Kişisel Veri İşleme Envanteri

Av. Hasan Selçuk Turan'ın Kişisel Veri İşleme Envanteri yazısından alıntıdır

6698 sayılı Kişisel Verilerin Korunması Kanunu'yla ikincil düzenlemeler için yetkilendirilen Kişisel Verileri Koruma Kurumu, daha önce kamuoyu ile paylaştığı "Veri Sorumluları Sicili Hakkında Yönetmelik" ile ilgili çalışmalarını tamamlayarak yayınlanması için Başbakanlık'a gönderdi. 28 Ekim'de Resmi Gazete'de yayınlanan "Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonim Hale Getirilmesi Hakkında Yönetmelik" 1 Ocak 2018 tarihinde yürürlüğe girecek. Benzer şekilde "Veri Sorumluları Sicili Hakkında Yönetmelik" de 1 Ocak 2018'de yürürlüğe girecek.

Yönetmeliklerde veri sorumluları tarafından hazırlanması öngörülen ana yapı Kişisel Veri İşleme Envanteri'dir. Bu envantere göre VERBİS (Veri Sicil Bilgi Sistemi) kayıdı gerçekleştirilecek ve Kişisel Veri Saklama Ve İmha Politikası oluşturulacaktır. Aydınlatma yükümlülüğü için de esas teşkil edecektir.

Her ne kadar bu düzenlemenin aslında, Kurul'a veri sorumlusunun bünyesine ilişkin düzenleme yetkisi verilmediği iddiasıyla Kanun'a aykırı olduğu iddiasında bulunulsa bile, Kişisel Veri İşleme Envanteri'nin veri sorumluları için bir ihtiyaç olduğuna şüphe yoktur. Kısacası bir veri sorumlusunun kişisel verilerle olan tüm işlemleri için gerekli olan bilgiler bu envanterde tutulacaktır.

1.Hukuki Düzenleme

Kanun'da herhangi bir atıfta bulunulmayan envanter Veri Sorumluları Sicili Hakkındaki Yönetmelik'te

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

şeklinde tanımlanmaktadır.

Yönetmelikteki tanıma göre bir Kişisel Veri İşleme Envanteri'nde bulunması gerekenler:

  • Kişisel veri işleme amaçları
  • Veri kategorisi
  • Aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturulan ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreler
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler
  • Veri güvenliğine ilişkin alınan tedbirler
2.Kişisel Veri İşleme Envanteri'nin Konumu

Kişisel veri işleme envanterinin her durumda veri sorumlusu bünyesinde oluşturulması gerekir. Envanter içeriği, Excel ya da Word dosyası şeklinde veri tabanlarından izole bir şekilde basit bir yapıda tutulabileceği gibi veri sorumlusunun kullandığı veritabanları ile bütünleşik bir yapıda da tutulabilir.

Veri sorumlusunun işlediği kişisel verilerin türü ve sayısına bağlı olarak hangi yapının seçileceği önemlidir. Çok farklı türde ve sayıda kişisel verilerin işlenmesi söz konusu değilse, yapının yönetimi daha basit bir ortamda tutulması daha az maliyetli olacaktır. Bu yapının dezavantajı işlenme şartları ortadan kalkan kişisel verilerin silinmesi ya da anonim hale getirilmesi işlemlerinin envanterden bağımsız şekilde manuel gerçekleştirilmesi gerecektir.

Envanterin veritabanları ile bütünleşik bir yapıda tutulmasının en önemli avantajı, silinmesi ya da anonim hale getirilmesi için işlenme şartları ortadan kalkan kişisel verilerin kolayca ve hızlı olarak tespit edilmesini sağlamasıdır. Dezavantajı ise çok külfetli olmasıdır. Avantajı ve dezavantajı göz önüne alındığında seçilmesi durumunda, hazır bir yazılımın satın alınması ve veri sorumlusunun ihtiyaçlarına uygun hale getirilmesi ile veri sorumlusunun bünyesinde sıfırdan yazılması seçenekleri arasından yapılması gereken bir başka seçim daha vardır. Veri sorumlusunun bünyesinde bu konuda uzman bir kadronun bulunmaması, ya yeni çalışanların istihdam edilmesini ya da bu konuda dışarıdan destek alınmasını gerektirecektir.

