

Veri Envanteri Hazırlamanız Yasal Bir Zorunluluk mu?

Yukarıda bahsettiğimiz nedenlerle kişisel verilerin güvence altına alınması bakımından teknik ve idari tedbirlerin gerektiği gibi alınması önemlidir. Bu nedenle kurumların önce sahip oldukları veri varlıklarını sınıflandırması süreci kolaylaştıracaktır. Ancak yasa bir yandan da bu alanda zorunluluklar getirmiştir şöyle ki;

Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. maddesi 1. fıkrası (ç) bendine göre “Sicile kayıtla yükümlü olan veri sorumluları (*), Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.” hükmü, (d) bendinde ise “Kanunun 10. maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13. maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.” hükmü yer almaktadır.

(*) 28.04.2019 tarihli Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin 2. maddesi ile (ç) bendinde değişiklik yapılmıştır.

Veri sorumluları siciline kayıt kriterleri için lütfen tıklayınız

Envanter Çalışması ile İlgili Çeşitli Tanımlar

GDPR'a Göre Veri Envanteri Hazırlamak Zorunlu mudur?

GDPR'a göre veri envanteri hazırlama zorunluluğu yoktur; ancak sürecin doğası gereği veri envanteri "gereklidir". Çünkü GDPR hangi verilerin yönetildiğini, kayıt edildiğini, paylaşıldığını sorgular. Ayrıca 250 kişinin üzerindeki işletmeler "The Register of Record of Processing Activities" yani veri işleme faaliyetleri kayıt defterini tutmak ve denetimler sırasında göstermek zorundadır.

GDPR'ın 30. maddesinin 1. ve 2. bentleri veri işleme faaliyetleri ile ilgili gereklilikleri sıralamıştır. Buna göre;

Veri kontrolörünün, DPO'nun ve temsilcilerin ad ve soyadları

Veri işleme amacı

Veri sahibinin işlenen verilerinin kategorileri

Veri aktarımı yapılan taraflar

Saklama süreleri

Teknik ve idari tedbirler

Burada geleneksel Veri Tutma ile GDPR'da bahsedilen "İşlem Kayıtları" arasındaki farklar örnek olarak alttaki gibidir.

Veri Tutma (Kaydetme, saklama)

Hangi sistemlerde hangi kayıtları tuttuğumuz önemlidir. Örneğin, müşteri sözleşmeleri İstanbul lokasyonundaki "ABC" isimli cloud server'dadır.

Verilere kimlerin erişimi vardır? Örneğin, Ankara'da bulunan sunucumuzdaki tedarikçi kayıtlarına kimler erişebilir? Hangi yetkiler ile erişebilirler?

İşlem Kayıtları (Veri işleme kayıtları)

GDPR “nasıl” ve “neden” sorularına cevap arar. Bu kayıtlar neden tutulmaktadır, kayıtların tutulma amacı nedir ve kayıtlar ne şekilde tutulmaktadır?

Hangi departmanların verilere erişim yetkisi vardır ve buna neden ihtiyaç duyulmaktadır?

Bilgilendirme Metni!

Bu makalede yer alan içerikler yalnızca bilgilendirme amaçlı olup CottGroup® firmalarına ait bir hizmettir. Kaynak gösterilmeden iktibas edilemez. Makalenin hazırlanmasında gerekli özen ve dikkat gösterilmiş olmakla birlikte; CottGroup® ve üye şirketleri, işbu genel çerçevede bilgi veren ve yorum içerebilen makaledeki bilgilerin yanlışlık veya eksikliklerinden kaynaklanabilecek hiçbir sorumluluğu kabul etmemekte olup bu bilgilerin güvenilirliği nedeniyle oluşabilecek herhangi bir zarardan sorumlu tutulamaz.

Her bir somut olaya ilişkin olarak, her koşulda özel olarak profesyonel bir danışmana başvurmanız tavsiye edilir. Lütfen duyuru ile ilgili işlem yapmadan önce müşterimiz iseniz müşteri temsilcinizden, değilseniz bir uzmandan görüş alınız.

Başlayalım
Hizmet ihtiyaçlarınız için teklif alın.

Daha fazla bilgi
almak ister misiniz?