Kvkk Uyumunda Kişisel Veri Envanteri Hazırlamanın ve Kullanmanın Önemi

F. Eda BAYSAL, Avukat, LL.M

BA Hukuk Yazılımları AŞ, Ortak

6698 Sayılı Kişisel Verileri Koruma Kanunu uyumu çalışmalarında kişisel veri envanterinin nasıl bir öneme sahip olduğu yeterince tartışılmamış bir konudur. Bu yazı ile, envanterin tanımı dikkate alındığında doğru hazırlanmış bir kişisel veri envanterinin KVKK uyum çalışmasını önemli derecede kolaylaştıracağı ile iyi hazırlanmış bir kişisel veri envanterinin, veri sorumlularının “başvuru cevaplama” ve “silme yok etme” yönetimlerini önemli ölçüde kolaylaştırıcı bir fonksiyonu olduğunu, alan uzmanlarının ve çalışanlarının dikkatine sunmak amaçlanmıştır.

Kvkk Uyumunda Kişisel Veri Envanteri Hazırlamanın ve Kullanmanın Önemi

Türk Dil Kurumu Türkçe Sözlüğe göre envanter,belli bir zamandaki durumu gösteren çizelge, mal ve değerlere ilişkin dökümdür. Ticari terim olarak envanterin anlamı ise; bir ticari kuruluşun para, mal ve diğer varlıklarıyla genel olarak borçlu ve alacaklı durumlarının, nicelikleri ve değerleriyle ayrıntılı olarak gösterilmesi, listelenmesi faaliyetine verilen addır.

Envanter ticari bir kavram olarak ilk olarak vergi ve muhasebe alanlarında karşılık bulmuş ve buna bağlı düzenlemeler de tarihsel süreçte öncelikli olarak vergi ve muhasebe alanlarında yapılmıştır.

Envanter Çıkarmak Nedir?

Vergi Usul Kanununun 186’ncı maddesinde “envanter çıkarmak” deyimi yer almış ve tanımlanmıştır. Buna göre envanter çıkarmak; bilânço günündeki mevcutları, alacakları ve borçları saymak, ölçmek, tartmak ve değerlemek suretiyle kesin bir şekilde ve müfredatlı olarak tespit etmektir. Ticari teamüle göre tartılması, sayılması ve ölçülmesi mutat olmayan malların değerleri tahminen tespit olunur. Mevcutlar, alacaklar ve borçlar işletmeye dahil iktisadi kıymetleri ifade eder.

Bu tanım vergisel işlemlerde dolayısıyla muhasebe faaliyetlerinde envanterin nasıl çıkarılacağının tanımlandığı bir yasal düzenlemedir; vergisel ve muhasebesel işlemlere baz olmak üzere envanter bu kurallara göre oluşturulur. Bu kurallara uygun olarak oluşturulan envanter üzerinden de bir kısım vergisel ve finansal işlemlere ilişkin belgeler (mali tablolar, beyannameler) düzenlenir ve bu suretle önemli bir kamusal faaliyet olan verginin hesaplanması aşamasında çıkarılan bu envanter önemli bir rol oynar.

Envanter, süreç içinde 6698 Sayılı Kişisel Verilerin Korunması Kanunu mevzuatında bu kez “kişisel veri envanteri” adıyla karşımıza çıkmıştır. Peki kişisel veri envanteri de KVKK uyumu ya da uyumlu KVKK yönetim süreçlerinde önemli bir yer işgal etmekte midir? İyi hazırlanmış bir envanter hangi işlemler bakımından bir ön hazırlıktır? Alt yapıdır?

Kişisel Veri Envanteri, “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yurt içinde ve yabancı ülkelere aktarımı öngörülen kişisel verileri ve de kişisel veri işleme faaliyetlerine ve kişisel veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter,” olarak tanımlanmaktadır.

