Skip to main content
Veri Koruma Hukuku

Kişisel Veri Envanteri Nedir?

Yazar 13 Ocak 2023Ekim 3rd, 2023No Comments10 dakikalık okuma
Kişisel Veri Envanteri Nedir?

Kişisel veri envanteri, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumluluğun sağlanması bakımından uyum sürecinde ilk aşamayı oluşturmaktadır.

Kişisel Veri Envanteri Nedir?

Kişisel veri envanteri; Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve Veri Sorumluları Sicili Hakkında Yönetmelik içerisinde aynı şekilde tanımlanmıştır. İlgili tanım uyarınca kişisel veri envanteri; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. maddesi uyarınca Veri Sorumluları Sicili’ne (VERBİS) kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. İlgili madde değerlendirildiğinde Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğü olan tüm veri sorumlularının kişisel veri envanteri hazırlaması gerektiği açıktır. İlgili kişisel veri envanteri ile sicile kayıt ve aydınlatma yükümlülüğü yerine getirilebilecek veya ilgili kişi başvuruları yanıtlanabilecek ve açık rızanın kapsamı belirlenebilecektir.

KVKK Uyum Süreçlerinde Kişisel Veri Envanteri Hazırlama

KVKK uyum süreçlerinin ilk ve en önemli basamağını kişisel veri envanteri hazırlama süreci oluşturmaktadır. Bu sürecin başlangıcından itibaren veri sorumlusu gerçek veya tüzel kişiler kendi organizasyonları çatısı altında gerçekleştirilen her bir kişisel veri işleme faaliyetini inceleyerek burada toplanan kişisel verilerin ve diğer kategorilerin yer aldığı bir kişisel veri envanteri yaratmaktadır.

6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatın yanı sıra Kişisel Verileri Koruma Kurumu tarafından yayınlanan rehberler ve Kişisel Verileri Koruma Kurulu tarafından alınan kararlar uyarınca veri sorumlularınca hazırlanacak envanterde yer alması gereken asgari unsurlar şu şekilde sıralanmaktadır:

  • Kişisel veri kategorisi,
  • Kişisel veri işleme amaçları ve hukuki sebebi,
  • Aktarılan alıcı/alıcı grupları,
  • Veri konusu kişi grupları,
  • Kişisel verilerin işlendikleri amaçlar için gerekli olan azami saklama süresi,
  • Yabancı ülkelere aktarılan kişisel veriler,
  • Kişisel veri güvenliğine ilişkin alınan teknik ve idari tedbirler.

Kişisel Veri Envanteri Hazırlama ve VERBİS Arasındaki İlişki

Veri Sorumluları Sicili Bilgi Sistemi (VERBİS) veri sorumlularının kaydolmak zorunda oldukları Veri Sorumluları Sicili olarak hazırlanmıştır. Bu sicil sistemi Veri Sorumluları Sicili Hakkında Yönetmelik’te açıklanmıştır. Yönetmelik’te yer alan ilgili tanım uyarınca Veri Sorumluları Sicili Bilgi Sistemi (VERBİS); veri sorumlularının Veri Sorumluları Sicili’ne başvuruda ve aynı sicile ilişkin diğer işlemlerde kullanacakları internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu Başkanlığınca oluşturulan ve yönetilen bilişim sistemidir.

Veri Sorumluları Sicili’ne (VERBİS) kayıt yapılırken veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu/grupları ile bu kişilere ait veri kategorileri hakkında açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler ve kişisel verilerin işlendikleri amaç için gerekli olan azami süreye ilişkin bilgilerin girilmesi gerekmektedir. 

Kişisel Verileri Koruma Kurumu Başkanlığınca hazırlanacak olan Veri Sorumluları Sicili Bilgi Sistemi (VERBİS) kamuya açık olarak tutulacak olması sebebiyle yukarıda sayılan kişisel veriler yalnızca kategorik bazda girilebilecektir.

Kişisel veri envanteri ise Veri Sorumluları Sicili’ne (VERBİS) nazaran daha ayrıntılı bir biçimde oluşturulmaktadır. Burada veri sorumlusunun tüm iş süreçlerinde yer alan tüm faaliyetler nezdinde elde ettiği doküman ve kayıtlar gibi kişisel veri içeren bilgi ve belgelerde yer alan her bir kişisel veri için ayrı ayrı açıklamalar gösterilmektedir. Veri Sorumluları Sicili’nde (VERBİS) ise kişisel veri envanterinden farklı olarak yalnızca veri kategorileri bazında kişisel veri işlenip işlenmediği ve işleniyorsa bu veri kategorilerinin hangi amaçlarla işlendiği, aktarım olup olmadığı ve varsa aktarım yapılan alıcı gruplarının kimler olduğu, saklama süresi, ilgili kişiler ve güvenlik tedbirleri konusunda bilgi girişi yapılmaktadır.

Yine Veri Sorumluları Sicili (VERBİS) kamuya açık bir biçimde tutulmakta olup dileyen tüm kişilerce veri sorumlularının sicil kayıtları görüntülenebilmektedir. Veri sorumluları tarafından oluşturulan kişisel veri envanterleri ise veri sorumlusu nezdinde tutulmakta olup kamuya açık bir biçimde incelenmesi mümkün olmayacaktır. İnceleme yalnızca Kişisel Verileri Koruma Kurulu tarafından talep edildiği takdirde gerçekleşebilecektir. 

Kişisel Veri Envanteri Nasıl Hazırlanır?

