Gelişen Dünyada veriler en önemli kaynaklar arasında yer almaktadır. Yanı sıra kişilere yönelik yapılan işlemlerde de Kişisel Verilen önemli yer teşkil etmektedir. Kanun koyucu da vatandaşların bu verilerin kontrolsüz bir biçimde saklanmasını ve paylaşılmasını engellemek için bazı çalışmalar yaparak Kişisel Verilerin Korunması Kanunu hazırlamıştır. Bu kapsam da bazı kişilerin hangi verileri, ne için, ne kadar süreyle vs gibi yönetmeliklerde belirtilen kriterlerde raporlayarak Envanter hazırlanmasını zorunlu hale getirmiştir. Bu amaçla kuruluşların kendilerine bu işle sorumlu olacak bir Veri Sorumlusu belirlemesi gerekmektedir. Veri sorumlusu da işletmenin tüm iş süreçlerinde ettiği verileri faaliyetleri kapsamında edilen bilgiler, belgeler, veri setleri, envanterde elde edilen kayıtlar gibi kişisel verileri içeren tüm fiziksel veya elektronik ortamlarda işlenen her kişisel verinin amacı ve yasal nedenleri, üçüncü kişilere devredilme durumu, taraflar, saklama süreleri, veri konu grupları ve alınan güvenlik önlemlerini kapsayan bir belge hazırlaması gerekmektedir.
KVKK Envanterinin İçeriği Nedir
KVKK kapsamında hazırlanan envanterin içeriğinde, raporu hazırlayan işletmenin faaliyetleri nedeniyle elde ettiği tüm kişisel verilerin hangi birimler tarafından, hangi amaçla alındığı, ne kadar süreyle saklanacağı, başkaca kişiler ile paylaşıp paylaşılamayacağı ve bu aşamada alınan güvenlik önlemlerini içermektedir. Alınan ve saklanacak olan kişisel verilerin kullanıldığı tüm birimlerin ayrıntılı olarak yazılması ve her aşamadaki koşulları net bir şekilde yazmak gerekmektedir. Örneğin bir personelin ad soyad bilgileri bir işletmenin Muhasebe biriminde yasal olarak 10 yıl saklanması gerekiyor olsa teknik destek departmanında işten ayrıldıktan sonra saklanmasının bir amacı yoktur. Bu hususların dikkatlice belirlenmesi gerekmektedir. Süreleri etkileyen en önemli faktör ise hukuki nedenlerdir. Bu nedenlerin de içerikte belirtilmesi gerekmektedir.
Diğer bir hususu da verilerin güvenliğidir. Ana amaç bu olduğunda gerek bilişim sistemlerinin, gerekse de fiziki şartların uygun hale getirilerek verilere erişimin kısıtlanması ve ilgisiz kişiler için erişilemez hale getirilmesi gerekmektedir.
Envanter Hazırlama Ekibi
Verilerden sorumlu kişi, her şeyden önce, hem Kanun hem de diğer yükümlülüklerini gerçekleştirmek getirmek adına bir kişi yada birimi görevlendirilebilir. Yasa; Hukuk Birimi, bilgi işlem ve insan kaynakları gibi birimlerde çalışan kişi veya kişilerin, mevzuatta yetkin olan ve kişisel bilgilerin korunmasına ilişkin uygulamalarda ayrıntılı bilgi sahibi olan kişilerden bu ekibin hazırlanması konusunda görüş bildirmektedir. Ek olarak, elbette geniş katılımla yapılacak görevlendirmenin envanterin daha nitelikli hazırlanmasına katkı sağlayacağı esastır.
Diğer süreç ise; kurulan bu birim, veri sorumlusunun işlediği tüm verileri analiz etmesidir. Özellikle işlenen kişisel verilerin özel nitelikli olup olmadığına dikkat edilmelidir. Daha sonra kişisel verilerin elde edilmesi, depolanması, kullanılmasının önlenmesi, silinmesi, imha edilmesi, anonimleştirilmesi, devredilmesi, güncelleme, depolama, Değiştirme, açıklama, devralma, sınıflandırma gibi kişisel bilgi işlemenin tüm aşamaları ayrı ayrı belirlenmelidir. Ayrıca, kişisel veri iş akış diyagramının oluşturulması faydalı olacaktır.
Bir sonraki aşama ise oluşturulan birim tarafından tüm yapılan faaliyetler kapsamında gerekli envanter oluşturulmalıdır. Envanterin hazırlanmasının ardından ise gerekli olan kişilerden alonmak üzere Aydınlatma Metinleri de yazılmalıdır. Sonucunda ise herhangi bir işleme koşulu ile işlenmesi amaçlanmayan herhangi bir kişisel veri olup olmadığının belirlenmesi mümkün olduğundan, bu durumda verilerin ilgili tarihleri dolmadan önce yok edilmesi gerekir.
Son aşama ise bilinçlendirme amacıyla veri sorumlusuna ve oluşturulan birime, işletme içindeki tüm çalışanlara kişisel veri koruma kanunun amacını ve önemini bilinçlendirmek amacıyla eğitimler verilmesi önerilir.