Envanterin ilk düzenlendiği alan olan ticaret ve vergi hukuku alanındaki anlamıyla KVKK alanındaki anlamı arasında bir benzerlik var mıdır? Veya farklılıklar nelerdir? Benzerliklerden yola çıkılarak kişisel veri envanterinin düzenlenmesi vergi ve muhasebe alanında çalışan faaliyet gösteren kişilerin yardımıyla ya da onlar tarafından daha kolay çıkarılabilir anlaşılabilir, oluşturulabilir mi? Bu soruyu sorma nedenimiz belli bir meslek grubunu avantajlı ilan etmek veya diğerlerinin bu işlemi yapamayacağını iddia etmek değildir; sadece bilinen metotları kullanarak KVKK alan uzmanlarınca ve çalışanlarınca çok zahmetli bir çalışma olarak kabul edilen “kişisel veri envanteri çıkarma” işlemi ne kadar kolay olabilir, kontrol altına alınabilir? Bu işlem ne kadar zaman ayrılarak yapılabilecektir? sorusuna cevap aramaktır.

Bir organizasyonun/veri sorumlusunun, mevzuatla uyumlu bir şekilde kişisel veri işleme yönetimi konusundaki çalışmalardaki en önemli ihtiyacı ve hatta başlangıç noktası envanterin hazırlamanın çıkış nedenidir; veri sorumlusunun, işlediği verilerin türü, bu verileri neden/hangi amaçla aldığı, bu nedenlerin veya ihtiyacın kanun kapsamındaki yeri(yasal dayanak), verilerin giriş kanalları/yolları, verilerin miktarı, işlenme yeri, saklanma yeri ortamı, paylaşımı(erişim veya aktarma), ömrü ile ilgili bilgilere hakim olması şarttır.

Özel sektör kurumları ile kamu kurumları, faaliyetleri sırasında çok sayıda ve türde kişisel veri almakta-elde etmekte (işlemekte), saklamakta, aktarmaktadır. Ekonomik faaliyetler sırasında ve kamusal yükümlülükler çerçevesinde elde edilen ve işlenen veriler çoğu zaman farklı amaçlar ile ve gereksinmeler dolayısıyla üçüncü kişilerle paylaşılmak durumunda kalınmaktadır.

İşte, kişisel verilere ait yönetim modelinin yeterli ve organizasyonel yapıya uygun bir şekilde dizayn edilmemesi halinde, sahip olunan/işlenen ve paylaşılan kişisel verilerin boyutu ve adedi çoğaldıkça, bu verileri korumak ve güvenli tutmak, yani veri hakimiyetini sağlamak konusundaki riskler de artar ve alınması gereken tedbirler çoğalır. Sonuç olarak yapılan başvuruların cevaplanmasında zorlanılır hale gelinir; sağlıklı bir silme yok etme yönetimi yapısı kurulamaz.

Bu çerçevede, aynen bir muhasebe envanterinde olduğu gibi, veri sorumlusu bakımından birer varlık (asset) olan kişisel verilerin, kişisel veri işleme envanterinde aşağıdaki bilgilerle ve eksiksiz olarak her faaliyet süreci ve veri kaynağı bakımından bir düzen içinde izlenmesi zorunludur;

Kişisel Veriyi:

  • Veri sorumlusunun hangi departmanının/kimin işlediği,
  • Kişisel veri işlemeye neden olan faaliyetin ne olduğu,
  • Kişisel veri işlemenin yasal dayanakları, veri sorumlusunun işlemeye izinli olup olmadığı, izinli değil ise açık rıza ile izinli hale getirip getirilmediği (BİLİNDİĞİ ÜZERE KİŞİSEL VERİ İŞLEMEK YASAK DEĞİLDİR; SADECE MEVZUATA UYGUN İŞLEME KURALINA UYULUR; AKSİ DURUM BİR YAPTIRIMLA VEYA CEZA İLE KARŞILAŞIR)
  • Kişisel veri içeren tüm kaynaklar (orijinal veya kopya kağıt belgeler/orijinal veya kopya soft belgeler) ile kaynaklarda hangi kişisel verilerin yer aldığı, bu verilerin ilgili kişilerinin kimler olduğu,
  • Kişisel verilerin veri sorumlusu bünyesinde hangi yollarla (kağıt, soft sistemler, hibrit yöntemler) işlendiği, aktarıldığı, hangi ortamlarda saklandığı,
  • İşlenen kişisel verilerin saklanma süresi,

Bilgilerinin mutlaka envanterde yer alması gerekmektedir. Aksi takdirde bu envanter bir envanter değil olsa olsa gelişigüzel bir liste olur ve içindeki eksiklikler nedeniyle olsa olsa bilgi karmaşası yaratır. Bir düzene göre ve zorunlu bilgileri içermeden düzenlenen envanterlerden bu alanla ilgili hiçbir yarar beklenilmemelidir.

