Veri Envanteriniz içinEn Doğru Çözüm ve Yaklaşımlar

Verilerinizin türleri neler? Nerede saklanıyor? Kimlerin Erişimi Var? Saklama süreleri belirlendi mi?

Toplanan verilerin hangi ortamlarda saklandığı ve nasıl paylaşıldığı konusunda bilgi sahibi olmamak, açık denizde rotasız yol almaya benzer.

Bir organizasyonun veri yönetimi konusundaki en önemli ihtiyacı ve hatta başlangıç noktası, sahip olduğu verilerin miktarı, yeri, paylaşımı, ömrü ile ilgili bilgilere hakim olmaktır. Kişisel verilerin korunması alanındaki uygulamalara baktığımızda gereksiz verinin varlığının dahi önemli bir sorun olduğu ortadadır. (veri minimizasyonu)

Özel sektör ve kamu kurumları, esas faaliyetlerini yürütebilmek için çok sayıda kişisel veri elde etmekte, işlemekte ve saklamaktadır. Ekonomik faaliyetlerini genişletmek isteyen kuruluşlar doğal olarak daha çok kişisel veriye ulaşır ve üçüncü kişilerle paylaşmak durumunda kalır. Verilere ait yönetim modelinin yeterli bir şekilde kurgulanmadığı durumda, sahip olunan veri çoğaldıkça bu veriyi güvenli tutmak konusundaki riskler artar ve alınması gereken tedbirler çoğalır.

Verisistem uzman ekipleri, işlenen veri miktarınıza ve paylaşımda bulunduğunuz taraflara göre oldukça detaylı hale gelebilen veri envanteri çalışmasını bu alandaki üstün bilgi birikimi sayesinde hızlıca tamamlamaktadır. Ayrıca eğer uçtan uca tüm kişisel verilerin korunması kanunu uyum çalışması yapılıyorsa envanter hizmeti kapsama dahil olmaktadır.

Envanter Çalışması ile İlgili Çeşitli Tanımlar

Envanter Çalışması ile İlgili Çeşitli Tanımlar

Kişisel veriler ile ilgili envanter çalışması yapmak kolay bir süreç değildir. Ancak zamana yayılarak yapılan bu çalışmanın çıktılarının, organizasyonun işleyişi açısından benzersiz bir varlık haline geleceği tartışılamaz.

Kişisel verilerin korunması ile ilgili envanter çalışması Envanter, 30.12.2017 tarihli Resmi Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 4. maddesi 1. fıkrası (h) bendinde tanımlanmıştır. Daha sonra çeşitli düzenlemeler ile kapsamı değiştirilmiştir.

Söz konusu yönetmeliklerde Envanter, “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” olarak tanımlanmıştır.

Envanter Çalışması ile İlgili Çeşitli Tanımlar

Neden Veri Envanteri Hazırlamalısınız?

Envanter hazırlama zorunluluğu; veri sorumlularının faaliyetleri ile ilgili iş süreçlerinde Kanuna uyumluluk için alt yapı hazırlanması, diğer bir deyişle Kanuna aykırı bir kişisel veri işlemenin söz konusu olup olmadığının kolayca tespitinin sağlanmasıdır. Bu envanter sayesinde, kişisel veri işleme faaliyetlerinin Kanuna uyumu ile ilgili veri sorumlusu da kendini denetleme olanağına kavuşmaktadır.

Amaç, veriyi bilgiye, bilgiyi anlayışa dönüştürmektir.

Carly Fiorina  HP, Former chief executive officer
Envanter Çalışması ile İlgili Çeşitli Tanımlar

Veri Envanteri Hazırlamanız Yasal Bir Zorunluluk mu?

Yukarıda bahsettiğimiz nedenlerle kişisel verilerin güvence altına alınması bakımından teknik ve idari tedbirlerin gerektiği gibi alınması önemlidir. Bu nedenle kurumların önce sahip oldukları veri varlıklarını sınıflandırması süreci kolaylaştıracaktır. Ancak yasa bir yandan da bu alanda zorunluluklar getirmiştir şöyle ki;

Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. maddesi 1. fıkrası (ç) bendine göre “Sicile kayıtla yükümlü olan veri sorumluları (*), Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.” hükmü, (d) bendinde ise “Kanunun 10. maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13. maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.” hükmü yer almaktadır.

(*) 28.04.2019 tarihli Resmi Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin 2. maddesi ile (ç) bendinde değişiklik yapılmıştır.

Veri siciline kayıt kriterleri için tıklayınız

Envanter Çalışması ile İlgili Çeşitli Tanımlar

GDPR'a Göre Veri Envanteri Hazırlamak Zorunlu mudur?

GDPR'a göre veri envanteri hazırlama zorunluluğu yoktur ancak sürecin doğası gereği veri envanteri "gereklidir". Çünkü GDPR hangi verilerin yönetildiğini, kayıt edildiğini, paylaşıldığını sorgular. Ayrıca 250 kişinin üzerindeki işletmeler "Record of Processing Activities Register" yani veri işleme faaliyetleri kayıt defterini tutmak ve denetimler sırasında göstermek zorundadır.

GDPR'ın 30. maddesinin 1. ve 2. bentleri veri işleme faaliyetleri ile ilgili gereklilikleri sıralamıştır. Buna göre;

Veri kontrolörünün, DPO'nun ve temsilcilerin ad ve soyadları

Veri işleme amacı

Veri sahibinin işlenen verilerinin kategorileri

Veri aktarımı yapılan taraflar

Saklama süreleri

Teknik ve idari tedbirler

Burada geleneksel Veri Tutma ile GDPR'da bahsedilen "İşlem Kayıtları" arasındaki farklar örnek olarak alttaki gibidir.

Veri Tutma (Kaydetme, saklama)

Hangi sistemlerde hangi kayıtları tuttuğumuz önemlidir. Örneğin, müşteri sözleşmeleri İstanbul lokasyonundaki "ABC" isimli cloud server'dadır.

Verilere kimlerin erişimi vardır? Örneğin, Ankara'da bulunan sunucumuzdaki tedarikçi kayıtlarına kimler erişebilir? Hangi yetkiler ile erişebilirler?

İşlem Kayıtları (Veri işleme kayıtları)

GDPR “nasıl” ve “neden” sorularına cevap arar. Bu kayıtlar neden tutulmaktadır, amacı nedir ve ne şekilde tutulmaktadır?

Hangi departmanların verilere erişim yetkisi vardır ve buna neden ihtiyaç duyulmaktadır?