Veri envanteri, bir organizasyonun veri yönetim süreçlerinin temelini oluşturan ve veri güvenliği stratejilerinin etkinliğini doğrudan etkileyen kritik bir çalışmadır. Kişisel verilerin korunması açısından veri envanterinin önemi ve gereklilikleri şu şekilde özetlenebilir:
Veri envanteri oluşturma süreci, organizasyonun veri işleme faaliyetlerinin tam bir resmini sunar ve bu sayede hem yasal uyumluluğun sağlanması hem de veri güvenliği açısından alınması gereken tedbirlerin belirlenmesi mümkün olur.
Veri envanteri hazırlamanızın temel nedeni, veri sorumlularının iş süreçlerinde Kanuna uyumluluk sağlamak için gerekli altyapıyı oluşturmaktır. Bu envanter, kanuna aykırı bir kişisel veri işlemenin olup olmadığını tespit etmeyi kolaylaştırır. Aynı zamanda, kişisel veri işleme faaliyetlerinin Kanuna uyumlu olup olmadığını kontrol etme imkânı sunar.
Kişisel verilerin korunması açısından teknik ve idari tedbirlerin alınması büyük önem taşır. Bu bağlamda, veri varlıklarının doğru şekilde sınıflandırılması süreci kolaylaştırır. Yasal düzenlemeler, veri envanteri hazırlama zorunluluğunu getirir.
GDPR, veri envanteri hazırlama zorunluluğu getirmez, ancak sürecin doğası gereği veri envanteri hazırlamak gereklidir. GDPR, hangi verilerin yönetildiğini, kayıt edildiğini ve paylaşıldığını sorgular. 250’den fazla çalışanı olan işletmeler, veri işleme faaliyetleri kayıt defterini tutmak ve denetimlerde göstermek zorundadır.
GDPR Madde 30’un Gereklilikleri:
Bu maddeler, GDPR ve KVKK’ya uyumluluk için gereklidir ve veri envanteri hazırlığı sürecinde dikkate alınmalıdır
1. Veri Tutma (Kaydetme ve Saklama)
Verilerin hangi sistemlerde, hangi lokasyonlarda tutulduğunun tam olarak bilinmesi, veri güvenliğinin sağlanması ve kanunlara uyum açısından büyük önem taşır.
• Sistemlerde Tutulan Kayıtlar:
- Örnek: Müşteri sözleşmeleri İstanbul lokasyonundaki "ABC" isimli cloud server'da saklanmaktadır.
- Veri Saklama Lokasyonu: Verilerin fiziksel veya bulut tabanlı olarak nerede tutulduğu, yedekleme süreçleri ve veri kaybını önleme stratejileri ile birleştirilmelidir.
- Verilere Erişim Yetkisi: Bu verilere kimlerin erişimi olduğu belirlenmelidir. Örneğin, sadece üst düzey yöneticiler veya belirli departmanların erişimi olmalıdır.
- Erişim Yetkisi Örneği: Ankara'daki sunucumuzdaki tedarikçi kayıtlarına yalnızca satın alma ve IT departmanındaki yetkilendirilmiş kişiler erişebilir. Bu kişiler, sadece "görüntüleme" veya "düzenleme" gibi belirli yetkilere sahiptir.
2. İşlem Kayıtları (Veri İşleme Kayıtları)
Veri işleme kayıtları, GDPR gibi düzenlemeler kapsamında son derece önemlidir. Bu kayıtlar, verilerin neden ve nasıl işlendiğini belgelemek için gereklidir.
Bu bilgiler, veri güvenliğinin sağlanması, veri minimizasyonu ilkesi ile uyumlu olunması ve yasal düzenlemelere tam uyumun sağlanması açısından kritik önem taşır. Veri tutma ve işleme süreçlerinde bu bilgilerin eksiksiz ve doğru bir şekilde kaydedilmesi ve denetlenmesi, GDPR ve KVKK gibi düzenlemelere uyum sağlamak için gereklidir.