İster veritabanları ile bütünleşik yapı, isterse ayrık olan yapı tercihi yapılsın her iki kişisel veri işleme envanterinin oluşturulması için yapılması gereken işlemler aynıdır. İki yapının farklılığı, işlenme şartları ortadan kalkan ve silinmesi veya anonim hale getirilmesi gereken kişisel verilerin tespit edilmesinde ortaya çıkar.

Dijital ortamda saklanmayan ve bilgisayar tarafından değerlendirilmesi yapılamayacak kişisel veri saklanma ortamları (örneğin kağıt ortamı) için ayrık olan yapının mı yoksa bütünleşik yapının mı seçileceğinin herhangi bir önemi yoktur. İşlenme şartlarının tespit edilmesi göz ile yapılacaksa yani bilgisayar kullanılamıyorsa maliyetler değerlendirilerek her iki yapı da seçilebilir.

3.Kişisel Veri İşleme Envanteri'nin Hazırlanması
a) İşlenen Kişisel Verilerin Tespiti

Çok zor bir süreçtir. Bu süreç bir anlamda veri sorumlusunun MR'ının çekilmesi gibidir. Her birimdeki tüm verilerin değerlendirilmesini gerektirir. Veriler veri tabanlarında tutuluyor olabileceği gibi, kişisel bilgisayarlarda, cep telefonlarında da olabilir. Excel, Word dosyalarında ya da kağıt üzerinde de olabilir. Başka birilerine gönderilmiş ve aslı olmayan dosyaların da tespit edilmesi gerekir.

Değerlendirmede kişisel veri olduğu tespit edilen verilerin

  • Hangi tür veriler olduğu
  • ilgili kişinin veri sorumlusu ile ilişkisi (Müşteri, çalışan vb)
  • Hangi amaç için toplandığı
  • Nasıl saklandıkları ve saklanması gereken süre
  • Erişebilen kişiler
  • Silinmesi durumunda olabilecek sorunlar
  • Anonim hale getirilmesinin gerekli olup olmadığı
  • Yurt içinde ve yurt dışında kimlere hangi verilerin aktarıldığı

gibi soruların cevaplarının bulunması gerekir. Bunlar soruların bir kısmı olup cevabı bulunması gereken tüm sorular veri sorumlusuna göre belirlenmelidir.

Burada unutulmaması gereken her bir tür kişisel veri için çok sayıda satırın bulunabileceğidir. Örneğin adı soyadı bilgisi hem müşteri hem de çalışan için geçerli olduğundan diğer bilgiler de buna bağlı olarak değişecektir. Ad Soyad bilgisini web üzerinden ya da doğrudan bir çalışan tarafından toplanıyor olabilir. Bu tür ayrımlar aydınlatma yükümlülüğünün nasıl yerine getirilmesi konusunda da farklılıklar doğurabilecektir.

İş süreçleri üzerinden gidilerek envanterin hazırlanmaya çalışılması mevcut durumun tespitinden ziyade olması gereken durumun tespit edilmesi olacaktır. Çalışma hayatında iş süreçlerine uyulmadan bir çok farklı amaçla ve yöntemle kişisel veri işlenebilmektedir. Kıyıda köşede kalmış kişisel verilerin bu yöntemle tespit edilmesi ilerde çıkabilecek hukuksal sorunların bertaraf edilmesine de yardımcı olacaktır.

İş süreçlerinin sıfır hata ile uygulandığı veri sorumlularında mevcut durumun tespiti iş süreçleri üzerinden yapılabilir ve ayrıca bir sonraki aşama olan iş süreçleri ile karşılaştırılmasına gerek yoktur.

b) İş Süreçleri İle Karşılaştırılması

Kişisel veriler için öncelikle işlenmelerinin gerekli olup olmadığının tespiti gerekir. Bunun en kolay yolu da var ise mevcut iş süreçleri ile karşılaştırmaktır. İş süreçleri kayıt altında değil ise iş süreçlerini kayıt altına almak faydalı olacaktır. Sonrasında da tekrar ihtiyaç duyulabileceğini unutmamak gerekir.

