İlginizi Çekebilir
  1. Ana Sayfa
  2. Regülasyonlar
  3. KVKK Veri Envanteri Tablosu Detayları – KVKK Yazı Dizisi Bölüm 3

KVKK Veri Envanteri Tablosu Detayları – KVKK Yazı Dizisi Bölüm 3

image

çerçevesinde ilk bölümde tüm başlıkları ile detaylandırdığımız tablosu kanuna göre “Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. Maddesi 1.fıkrası (ç) bendinde “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine detaylı olarak hazırlanır.” hükmü geçmektedir. Buradan hareketle hazırlanacak olan veri envanteri hakkında aşağıda özetlemeye çalıştığım aşamalar dikkate alınmalıdır.

Aşağıda verilen aşamaları birinci bölümde yer alan örnek veri envanteri tablosu üzerinden kurgulayabilirsiniz. İlk bölümde veri envanterinin ne olduğundan bahsetmiştik ve Kişisel Verileri Koruma Kurumu tarafından hazırlanan kategorileri ilgili başlıklara göre detaylandırmıştık. Bu bölümde ise yapılacak işlemin neye göre envanter tablosuna yazıldığı hakkında işin mantığını kavramış olacağız.

Veri Envanteri Hazırlama Aşamaları

  1. Kişilerin Tespit Edilmesi

Kurum veya işletmenizde işlenen tüm kişisel verileri kolayca tespit edebilmek için izlenecek yol aslında her departman için bir sorumlu belirleyip bu sorumlunun departmanında işlenen tüm verileri kabaca ortaya çıkartması şeklinde olabilir. Bu şekilde başlayan veri keşfinde sorumlu birimindeki yazılımları, matbu formları vb. inceleyecek ve ne tür veriler olduğunu tespit edecektir. Bu işlemle birlikte birimdeki tüm kişisel veri içeren bilgi ve belgeler o birimde yapılan faaliyet süreçleri hakkında da analiz niteliğinde olacaktır.

Bir departmanda işlenen veri farklı bir departmanda da işleniyor olabilir. Örneğin muhasebe biriminde işlenen personel ad soyad verisi aynı zamanda bilgi işlemde ve hatta aynı zamanda personel işleri biriminde de işlenebilir. Böyle durumlarda yapılan hatalardan bir tanesi mükerrer kayıt oluyor diye veri envanteri çıkarırken aynı verileri yalnızca bir birimde yazıp diğer birimlerin envanter tablolarına eklenmemesidir. Veri aynı olsa bile saklama süresi veya imha süresi farklı birimlerde farklılık göstereceğinden dolayı ve kişisel veri sızıntısını önlemek amacıyla her birim kendisinde işlenen veriyi tespit ettikten sonra envanter tablosuna işlemelidir.

  1. Verilerin Niteliklerinin Belirlenmesi

Bir önceki adımda tespit edilen verilerin bu adımda nitelikleri değerlendirilmelidir. Örneğin personel işleri departmanında personelin ad soyad, vatandaşlık numarası, adresi gibi bilgileri işleniyor olabilir ancak aynı zamanda bu personelin biyometrik kayıtları, sendika üyelikleri, siyasi parti üyelikleri, sicil kaydı, ceza mahkumiyeti gibi daha özel nitelikli verileri de işlenebilir. Bu tür özel nitelikli veriler diğer kişisel verilerden ayrıştırılarak veri envanteri tablosuna kişisel veri ve aynı zamanda özel nitelikli kişisel veri şeklinde işlenmelidir.

  1. İşlenen Kişisel Verinin Hukuki Sebebinin Tespiti

İşlediğimiz verileri tespit ettik ve özel nitelikli mi yoksa değil mi belirledik. Peki bu verileri ne için işliyoruz? Kişisel verileri işlememizdeki hukuki sebebi de tespit ederek veri envanter tablosuna kaydetmeliyiz. Kanunun 5. Ve 6. Maddelerinde yer alan işleme şartlarından hangisine uygun olduğuyla alakalı belirlemenin yapılacağı alandır. Kanundan belirtilmeyen bir sebeple işlenen bir veri kanuna aykırı bir şekilde işleneceğinden yalnızca kanunda belirtilen hukuki sebepler belirtilmelidir.

  1. Veriyi İşleme Amaçlarının Tespiti

Kişisel Verilerin Korunması Kanunu;

Madde 4 – (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

Kanunda da belirtildiği gibi veri sorumlusu kişisel verileri işlerken hangi amaçla işlediğini belirlemek zorundadır. Eğer işlenen veri için uygun bir veri işleme amacı söz konusu değilse bu veri işlenmemelidir. Daha önceden işlenmiş olması durumunda da imha politikaları devreye girmelidir.