Kişisel Veri Envanteri Tam Olarak Ne İşe Yarar?

Eksiksiz ve organizasyonel yapıya uygun bir kişisel veri envanteri yapmanın faydasını ortaya koymak gereklidir, bu konuda harcanan emek ve zamanın nedenleri ve sonuçları tam olarak açıklanmadan bu konuda titiz bir çalışma yapılmasını beklemek doğru bir yaklaşım olmamaktadır.

Her şeyden evvel Kişisel Verileri Koruma Kurumu, yayınlamış olduğu “Veri Sorumluları Sicili Hakkında Yönetmeliği” ile VERBİS kaydı yapmak zorunluluğu olan veri sorumlularının envanter hazırlama zorunluluğu getirmiştir. Dolayısıyla salt bu kural dahi bu kapsamdaki veri sorumlularınca bir envanter yapılmasını/hazırlanmasını şart kılmaktadır.

Peki, VERBİS kaydı olması dolayısıyla mevzuat kapsamında kişisel veri envanteri hazırlama yükümlülüğü olmayan veri sorumluları, envanter yapmamaları/hazırlamamaları sonucunda ne gibi faydalardan mahrum kalacaklardır? Envanter hazırlama zorunluluğu ile amaçlanan “veri sorumlularının faaliyetleri ve ilgili iş süreçlerinde Kanuna uyumluluk için sistematik bir alt yapı hazırlanması, diğer bir deyişle Kanuna aykırı kişisel veri işlemenin söz konusu olup olmadığının kolayca tespitinin sağlanmasıdır”. Bu tespitin ve sonuçlarının önemi şüphesiz sadece kamu kurumu olan KVKK bakımından değildir. Zira, kişisel verileri usulüne uygun işlemek, sadece bu mevzuat karşısında değil ilgili alanlar olan medeni kanun (tazminat davaları); ceza kanunu (kişisel veriler ile ilgili suçlar) ve genel anlamda bazı hukuki ihtilaflarda da kişisel verileri içeren kaynakların hukuken geçerli, dikkate alınabilecek deliller olarak kabul edilip edilmemesi noktalarında dahi önem taşır. Yani bu konu genel anlamda veri sorumlularının ya da ilgili kişilerin tartışılan hukuki durumlarının doğru tespitinde de önem taşımaktadır. İşte bu noktada hemen şu sonucu ifade etmek gerekecektir; iyi hazırlanmış ve organizasyonel yapıyı yansıtan bir kişisel veri envanteri sayesinde, kişisel veri işleme faaliyetlerinin Kanuna uyumu ile ilgili olarak veri sorumlusu kendini ve faaliyetlerini otokontrol olanağına kavuşmakta, faaliyetleri nedeniyle gereksiz hukuki ve cezai risklerden uzak olarak bu alandaki uyumunu yürütme, koruyabilme imkanına kavuşmaktadır.

İyi hazırlanmış bir envanter, içerdiği bilgiler sayesinde veri sorumlusunun ilk bakışta mevzuat uyumu kontrolünün kolayca yapılabilmesi; yine bu envantere uygun olarak hazırlanmış KVKK uyum dokümanlarının içeriklerinin doğruluk ve yeterliliklerinin kolayca tespiti; ilaveten başvuruların envanter yardımıyla kolayca cevaplanması; son olarak silme ve yok etme işlemlerinin kolayca yönetilmesi sonuçlarını bünyesinde barındırmaktadır. Ayrıca iyi bir envanter doğru bir yetki ve erişim matrisi elde etmek demektir; dinamik ve güncel KVKK Uyum doküman yönetimi demektir.

Kişisel Veri Envanteri En Kolay Nasıl Çıkarılır?