Kişisel veri envanterinin hazırlanmasında uyum projeleri büyük öneme sahiptir. KVKK uyum projeleri nezdinde oluşturulacak çalışma gruplarına, bu envanterlerin doldurulmasına ilişkin verilecek bilgilendirme eğitiminin ardından boş veri envanteri teslimi yapılacaktır. Bu envanterlerin tesliminin ardından hukuk ve bilgi teknolojileri ekiplerinin destekleriyle kişisel veri envanterinin doğru bir şekilde doldurulması sağlanacaktır. Kişisel veri envanterinin doldurulması açısından tüm ekiplerin işbirliği ile çalışması büyük önem arz etmektedir.

Kişisel veri envanteri hazırlanırken ilk olarak iş süreçleri tüm birimler bazında tek tek tespit edilecek, bu süreçler kapsamında gerçekleştirilen faaliyetler listelenecek ve bu faaliyetlerin gerçekleştirilmesi sırasında hangi kişisel verilerin elde edildiği bilgi ve belgeler üzerinden belirlenecektir. İş süreçleri ve faaliyetler nezdinde işlenen kişisel verilerin tespit edilmesinin ardından bu kişisel verilerin nitelikleri belirlenecektir. Burada nitelikten kastedilen işlenen kişisel verinin özel nitelikli olup olmadığıdır. 

Özel nitelikli kişisel verilerin tespiti hukuki sebep ve bu verilerin aktarılması yönünden son derece önemlidir. Verilerin kişisel veri veya özel nitelikli kişisel veri olup olmadığının tespiti sonrasında bu verilerin işlenmesine ilişkin hukuki sebeplerin de tespitinin yapılması gerekmektedir. Kişisel verilerin işlenmesi, herhangi bir hukuki sebep olabilecek kişisel veri işleme istisnalarından birine girmediği takdirde ancak ve ancak ilgili kişiden açık rıza alınarak işlenebilecektir. Hukuki sebebin tespitinin yapılmasının ardından ise kişisel veri işleme amaçları tespit edilecektir. Buradaki tespit tek tek kişisel veri bazında yapılmalıdır. Kişisel veri için işleme amacının tespit edilemediği durumlarda tespit edilemeyen kişisel verinin imhası gerçekleştirilmelidir. Kişisel veri işleme amaçlarının tespitinin ardından kişisel veri envanterinin oluşturulmasında öneme sahip diğer bir konu olan veri konusu kişi grubunun belirlenmesi gerekmektedir. Örneğin, fiziki tesislerin ziyaret edip teklif alan ve görüşmeler sağlayan kişi potansiyel müşteri sayılabilecek iken aynı fiziki tesisi yalnızca ziyaret eden kişi ziyaretçi sayılacaktır. 

Kişisel veri envanteri oluşturulurken veri konusu kişi gruplarının belirlenmesinden sonra işlenen kişisel verilerin saklama süresinin belirlenmesi gerekmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan ilkelerden biri olan ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi uyarınca kişisel verilerin bir saklanma süresi olmalıdır. Veri sorumluları tarafından ayrıca işlenen kişisel verilerin aktarıldığı alıcı/alıcı grupları, yabancı ülkelere aktarılan kişisel veriler varsa bunların hangi kişisel veriler olduğu gösterilmeli ve işlenen kişisel veriler için hangi teknik ve idari tedbirlerin alındığının gösterilmesi gerekmektedir.

Kişisel veri envanterlerinin doldurulmasını takiben ilgili envanter gözden geçirilmeli, gözden geçirme sonrasında yeniden toplantı gerçekleştirilerek kişisel veri envanterinin son haline getirilmesi sağlanmalıdır.

Kişisel veri envanterinin tamamlanmasıyla birlikte bir veri sorumlusu nezdinde gerçekleştirilmiş olan tüm iş süreçleri ve buna bağlı olarak gerçekleştirilen kişisel veri işleme faaliyetleri açıkça görülebilecektir. Bu kapsamda hangi kişisel verilerin hangi amaçlarla işlendiği, işlenen kişisel verilerin hukuki sebepleri, bu verilerin saklandığı ortamların nereler olduğu, verilere erişebilen yetkili kişi veya kişi gruplarının kimler olacağı, kişisel veriler aktarıldığı takdirde aktarımın hangi amaçlarla kimlere yapıldığı, verilerin saklama süreleri ve hangi teknik ve idari tedbirlerin alındığı konusunda kişisel veri envanteri cevap sağlayacaktır.

Yukarıda hukuki açıdan önem ihtiva eden Kişisel Veri Envanteri Nedir? konusu genel bir çerçeveyle açıklanmıştır. Kişisel Veri Envanteri Nedir? Konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma Bilişim HukukuCeza HukukuVeri Koruma Hukuku Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma
12 Haziran 2023

Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma

AEY Legal
Mesaj gönder.
Mesaj Gönder!
Scan the code
👋 Merhaba!
Nasıl yardımcı olabiliriz? Hemen WhatsApp mesajı gönder!
AEY Legal ekibimin tarafımla toplantı yapabilmesi, iletişim kurabilmesi, online görüşme yapabilmesi, hukuki işlerin takibi için ön hazırlık sürecini yürütebilmesi, memnuniyet yükseltici önlemlere başvurabilmesi ve Yurt Dışı Aktarıma İlişkin Açık Rıza Beyanı kapsamında kişisel verilerimi yurt dışına aktarmasına ve işlemesine onay veriyorum.

Gizlilik Politikasına ve Çerez Politikasını inceleyebilirsiniz.