Kişisel Veri İşleme Envanteri Rehberi KVKK Uyum Süreci ve VERBİS İlişkisi

1. Hukuki Çerçeve ve Yükümlülük

Kişisel verilerin işlenmesine ilişkin temel düzenleme olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde yürürlüğe girmiştir. Kanunu tamamlayıcı nitelikte; Veri Sorumluları Sicili Hakkında Yönetmelik ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gibi ikincil mevzuat da 1 Ocak 2018 itibarıyla uygulamaya alınmıştır.

Bu yönetmelikler, özellikle veri sorumluları bakımından; kişisel veri işleme faaliyetlerinin kayıt altına alınması, VERBİS’e beyan edilmesi ve imha süreçlerinin sistematik yürütülmesi açısından yeni yükümlülükler getirmiştir. Bunların merkezinde, Kanun ve yönetmeliklerde açıkça atıf yapılan kişisel veri işleme envanteri hazırlama yükümlülüğü yer alır.

2. Kişisel Veri İşleme Envanteri Nedir?

Kişisel veri işleme envanteri; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirdikleri kişisel veri işleme faaliyetlerini aşağıdaki unsurlarla ilişkilendirerek ortaya koydukları detaylı kayıttır:

• Kişisel veri işleme amaçları ve hukuki sebepleri,
• Veri kategorileri (kimlik, iletişim, lokasyon, finans, sağlık vb.),
• Veri konusu kişi grupları (çalışan, aday, müşteri, tedarikçi, ziyaretçi vb.),
• Aktarım yapılan alıcı grupları (grup şirketleri, iş ortakları, tedarikçiler, kamu otoriteleri vb.),
• Yurt dışına aktarımı öngörülen kişisel veriler,
• İşleme amaçları bakımından gerekli azami saklama süreleri,
• Veri güvenliğine ilişkin alınan idari ve teknik tedbirler.

Bir başka ifadeyle kişisel veri işleme envanteri; kurumun tüm süreçlerine yayılan kişisel veri işleme faaliyetlerinin, hangi veri, neden, ne kadar süre ve kime aktarılarak işleniyor? sorularına cevap veren kurumsal veri haritasıdır.

2.1 Envanterin Kapsaması Gereken Temel Hususlar

• Tüm süreçlerin değerlendirilmesi: Sadece insan kaynakları veya müşteri süreçleri değil, muhasebe, güvenlik, pazarlama, tedarik, lojistik gibi tüm süreçler envantere dâhil edilmelidir.
• Kişisel veri türlerinin ayrıştırılması: Kimlik, iletişim, finans, özlük, hukuki işlem, görsel-kayıt gibi veri kategorileri ayrı ayrı tanımlanmalıdır.
• Hukuki prosedürlerin açıklanması: Her işleme faaliyetinin KVKK m.5-6 kapsamındaki hukuki dayanağı (açık rıza, sözleşme, kanuni yükümlülük, meşru menfaat vb.) net olarak belirtilmelidir.
• Aktarım bilgileri: Veri hangi alıcı grubuna, hangi amaçla, hangi hukuki sebebe dayanarak ve hangi sıklıkla aktarılıyor soruları yanıtlanmalıdır.
• Saklama süresi ve imha: Verinin hangi süre boyunca tutulacağı ve süresi dolduğunda hangi yöntemle imha edileceği (silme, yok etme, anonimleştirme) açıklanmalıdır.

3. Kişisel Veri İşleme Envanteri Nasıl Hazırlanır?

Envanter hazırlama süreci; sadece bir excel tablosu doldurmak değil, kurumun uçtan uca veri yaşam döngüsünü anlamaya yönelik metodik bir çalışmadır. Temel adımlar aşağıdaki şekilde özetlenebilir:

3.1 Veri Tespiti ve Sınıflandırma

• Kurum bünyesinde işlenen tüm kişisel veriler belirlenir: kimlik, iletişim, lokasyon, özlük, finans, müşteri işlem, görsel-kayıt, sağlık, ceza mahkûmiyeti vb.
• Özel nitelikli kişisel veriler (sağlık verisi, biyometrik veri vb.) ayrıca işaretlenir.
• Verilerin hangi sistemlerde (ERP, CRM, HR, kamera sistemleri, bulut uygulamalar) tutulduğu kayda alınır.