Bu soruyu cevaplamadan evvel kişisel veri envanteri çıkarmanın zor iş süreci olduğunu kabul etmek gerekmektedir. Zira bu süreçte, veri sorumlusu organizasyonun tüm departmanları/birimleri kendi faaliyetlerini eksiksiz olarak listemeli, bu faaliyetlerde kişisel veri işleyip işlemediklerini, işlemekte iseler bu verilerin neler olduğu, hangi hukuki sebep ve amaçlarla işlendiği, ilgili kişilerinin kimler olduğu, bu verilerle ne yapıldığı, işleme yöntemleri, kimlere ne sebeple aktardıkları, saklama ortamı, süresi, aldıkları idari ve teknik tedbirler gibi pek çok soruya her bir kişisel veri işlenen faaliyet hatta daha da ötesi her bir veri kaynağı bakımından cevap vermelidir.

Eklemek gerekir ki bu listeleme bakımından veri sorumlusunun bir kalite yönetim sistemi yürütümüne sahip olması süreci kolaylaştırıcı bir unsur olabilmektedir, kişisel veri işlenilen faaliyetlerin adları bu sistemler vasıtasıyla daha az bir çabayla ortaya konulabilmektedir.

Ayrıca, kişisel verinin kendisi ile içinde bulunduğu belge/ortam ayrı şeylerdir. Hiçbir veri sorumlusu kişisel veriyi tek başına almamaktadır, bu veriler mutlaka bir veri kaynağının bir parçası olarak alınmaktadır veya işlenmektedir. Zaten kişisel verileri saklama ya da yok etme/silme dediğimizde de kastedilen, bu verilerin kendisi ile ilgili silme yok etme işlemleri değil bu verileri içeren belgelerin/ortamların yani kaynakların ta kendisidir. Bu nedenle bu farklılığı ortaya koymak bakımından kişisel verinin kendisi ile kişisel veriyi içeren belgeyi/ortamı birbirinden ayırmak gerekir ki bu belge ya da ortamlara “veri kaynağı” denilmesi uygun olur. Ancak eklemek gerekir ki, envanter, veri kaynağı adları yanında içerdiği kişisel veri adlarını da tespit etmelidir.

Veri sorumlusunun kişisel veri işlenen faaliyetlerini ve faaliyetlerde işlediği veri kaynaklarını tespit ettikten sonra, envantere devam etme adımı olarak yapması gereken, kişisel veri içeren bu kaynak ve faaliyetleri niteleyen soru cevaplarını bu faaliyet ve kaynaklar ile ilişkilendirmektir. Örneğin, “(çalışan adayı) kimlik fotokopisi” veri kaynağını ilk alan departman olan İK departmanın bu kaynağı hangi faaliyetlerinde kullandığı, bu belgedeki verilerle başka veri kaynakları üretip üretmediği, bu kaynağı organizasyon içinde veya dışında kimlerle paylaştığı (erişime açmak veya aktarmak), kağıt ya da soft sistemlerle aldığı, belgeyi ya da soft kopya kaynağı nerelerde sakladığı, ne kadar süre ile saklayacağı gibi toplamda 20 ila 30 soru arasında değişebilen soru grupları üzerinden tamamen analiz etmektir. İşte asıl zorluk da budur; zira, zaman zaman veri sorumlusu bünyesinde yüzlerce hatta bini aşan veri kaynağı işlenmektedir. Her bir kaynağın yaklaşık 20 ila 30 soru arasında değişen bir soru gurubu ile analiz edilmesi veri kaynağı sayısı X soru adedi yani organizasyondaki kaynak sayısı (örneğin 600 adet) x soru adedi (örneğin 25 soru ile analiz)ise = 15000 giriş veya 15000 satır sayısı ile analiz yapılması ve envanterin tamamlanması demektir. Hatta bunu KVKK kendi yayımladığı örnekte “verilerin her biri için ayrı ayrı satırlarda yapılması bazlı örneklediği” için -ki bizce bu doğru bir yönlendirme değildir-, bu takdirde her kaynağın ortalama 4 adet farklı kişisel veri içerdiği kabul edilse dahi ortalama 60.000 satırlık bir envanter demektir. Zaman zaman alan uzmanları ve çalışanlarının envanter satır sayısına ilişkin olarak yaptıkları paylaşımlardaki rakamlar bu şekilde elde edilen satır sayılarıdır. Ancak envanterde veri adından hareket etmek ve her veriye ayrı bir kimlik vererek ayrı işlemlere tabi tutmak da başka bir karmaşa ve sakınca yaratacaktır ve bizce hatalıdır. Zira kimlik fotokopisi veri kaynağında yer alan kimlik verilerinin hiçbiri ayrı ayrı işlem görmez, görse bile bu veriler ayrı ayrı saklanmaz, mutlaka bir kaynak içine dahil olur; ayrı işlem gören bu verileri taşıdığımız, bu verileri bulaştırarak, kullanarak elde ettiğimiz yeni kişisel veri kaynaklarıdır, örneğin işe giriş muayenesi belgesi, personel kartı, SGK bildirgesi, iş sözleşmesi, bordro, personel listesi, maaş listesi… gibi. Ancak bunun yerine kimlik fotokopisindeki verileri esas alarak paylaşım, saklama, silme yok etme, hukuki sebep gibi analizlere girilir ise bu takdirde yönetilemeyecek bir bilgi yığını dışında bir sonuç elde edilemez; bunun adı da kişisel veri envanteri olmaz, buradan da herhangi bir yönetim sağlanamaz.

