KVKK veri işleme envanteri firmaların, kamu kurum ve kuruluşlarının, yabancı kurumların veya gerçek kişilerin KVKK uyarınca hazırlamakla yükümlü oldukları bir envanterdir. Kişisel verilerin işlenmesi birçok risk ve ihlal ihtimalini beraberinde getirir. Dolayısıyla KVKK, veri işleme envanteri hazırlama yükümlülüğü getirerek kişilik haklarının ihlal edilmesine engel olmayı hedeflemektedir.

Veri sorumluları kişisel verileri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebeplerini, veri kategorilerini, verilerin aktarıldığı alıcı grubu ve kişisel verilerin muhafaza edilme sürelerini inceleyip sınıflandırarak bir envanter hazırlarlar. Basitçe açıklamak gerekirse hangi kişisel verilerin hangi amaçla toplandığını, nerelerde, kimlerle ve ne şekilde paylaşıldığının prosedürlere uygun hale getirilmesi gerekmektedir.

Veri işleyenler sorumluluklarını doğru ve eksiksiz bir şekilde yerine getirebilmek için bir veya daha fazla kişiden oluşan bir ekibi görevlendirebilirler. Görevlendirilen kişi veya kişiler veri sorumlusunun fiziksel ve elektronik ortamda işlemekte olduğu tüm verilerin analizini ve değerlendirmesini yaparlar. Veri işleme envanteri aşağıdaki adımlar dikkate alınarak hazırlanmalıdır:

İlk olarak kişisel verilerin hangi süreç ve faaliyet kapsamında elde edildiği ve hangi amaçlarla işlenip saklanacağı ve ne zaman imha edileceği tek tek belirlenmelidir.

  • İşlenmekte olan verilerin genel veri mi yoksa özel veri mi olduğunun tespiti yapılmalıdır.
  • İşlenen kişisel verilerin hukuki sebebi tespit edilmelidir.
  • İşlenen kişisel verilerin hangi amaçla işlendiği tek tek veri bazında belirlenmelidir.
  • Veri sorumlularının faaliyetleri kapsamında hangi kişi veya kişi grupları ile ilgili olarak kişisel veri işlendiğinin belirtilmesi gereklidir.
  • Kişisel verilerin ne kadar süre saklanacağı ve sürenin bitiminde imha işlemi uygulanacağına ilişkin bilgilendirilme yapılmalıdır.
  • İşlenen kişisel verilerin hangi alıcılara aktarıldığı hakkında bilgilendirmeler yapılmalıdır.
  • Yabancı ülkelere aktarılan kişisel veriler belirlenmelidir.
  • İşlenen kişisel veriler için alınan teknik ve idari tedbirler belirlenmelidir.