İş süreçlerinde bulunmayan kişisel verilerin zaruri bir ihtiyaç üzerine toplandığı kanaatine varılırsa iş süreçleri değiştirilmelidir. Veri sorumlusu için gerekli olan iş süreçlerinin güncel olmasından sonra da hala bir iş sürecine bağlanamayan kişisel veriler var ise bu veriler tespit edilmelidir. Bu verilerin nasıl kullanım dışı bırakılacağına silme, yok etme ya da anonim hale getirme işlemlerinden uygun olanı seçilerek karar verilmelidir.

Bu işlem sonucunda iş süreçleri ile saklanan kişisel verilerin birbiri ile örtüşmesi gerekir.

c) İş Süreci ve Kişisel Verilerin Zaman Uyumsuzluğu

Mevcut kişisel verilerin mevcut bir iş süreci ile uyumlu olması geçmişten o zamana kadar uyumlu olduğunu göstermez. Çünkü zaman içerisinde iş süreçlerindeki eksiklikler fark edildikçe is süreçlerinde değişiklikler yapılır. Örneğin internet üzerinden üyelik kaydı alan bir veri sorumlusunun tanıtım e-postaları gönderebilmek için ziyaretçinin açık rızasını ilk zamanlarda almaması sonradan bu eksikliğin farkına vararak açık rızalarını almak için iş sürecini değiştirmesi, açık rızası alınmayan üyelerin e-posta adreslerine tanıtım e-postaları göndermesine imkan vermez.

Kişisel verilerin iş süreçleri ile karşılaştırılması işlemi, kişisel verinin toplandığı andaki iş süreciyle karşılaştırılarak yapılmalıdır. Bu durumda işlem süreçlerinin geçmişinin bilinmemesi o anki iş sürecine uygun toplanan kişisel verilerin de hangi şartlar altında toplandığının bilinmemesine yol açacaktır.

ç) Hukuki Durumun Tespiti

İş süreçlerinin saklanan kişisel verilerle örtüşmesi hukuki durumun tespitinde iş süreçlerin kullanılabilmesine imkan sağlar.

Hukuki durumun tespitinde iş süreçlerinde işlenen kişisel veriler için mevzuatın getirdiği imkanlar ve yükümlülükler tespit edilir. Örneğin fatura bilgilerinin belirli bir süre saklanması ve web sitesine yapılan erişimlerin kaydedilip saklanması veri sorumluları için kanunda öngörülen bir yükümlülüktür. Benzer şekilde çalışanlarla ilgili saklanması gereken kişisel veriler de kanuni yükümlülüklere başka bir örnektir. İlgili kişi ile kişisel verilerle ilgili sözleşme yapılabilmesi ise mevzuatın getirdiği sözleşme hürriyeti çerçevesinde bir imkandır. İş süreçleri ile ilgili tüm bu yükümlülüklerin ve imkanların tespit edilmesi ve uygun düşen iş süreçleriyle eşleştirilmesi ile mevcut kişisel verilerin hukuki durumu tespit edilebilecektir.

İş süreçlerinin hukuki durumunun tespiti yapılırken yapılan değişiklikler de göz önünde bulundurulmalıdır. İş sürecinin geçmişteki hali ile mevcut hali arasındaki farkın hukuki durumları arasında da bir farklılığa sebep olabileceği unutulmamalıdır.

d) İş Süreçlerindeki Mevzuata Aykırılıkların Değerlendirilmesi

Saklanan kişisel verilerin mevzuata uygunluğu amaçlanan sonuçtur. Eğer hukuki durumun tespiti sonucunda aykırılık bulunmamışsa bu değerli bir sonuçtur. Ancak çoğu zaman az ya da çok mevzuata aykırılık tespit edilir. Bu durumda karar verilmesi gereken iş sürecindeki mevzuata aykırılığa sebep olan şeyleri kaldırmak ya da iş sürecine mevzuata uygun hale getirmek için gerekli olan adımları eklemektir. Hangisine karar verileceği maliyet/fayda açısından değerlendirilmelidir. Bazı durumlarda ek adımları eklemek iş sürecindeki adımları kaldırmaktan daha az maliyetli olabilir.

