Verilerinizin türleri neler? Nerede saklanıyor? Kimlerin erişimi var? Saklama süreleri belirlendi mi?

Toplanan verilerin hangi ortamlarda saklandığı ve nasıl paylaşıldığı konusunda bilgi sahibi olmamak, açık denizde rotasız yol almaya benzer.

Bir organizasyonun veri yönetimi konusundaki en önemli ihtiyacı ve hatta başlangıç noktası, sahip olduğu verilerin miktarı, yeri, paylaşımı ve ömrü ile ilgili bilgilere hâkim olmaktır. Kişisel verilerin korunması alanındaki uygulamalara baktığımızda, gereksiz verinin varlığının dahi önemli bir sorun olduğu ortadadır. (veri minimizasyonu)

Özel sektör ve kamu kurumları, esas faaliyetlerini yürütebilmek için çok sayıda kişisel veri elde etmekte, işlemekte ve saklamaktadır. Ekonomik faaliyetlerini genişletmek isteyen kuruluşlar doğal olarak daha çok kişisel veriye ulaşır ve bunları üçüncü kişilerle paylaşmak durumunda kalır. Verilere ait yönetim modelinin yeterli bir şekilde kurgulanmadığı durumda, sahip olunan veri çoğaldıkça bu veriyi güvenli tutmak konusundaki riskler artar ve alınması gereken tedbirler çoğalır.

Verisistem® uzman ekipleri, işlenen veri miktarınıza ve paylaşımda bulunduğunuz taraflara göre oldukça detaylı hâle gelebilen veri envanteri çalışmasını bu alandaki üstün bilgi birikimi sayesinde hızlıca tamamlamaktadır. Ayrıca eğer uçtan uca tüm kişisel verilerin korunması kanunu uyum çalışması yapılıyorsa envanter hizmeti kapsama dahil olmaktadır.

Envanter Çalışması ile İlgili Çeşitli Tanımlar

Kişisel veriler ile ilgili envanter çalışması yapmak kolay bir süreç değildir. Ancak zamana yayılarak yapılan bu çalışmanın çıktılarının organizasyonun işleyişi açısından benzersiz bir varlık hâline geleceği tartışılamaz.

Kişisel verilerin korunması ile ilgili envanter çalışması, 30.12.2017 tarihli Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 4. maddesi 1. fıkrası (h) bendinde tanımlanmıştır. Daha sonra çeşitli düzenlemeler ile kapsamı değiştirilmiştir.

Söz konusu yönetmeliklerde Envanter, “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” olarak tanımlanmıştır.

Neden Veri Envanteri Hazırlamalısınız?

Envanter hazırlama zorunluluğu; veri sorumlularının faaliyetleri ile ilgili iş süreçlerinde Kanuna uyumluluk için alt yapı hazırlanması, diğer bir deyişle Kanuna aykırı bir kişisel veri işlemenin söz konusu olup olmadığının kolayca tespitinin sağlanmasıdır. Bu envanter sayesinde, kişisel veri işleme faaliyetlerinin Kanuna uyumu ile ilgili veri sorumlusu da kendini denetleme olanağına kavuşmaktadır.

 

Kişisel Verilerin Korunması Eğitimi içerikleri genel olarak alttaki gibidir.

Yukarıda bahsettiğimiz nedenlerle kişisel verilerin güvence altına alınması bakımından teknik ve idari tedbirlerin gerektiği gibi alınması önemlidir. Bu nedenle kurumların önce sahip oldukları veri varlıklarını sınıflandırması süreci kolaylaştıracaktır. Ancak yasa bir yandan da bu alanda zorunluluklar getirmiştir şöyle ki;

Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. maddesi 1. fıkrası (ç) bendine göre “Sicile kayıtla yükümlü olan veri sorumluları (*), Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.” hükmü, (d) bendinde ise “Kanunun 10. maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13. maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.” hükmü yer almaktadır.