3.2 Amaç, Hukuki Sebep ve Kişi Grubu İlişkilendirmesi

• Her bir veri işleme faaliyeti için veri işleme amacı netleştirilir (bordro, aday değerlendirme, kampanya yönetimi, ziyaretçi kaydı vb.).
• İlgili amaç için KVKK m.5 (ve gerekiyorsa m.6) kapsamında hukuki dayanak belirlenir.
• Veri konusu kişi grupları (çalışan, aday, müşteri, tedarikçi, ziyaretçi vb.) ile eşleştirme yapılır.

3.3 Saklama Süresi ve Aktarım Analizi

• Her bir veri kategorisi ve amaç için, mevzuat ve iç politika doğrultusunda azami saklama süresi tespit edilir.
• Verinin aktarıldığı alıcı grupları (grup şirketleri, iş ortakları, tedarikçiler, kamu kurumları vb.) belirlenir; aktarımın hukuki sebebi ve aktarım yöntemi (elektronik/fiziksel) açıklanır.
• Yurt dışına aktarım söz konusu ise, ülke, alıcı, yeterlilik kararı durumu ve taahhüt mekanizmaları (taahhütname, standart sözleşme vb.) kayda alınır.

3.4 Güvenlik Tedbirleri ve Uyum Kaydı

• Her işleme faaliyeti için uygulanmakta olan idari ve teknik tedbirler (şifreleme, yetki matrisi, loglama, politika, eğitim vb.) envantere işlenir.
• Envanter, VERBİS beyanı ile tutarlı olacak şekilde gözden geçirilir.
• Süreç sahipleri ile birlikte periyodik (örneğin yılda en az bir kez) güncelleme takvimi oluşturulur.

4. Veri Güvenliği Nedir? (İdari ve Teknik Tedbirler)

KVKK; veri güvenliğini, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve verilerin muhafazasını sağlamak için gerekli her türlü idari ve teknik tedbirin alınması yükümlülüğü olarak tanımlar.

Bu çerçevede veri sorumluları, kişisel verilerin işlendiği sistemlerin bulunduğu fiziksel ve dijital ortamların güvenliğini sağlamakla yükümlüdür. Yükümlülük; sadece teknik bir BT faaliyeti değil, aynı zamanda süreç, insan ve sözleşme yönetimini de kapsayan bütüncül bir risk yönetimi yaklaşımıdır.

KVKK Kurulu kararları; veri ihlali sonrasında değerlendirilen en önemli kriterlerden birinin, idari ve teknik tedbirlerin etkinliği olduğunu açıkça göstermektedir. Bu nedenle envanter, sadece “ne işliyoruz?” sorusuna değil, “nasıl koruyoruz?” sorusuna da yanıt vermelidir.

5. Veri Güvenliği İçin Alınacak İdari Tedbirler

İdari tedbirler, veri sorumlusunun organizasyonel yapısı, süreçleri ve insan kaynağı üzerinden kurgulanan kontrollerdir. Sektör, ölçek ve faaliyet alanına göre çeşitlilik göstermekle birlikte, asgari düzeyde aşağıdaki adımlar önerilir:

• Risk ve tehdit analizi: Kişisel verilerin çalınması, izinsiz aktarılması veya envanter dışı işlenmesine ilişkin risk ve tehditlerin belirlenmesi, risk kayıtlarının oluşturulması.
• Eğitim ve farkındalık: Tüm çalışanlara; KVKK, bilgi güvenliği, veri ihlali bildirim süreci ve sosyal mühendislik konularında düzenli eğitim verilmesi, yeni başlayanlar için oryantasyona dâhil edilmesi.
• Politika ve prosedürler: Bilgi güvenliği, kişisel veri güvenliği, saklama ve imha politikası, erişim yönetimi, temiz masa/ekran, mobil cihaz ve uzaktan çalışma prosedürlerinin yazılı hale getirilmesi.
• Veri minimizasyonu: Gereksiz veri toplamaktan kaçınılması; işleme amacıyla bağlantılı, sınırlı ve ölçülü veri işleme prensibinin (data minimization) tüm süreçlere yansıtılması.
• Sözleşmesel güvence: Dış hizmet sağlayıcıları, tedarikçiler, grup şirketleri ve iş ortakları ile imzalanan sözleşmelere; KVKK uyum, gizlilik ve veri işleyen yükümlülüklerini düzenleyen hükümler konulması.
• Yetki ve rol tanımları: Veri sorumlusu temsilcisi, KVKK irtibat kişisi, bilgi güvenliği sorumlusu gibi rollerin açıkça tanımlanması; görev ve sorumlulukların yazılı hale getirilmesi.