Aykırılığı mevzuata uygun hale getirmenin en kolay yolu ilgili kişinin açık rızasını alınmasıdır. Örneğin faturanın Türk Ticaret Kanunu'na göre saklama süresi olan 10 yılın bitiminde kişisel verilerin silinmesi gerekirken, bu süre ilgili kişinin açık rızası ile uzatılabilir. İş sürecine açık rızanın alınmasının eklenmesi veya daha önceki bir aşamadaki bir iş sürecinde bulunması iş sürecinin de açık rızayı taşıdığını gösterir. Örneğin üyelik sözleşmesinde bilgilendirme kısmında yer alan bilgilerin de iş sürecini kapsaması durumunda tekrar açık rızanın alınması gerekmez.

e) Mevzuata Aykırı Kişisel Verilerin Durumu

Her ne kadar yukarıda iş sürecinin mevzuata aykırılığından bahsedilmekte ise de bu ifade sadece veri sorumlusunun kuralları ile hukuk kurallarının karşılaştırılmasının ifadesidir. Veri sorumlusunun iş sürecinin mevzuata aykırı olması veri sorumlusunun aleyhine hukuki bir sonuç doğurmaz. Çünkü ne Türk Ceza Kanunu'nda ne de Kişisel Verilerin Korunması Kanunu'nda iş süreçlerinin mevzuata aykırı olmasına ilişkin bir müeyyide (ceza) yoktur. Mevzuat, kişisel veri ister bir iş sürecinden isterse başka bir düşünceden dolayı işlensin, kişisel verinin kendisiyle ilgilenir. Yani iş sürecinde açık rızanın alınmasının öngörülüyor olması kişisel veri için açık rızanın alındığı iddiasıyla işlenmesinin hukuka uygun olduğunu göstermeyeceği gibi, iş sürecinde açık rızanın alınmasının öngörülmemesi kişisel verinin ilgili kişinin açık rızasının alınmadan işlendiğini de göstermez. Başka bir iş sürecinde alınan açık rıza ya da kişisel veriyi toplayanın ilgili kişiden aldığı geçerli bir açık rıza kişisel verilerin hukuka uygun işlenmesini sağlayabilir.

İlgili kişinin açık rızası, açıkça kanunlara aykırı olmadığı sürece (örneğin kısıtlı ya da yaşı küçük bir kişinin açık rızası geçersiz olabilir) mevzuatın veri sorumlularına getirdiği imkan ve yükümlülüklerden daha geniş bir alanı kapsar ve hukuka aykırılığı ortadan kaldırır.

Bazı durumlarda mevzuata uygun hale getirmek mümkün olmayabilir. Örneğin mevzuata uygun olmayan ve ilgili kişinin açık rızası alınmadan işlenen kişisel verileri mevzuata uygun hale getirmek mümkün değildir. Özel hukuk açısından ilgili kişinin açık rızasının alınması ile hukuka aykırılık ortadan kalkarken, ceza hukuku açısından TCK 135'de tanımlanan Kişisel verilerin kaydedilmesi suçunun soruşturulması ve kovuşturulması şikayete tabi olmadığından ilgili kişinin açık rızası da suçu ortadan kaldırmaz. Kişisel verilerin kaydedildiği anda ilgili kişinin açık rızasının bulunmaması suçun gerçekleşmesi için yeterlidir.

Mevzuata aykırılığı tespit edilen kişisel verilerden mevzuata uygun hale getirilebilecek olanlar ve yöntemler belirlenmelidir. Maliyet açısından (işgücü, zaman vb) mevzuata uygun hale getirilmesi uygun görülmeyenler ya da mevzuata uygun hale getirilmesi mümkün olmayan (örnek ilgili kişiye ulaşmanın mümkün olmaması) kişisel verilerin işlenmesinin durdurulması için uygun yöntem belirlenmelidir.

Devam Edecek

Kişisel Veri İşleme Envanteri'nin hazırlanmasını anlattığımız bu yazının 2. bölümü kısa bir süre sonra yayınlanacaktır.

Önceki Adım
Veri Sorumlusu
Tüm Adımlar
Sonraki Adım