Kişisel veri işleme envanteri, Veri Sorumluları Sicili Hakkında Yönetmelik’te; “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter” olarak tanımlanmıştır. Kısaca envanter, veri sorumlularının gerçekleştirdiği bütün veri işleme faaliyetlerini gösteren dokümandır.
VERBİS’e kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla da yükümlüdür. VERBİS başvurularında VERBİS’e açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır. Dolayısıyla VERBİS’e kayıt yükümlülüğü altında olan şirketler tarafından envanterin de hazırlanması gerekmektedir.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Halleri
Envanter ile VERBİS’in Farkları
Envanter ile VERBİS arasında temel olarak üç fark bulunmaktadır.
A. VERBİS’te, “veri kategorileri” bazında veri sorumlusu tarafından kişisel veri işlenip islenmediği ve işleniyorsa bu veri kategorilerinin hangi amaçlarla işlendiği, aktarım olup olmadığı, aktarım yapılan alıcı grupları, varsa saklama süresi, ilgili kişiler ve alınan güvenlik tedbirleri konusunda bilgi girişi yapılması gerekirken; Envanterde veri sorumlusunun tüm iş süreçlerinde yer alan tüm faaliyetleri bazında elde ettiği belge, doküman, veri kümesi, kayıtlar gibi kişisel veri içeren tüm fiziksel veya elektronik ortamlarda islenen kişisel verilerin her biri için ayrı ayrı olmak üzere hangi amaç̧ ve hukuki gerekçelerle işlendiği, aktarım olup olmadığı, aktarım yapılan üçüncü taraflar, saklama süreleri, veri konusu kişi grupları ve alınan güvenlik tedbirleri bilgisini içeren ve çok daha detaylı olarak hazırlanan bir rapor olması gerekir. Kısaca VERBİS’te sadece başlıklar halinde kategorik bazda bilgi girişi yapılırken, Envanterde bu verilerin, alt kırınımlarıyla birlikte detaylı şekilde yer alması gerekmektedir. Dolayısıyla VERBİS aslında Envanterde bulunan bilgilerin özetidir.
B. VERBİS’e girilen bilgiler kamuya açık olarak sistem üzerinden sergilenmektedir. Envanter ise şirketlerin kendi bünyesinde kalacak ve sadece gerekli durumlarda ilgililere sunulmak için saklanacaktır.
Envanter İçeriğinde Bulunması Gerekenler
Hazırlanacak olan envanterde aşağıdakilerin bulunması önerilmektedir.
* Veriyi işleyen departman
* Süreç ve faaliyet bilgisi
* Veri kategorisi
* Kişisel Veri İşleme amacı ve işlemenin hukuki sebebi
* Veri konusu kişi grupları
* Muhafaza edilme süresi
* Alıcı grupları
* Yurtdışına aktarıma ilişkin bilgiler
* Alınan idari ve teknik tedbirler
Kişisel Veri İşleme Envanteri Nasıl Hazırlanmalıdır?
Kişisel veri işleme envanterinin hazırlanmasında en önemli husus, envanterin veri sorumlusunun bütün veri işleme faaliyetlerini eksiksiz olarak içermesidir. Bu kapsamda örneğin veri sorumlusu tüzel kişilik bünyesindeki her bir birimin gerek dijital (online ya da offline) ortamda herhangi bir cihaz vasıtasıyla gerekse dijital olmayan yollarla işlediği tüm veriler tespit edilmelidir.
Bunun yanı sıra her bir faaliyetin; amaç, veri konusu kişi, alıcı grubu ve veri kategorisi ile de doğru ilişkilendirilmesine özen gösterilmelidir. Elbette bir kişisel veri birden çok amaçla işleniyor ya da birden çok kişiye aktarılıyor olabilir. Bu halde kişisel verilerinin farklı işleme amaçlarının ya da aktarım faaliyetlerinin ayrı ayrı gösterilmesi gerekecektir.
Kurul, envanterin hazırlanmasının herhangi bir şekil şartına bağlı olmadığını, kolayca erişilebilir ve veri işleme faaliyetlerine ilişkin doğru bilgilendirmeye elverişli olmak koşuluyla isteğe bağlı olarak metin ya da liste formunda hazırlanabileceğini ifade etmiştir. Tarafımızca da önerilen en makul form liste (tablo) formudur.
Daha detaylı bilgilendirme için bize ulaşabilirsiniz!
Şimdi Arayın : 0 212 606 03 24
E-mail Gönderin : e-atik@eag.com.tr