(*) 28.04.2019 tarihli Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin 2. maddesi ile (ç) bendinde değişiklik yapılmıştır.

Veri sorumluları siciline kayıt kriterleri için lütfen tıklayınız

GDPR'a Göre Veri Envanteri Hazırlamak Zorunlu mudur?

GDPR’a göre veri envanteri hazırlama zorunluluğu yoktur; ancak sürecin doğası gereği veri envanteri “gereklidir”. Çünkü GDPR hangi verilerin yönetildiğini, kayıt edildiğini, paylaşıldığını sorgular. Ayrıca 250 kişinin üzerindeki işletmeler “The Register of Record of Processing Activities” yani veri işleme faaliyetleri kayıt defterini tutmak ve denetimler sırasında göstermek zorundadır.

GDPR’ın 30. maddesinin 1. ve 2. bentleri veri işleme faaliyetleri ile ilgili gereklilikleri sıralamıştır. Buna göre;

Veri kontrolörünün, DPO'nun ve temsilcilerin ad ve soyadları

Veri işleme amacı

Veri sahibinin işlenen verilerinin kategorileri

Veri aktarımı yapılan taraflar

Saklama süreleri

Teknik ve idari tedbirler

Burada geleneksel Veri Tutma ile GDPR'da bahsedilen "İşlem Kayıtları" arasındaki farklar örnek olarak alttaki gibidir.

Hangi sistemlerde hangi kayıtları tuttuğumuz önemlidir. Örneğin, müşteri sözleşmeleri İstanbul lokasyonundaki "ABC" isimli cloud server'dadır.

GDPR “nasıl” ve “neden” sorularına cevap arar. Bu kayıtlar neden tutulmaktadır, kayıtların tutulma amacı nedir ve kayıtlar ne şekilde tutulmaktadır?

Verilere kimlerin erişimi vardır? Örneğin, Ankara'da bulunan sunucumuzdaki tedarikçi kayıtlarına kimler erişebilir? Hangi yetkiler ile erişebilirler?

Hangi departmanların verilere erişim yetkisi vardır ve buna neden ihtiyaç duyulmaktadır?

KVKK & GDPR Danışmanlık

KVKK & GDPR hakkında bilgi almak için bize ulaşabilirsiniz.

 
 

    2003’den Beri Sektördeyiz nesil teknoloji ofis Nesil Teknoloji Arge Binası Nesil Teknoloji Anonim Şirketi 15 yılı aşkın süredir uluslararası standartlarda, kaliteli, yenilikçi ve çözüm odaklı hizmet veren bir teknoloji şirketidir. Farklı sektörlerde 1000’den fazla kuruma hizmet veren Nesil, Türkiye’nin önde gelen şirketleri arasında yer alan 40 farklı sektöre birçok referans proje sunmaktadır. Kamu, Kamu Kuruluşları ve Özel sektörlerine hizmet veren firmamız, TSE ve ISO sertifikalarına sahip olmakla beraber bu standartlar çerçevesinde fark yaratmayı seven ve mükemmeliyetçi iş anlayışına sahip personelleri ile Profesyonel hizmet vermektedir.

    ADRES

    Ankara Ofis Adres
    Cevizlidere Mahallesi 1256. Cadde No: 10/A Balgat, Çankaya/Ankara

    İstanbul Ofis Adres
    Oruçreis, Tekstilkent Cd Tekstilkent Plaza D:B Blok, 34235 Esenler/İstanbul

    Antalya Ofis Adres
    Fener, Tekelioğlu Cd. No:55 D:Kat 2, 07160 Muratpaşa/Antalya

    TELEFON

    Ankara
    0312 911 46 40

    İstanbul
    0212 975 00 97
    0216 232 24 33
    İzmir
    0232 423 45 33

    Adana
    0322 259 01 33

    Antalya
    0242 782 45 33

    Muğla
    0252 440 01 33

    EMAIL

    bilgi@kvkk.com.tc