Kişisel verilerin korunması kanunu’na uyum projelerinde, envanter oluşturma işlemine genellikle kurumun iş süreçlerinin analiz edilmesi ile başlanılır.

Ki bu doğrudur.

Hatta şöyle söylemek de mümkündür; Kurumun iş süreçleri daha önceden bir yerlere yazılmışsa, bir hizmet envanteri oluşturulmuşsa buradaki verileri kullanarak güzel bir kişisel veri envanteri hazırlamak iyi bir başlangıç olacaktır. Ama kişisel veri envanteri hazırlama süreci bununla sınırlı olmamalıdır.

Vaktin birinde yapılmış ve tamamlanmış olan bir projenin bir takım dökümanlarının ve dolayısıyla içerisindeki kişisel verilerin saklanmasının zararlı olduğu durumlar olabilir.

Kurum içerisindeki KVKK Uyum yönetim ekibi bu bahsettiğimiz bitmiş proje sonrasında istihdam edilmiş bile olabilirler.

Bu kapsamdaki kişisel verileri tespit için iş analizi çalışmaları yeterli olmayacaktır. Belki iş geçmişi analizi benzeri bir başlıkla çalışma yapılmalıdır. Bunun için de -düzensiz bir şekilde bir yere kaydedilmiş bilgilerden ziyade- kurum hafızası dediğimiz neyin nerede olduğunu gösteren bir sisteme ihtiyacınız olabilir. Ama üzgünüm ki şahit olduğum kadarıyla böyle bir sistemi kullanan kurum yok veya çok az.

Geriye ikinci bir seçeneğimiz kalıyor, (belki de en sağlıklı seçenek bu olacaktır); kişisel veri keşif çalışması, namıdiğer “personal data discovery”…

PERSONAL DATA DISCOVERY / KİŞİSEL VERİ TESPİT ÇALIŞMASI

Bu resim için metin sağlanmadı

Kısaca bahsedecek olursak, data discovery çalışması, kurum kayıt sistemlerinde, sunucularda veya kişisel bilgisayarlarda özel maksatlı araçlarla bir tarama işlemi gerçekleştirme işlemidir.

Data discovery ile kişisel nitelik taşıyan veriler tespit edilir, basit bir adresleme ile hangi verinin nerede olduğunu belirten bir rapor çıktısı alınır.

KVKK uyum projesi ekibinin yapacağı bir şey kalır geriye,

Rapordaki kişisel verilerin adreslerini ve ilgili kayıt ortamlarının sorumlularını dikkate alarak incelemek, ilgili sunucudan, PC den vb kayıt ortamından sorumlu olan birim ile birlikte buradaki kişisel verinin ‘ne’ğini, niteliğini, niçinliğini, gerekliliğini ve geçmişini değerlendirerek bir sonuca gitmek.

Benim danışmanlığını yürüttüğüm projelerde, bazen data discovery ile keşfettiğimiz kişisel veri hacminin 10.000 satırın üzerinde bir rapor verdiğine şahit olmuşluğum var.

Böyle bir çalışmada “5.000-10.000-50.000 satırlık rapor” gibi durumların sizi korkutmasına izin vermeyin. Zira bu süreci yönetmek görüldüğü kadar korkutucu değil, yapacağınız tek şey ilgili satırları birimlere göre ayırarak ilgili birim yöneticilerine tevdi etmek…

Hatta ben olsam bu durumu ilgili birim yöneticisine ilettiğim zaman iletinin başlığına aşağıdakileri yazarım; (proje sponsorunu cc’ye ekleyin dememe gerek yok herhalde)

Bu resim için metin sağlanmadı

🙂

“Sayın yönetici,

Daha önce yapmış olduğumuz kişisel veri çalışmasında beyan ettiğiniz veya yüz yüze görüşmelerde biriminizden elde ederek envantere eklettiğimiz kişisel verilerin dışında biriminizle ilgili birçok veriye rastlandı! 

Niçin bunları bize beyan etmediniz veya soru-cevap yaptığımızda bize bildirmediniz?

Bunların iş süreçleri ile ilgisi yoksa niçin hâlâ burada duruyorlar?

Yani kısacası siz düşüneceğinize bırakın onlar düşünsünler.

İnanın kısa süre içerisinde hangi bilginin niçin kalması gerektiği, hangi bilginin neden dolayı orada bulunduğu ve hangi bilginin hangi gerekçeye istinaden silindiğine dair size bir cevap döneceklerdir.

Bu durumda yapacağınız şey basittir;

Kalması gereken kişisel verileri hem birim kişisel veri envanterine hem de merkezi yönetilen kişisel veri envanterine girmek. Şayet kayıt yapılmışsa ve gerekiyorsa VERBİS’te güncelleme yapmak.

BİRİM KAPSAMINDA KİŞİSEL VERİ ENVANTERİ

İnşallah SADECE merkezi anlamda yönettiğiniz bir kişisel veri envanteriniz yoktur.

Veya şöyle söyleyeyim;

Birimlerin kendileri ile ilgili düzenledikleri münferit birer kişisel veri envanterleri vardır ve merkezi envanteriniz bunların birleşiminden oluşuyordur.

Aksi takdirde hangi birimin hangi kişisel veriyi tuttuğunu, ne için tuttuğunu, silip silmediğini sizin takip etmeniz gerekecektir. Hatta birimlerin yaptığı güncellemelerle alakalı bütün işlemler de sizin tarafınızdan takip edilmeye başlanacaktır ki bunu istemezsiniz.

Hem birimlerin konuya ilgisi hem de munferit sorumluluk azalacaktır. 300+ çalışanlı ve kompleks organizasyonlu bir kurumda mümkün de değildir ayrıca.

Bu birim envanteri meselesini basit de olsa bir prosedürle (sorumlulukları tevdi edecek şekilde) halletmenizi tavsiye ederim. Ben öyle yap(tır)ıyorum. Bu, kişisel veri imha ve periyodik güncelleme süreçlerinizi de kolaylaştıracaktır.