Halihazırda kişisel veri envanteri hazırlamakla bu konulara dikkat edilmeli, sistematik bir çalışma yöntemi izlenmeli, bu konuyu yönetmekle ilgili geliştirilen yazılımlarda aranması gereken özellikler bu esaslara göre tespit edilmelidir. Girişler hangi sıra ve esasa göre yaptırılmaktadır, elde edilen data havuzu gerçek ve olması gereken esasları içeren bir envanter midir? Yani, (envanter bir yazılım vasıtasıyla elde edilmiş ise) bundan otomatik olarak KVKK dokümanı üretilebilmekte midir? -ki gerçek envanterler KVKK uyum dokümanlarının içermesi gereken tüm bilgileri içermesi sebebiyle yazılımın envantere bağlı olarak doküman elde etme özelliğine sahip olması beklenmelidir-; envantere bağlı olarak otomatik yetki/erişim matrisi çıkmakta mıdır? envantere bağlı bir otomatik başvuru cevaplama yönetimi kurulabilmekte midir? envantere bağlı olarak bir silme/ yok etme yönetimi sağlanabilecek midir? Tüm bu sorular bir envanter yazılımının içerdiği onca zahmetli ve zaman alan giriş adımı neticesinde oluşan data havuzunun sistematik bir envantere dönüştürüldüğünün göstergesidir ve aranan özelliklerin başında gelmelidir. Aksi halde yazılımın tek özelliğinin excele göre daha rahat bir ekrandan giriş konforu sağlaması gibi basit bir özellik olmaması gerekir.

Sonuç olarak, kişisel veri envanteri basit bir excel listesi değildir; hazırlıkları zaman alır, hazırlamak zaman alır. Eğer envanter hazırlamada yazılım kullanılacaksa bu takdirde basit kişisel veri envanter yazılımlarının onca zahmetli adımının aşılması ve doldurulması ya da rasgele doldurulması ile elde edilen bir data havuzu sağlıklı bir envanter olmayacaktır. Zira envanter bir bilgi/data yığını değildir; sistematik bir bilgi/data havuzudur, listesidir; bu data havuzundan aynı anda bu bilgiler ile kolaylıkla pek çok sonucun çıkarılabilmesinin mümkün olması halinde gerçek bir envanter olarak bir önem kazanabilir. Hazırlıklarda ve giriş işlemlerinde harcanan zamana ve emeğe değecek sonuçlar elde etmediğiniz yazılımlar başarılı yazılımlar olamaz, hiç kullanmamak daha doğrudur. Dolayısıyla bir yazılım yardımıyla KVKK envanterlerinizi oluştururken bu işlemin KVKK uyumunun bir parçası olduğunu dikkate almanın yanında, iyi ve sistematik bir envanter oluşturmanın aslında uyumun büyük bir bölümünü kendiliğinden sağladığını ve sürdürülebilirliğini yönettiğini dikkate almanızı öneririz.

Yararlı olması dileğimizle.

Paylaş