VERBİS sistemi içerisinde kişisel veri işleme amaçları bölümünden bu konu hakkında detaylara ulaşmak mümkündür.

  1. Veri Konusu Kişi Gruplarının Belirlenmesi

Bu bölüm hakkında da detaylı bilgiyi VERBİS içerisindeki veri konusu kişi grupları bölümünden alabiliriz. Veri sorumlusunun kişisel verilerin belirlenmesinden sonra bu verinin hangi kişi grubuna yani ne tür bir kişi grubunu ilgilendirdiğini belirlediği bölümdür. Örnek vermek gerekirse bir dershanede işlenen verilerde öğrenci verisi hizmet veya ürün alan kişiler olarak geçmekteyken öğrenci velileri veli kişi grubu, dershaneye gelen misafirler ise ziyaretçi kişi grubuna girmektedir.

  1. Saklama Süresinin Belirlenmesi

Kanunda 4. Madde 2.fıkra (d) bendinde yer aldığı gibi verilerin işlendikleri amaç göz önünde bulundurularak veya içinde bulunduğu prosese göre öngörüldüğü kadar muhafaza edilmesi gerekmektedir.

  1. Aktarım Yapılıyorsa Alıcı veya Alıcı Gruplarının Belirlenmesi

Veri envanter tablosu hazırlarken bu maddeye kadar verileri tespit ettik, niteliği hakkında karar verdik, hukuki sebebini açıkladık ve ne için işlediğimizde dair kararımızı verdik. Saklama süresi ve verinin kişi grubunu da belirledikten sonra silsileyi takip ettiğimizde yapılması gereken bu madde ile eğer aktarım söz konusu ise verinin aktarıldığı alıcı veya alıcı gruplarını belirlemek gerekmektedir.

Örneğin bir işletmedeki maaş bordrosu bankaya, mali müşavire veya sigorta işlemleri için SGK gibi kurumlara aktarılıyor ise bu durumda işlenen verilerin aktarımının yapıldığı yerlerin belirlenmesi gerekmektedir.

  1. Yurt Dışına Aktarım Söz Konusu İse Belirlenmesi

Alıcı grupları belirlerken de ortaya çıkabilecek bir durum olan aktarımın yurt içinde mi yoksa yurt dışında mı olduğu ile ilgili tanımın yapıldığı bölümdür. Eğer işlenen veri bir şekilde yurt dışına aktarılıyorsa Kanun bu aktarımın da veri envanteri tablosunda yer alması gerektiğini söylemektedir.

çalışmaları ile birlikte aslında kurumlarımız için BGYS çalışmalarını da nispeten yapmış oluyoruz. Yurt dışında bir sunucu var mı yok mu var ise güvenliği ne durumda bu konu hakkında da yapılan çalışma sayesinde birimlerimiz için analiz yapma imkânı sağlıyoruz. Ayrıca Cumhurbaşkanlığı Genelgesi’ne göre de yurt dışında veri barındırmamakla ilgili tedbirlerimizi bu aşamadayken de alabiliyoruz.

  1. Teknik ve İdari Tedbirler

Kanuna göre açıklamakta fayda gördüğüm bir madde olduğu için;

Madde 12 – (1) Veri Sorumlusu;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak,

Amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Kanun maddelerinden hareketle bir veri sorumlusu işlediği tüm verileri kesinlikle hukuka aykırı işleyemez ve kişisel verilerin güvenliğini sağlamak için gerekli olan güvenlik düzeyini temin etmek zorundadır. Bu sebeple veri sorumluları kişisel verileri işlerken verinin niteliğine göre almak zorunda olduğu aksiyonlardan teknik ve idari tedbirleri belirlemeli ve envanter tablosuna işlemelidir.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

www.kvkk.gov.tr

TAGs: KVKK, kişisel verilerin korunması kanunu, , veri envanteri,

 

Yorum Yap

Yazar Hakkında

Bilgisayar Mühendisliği Doktora programında öğrenciliğim devam etmektedir. Bir Vakıf üniversitesinde 2016 yılı itibariyle Bilgisayar Mühendisi 2020 yılı itibariyle ise Ofis Yöneticisi mühendis olarak çalışmaktayım.  Başlıca uzmanlık alanlarım arasında Asp.Net Web Forms, Asp.Net MVC, .Net Core, C# ve SQL Server gelmektedir. Bunların yanı sıra iş hayatımda sistem ve siber güvenlik konularında da çalışmalarım devam etmektedir. Çeşitli AB destek projelerinde yazılım sorumlusu olarak görev yapıyor ve çalışmalarımı Secure Design Pattern, Yazılım Güvenliği, Siber Güvenlik, Bilgi Güvenliği konularında sürdürüyorum. Asp.net ile Proje Geliştirme ve Bilgisayar Mühendisliğine Giriş isimli kitapların yazarıyım.

Yorum Yap