6. Bilgi Güvenliği İçin Alınabilecek Teknik Tedbirler

Teknik tedbirler; kişisel verilerin işlendiği bilgi sistemlerinin, ağ altyapısının ve uygulamaların teknik olarak korunmasına yönelik kontrollerdir. Kurumun büyüklüğüne ve teknoloji mimarisine göre kapsam değişmekle birlikte, temel başlıklar şöyledir:

• Siber güvenlik önlemleri: Güçlü firewall, IDS/IPS, WAF, antivirüs/EDR çözümlerinin konumlandırılması; yamaların güncel tutulması ve zafiyet yönetimi süreçlerinin işletilmesi.
• Sürekli izleme ve loglama: Kişisel verilerin yer aldığı sunucu, uygulama ve ağ bileşenlerinin loglarının tutulması, SIEM veya benzeri çözümlerle izlenmesi; olağan dışı erişimlerin korelasyon kuralları ile tespit edilmesi.
• Düzenli yedekleme: Kritik sistem ve verilerin; yetkili kişilerce erişilebilecek şekilde, şifreli ve mümkünse coğrafi yedekli ortamlara düzenli olarak yedeklenmesi.
• Güncel sistem ve yazılımlar: Destek süresi dolmamış işletim sistemleri ve uygulamalar kullanılması; üretici ve ulusal otoritelerden (USOM vb.) gelen güvenlik duyurularının takip edilmesi.
• Erişim ve kimlik yönetimi: Parola politikaları, çok faktörlü kimlik doğrulama (MFA), yetki matrisi, asgari yetki prensibi ve düzenli erişim gözden geçirme süreçlerinin uygulanması.
• Şifreleme ve maskeleme: Taşınabilir ortamlar, dizüstü bilgisayarlar ve bulut ortamlarında kişisel verilerin uygun kriptografik yöntemlerle şifrelenmesi; rapor ve ekranlarda veri maskeleme yapılması.

Veri sorumlularının, yaşanacak bir veri ihlalinde yalnızca ilgili kişiye değil, Kişisel Verileri Koruma Kurumu’na ve kamu otoritelerine karşı da sorumluluk taşıdığı unutulmamalıdır.

7. Kişisel Veri İşleme Envanteri ve VERBİS İlişkisi

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi); veri sorumlularının kişisel veri işleme faaliyetlerini Kurum nezdinde beyan ettiği, kamuya açık sicil sistemidir. VERBİS formunda yer alan tüm alanlar (veri kategorileri, kişi grupları, alıcı grupları, saklama süreleri vb.) doğrudan kişisel veri işleme envanterine dayanmalıdır.

Sağlıklı bir VERBİS kaydı için önerilen sıralama şöyledir:

1. Önce kurumsal ölçekte kişisel veri işleme envanterinin hazırlanması,
2. Ardından envanterle uyumlu şekilde VERBİS kayıt/beyan sürecinin yürütülmesi,
3. Envanter güncellendiğinde, VERBİS kayıtlarının da eş zamanlı gözden geçirilmesi.

8. Sonuç: Envanter, KVKK Uyum Programının Omurgasıdır

Kişisel veri işleme envanteri; yalnızca VERBİS formunu doldurmak için hazırlanmış bir tablo değil, kurumun veri işleme gerçekliğini ortaya koyan stratejik bir yönetim aracıdır. Doğru kurgulanmış bir envanter:

• KVKK uyum projelerine sağlam bir başlangıç noktası sağlar,
• Risk analizi, saklama-imha, aydınlatma metinleri ve sözleşmeler için temel referans kaynağı olur,
• Denetim, inceleme ve veri ihlali gibi durumlarda kuruma şeffaflık ve savunma imkânı sunar.

Türkiye’de KVKK ve VERBİS yükümlülüklerinin giderek daha sık denetlendiği bir ortamda; veri sorumlularının kişisel veri işleme envanterini canlı, güncel ve risk odaklı bir doküman olarak yönetmesi, hem mevzuat uyumu hem de kurumsal itibarı korumak açısından kritik öneme sahiptir.