info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

KVKK’ya İlk Adım: Kurumunuzda Veri Envanteri Nasıl Oluşturulur?

04 Tem 2025
0

Giriş
Kişisel Verilerin Korunması Kanunu (6698 sayılı KVKK) ile birlikte kurum ve kuruluşlar, sahip oldukları her türlü kişisel veri işleme faaliyetini şeffaflaştırmak ve kayıt altına almak zorunda bırakılmıştır. Veri envanteri; hangi amaçla, hangi kategori verinin, kimler tarafından, ne kadar süreyle ve hangi güvenlik tedbirleriyle işlendiğini gösteren kapsamlı bir dokümandır. Bu makalede, kurumunuzun KVKK yükümlülüklerini yerine getirebilmesi için veri envanterinin nasıl oluşturulacağı adım adım ele alınacaktır.

1. Veri Envanterinin Hukuki Dayanağı ve Önemi

6698 sayılı KVKK’nın 12. maddesi, veri sorumlularına “kişisel verilerin kayıt altına alınması ve gerektiğinde Kurul’a sunulmak üzere envanterinin tutulması” yükümlülüğü getirmektedir. Envanter;

  • Kanuna uygunluğu denetleyen Kişisel Verileri Koruma Kurulu (KVKK Kurulu) tarafından talep edilebilecek,

  • Denetim ve denetim öncesi incelemelerde kurumunuzun tüm veri işleme aktivitelerini şeffaf şekilde gözler önüne serecek,

  • Veri güvenliği risklerinizi tespit edip azaltma imkânı sağlayacak

özelliklere sahiptir. Özetle, veri envanteri KVKK’ya uyum sürecinin belkemiğini oluşturur.

2. Hazırlık Aşaması: Sorumlulukları Belirlemek

Envanter hazırlığının ilk adımı, sorumlu bir ekip ve proje takvimi oluşturmaktır.

  1. KVKK Uyum Ekibi

    • Veri Sorumlusu (genellikle üst düzey yönetici),

    • Hukuk Müşaviri/Veri Koruma Görevlisi (DPO),

    • BT/İdari İşler Sorumluları,

    • İnsan Kaynakları, Pazarlama, Satış, Finans gibi ilgili birimlerden yetkililer.

  2. Yol Haritası ve Takvim

    • Envanter şablonunun seçilmesi veya hazırlanması (örneğin Excel tablosu, uyum yazılımı),

    • Fizibilite toplantıları, birimler arası bilgilendirme,

    • Veri haritalama ve envanter çıktılarının kontrol tarihleri planlanmalıdır.

3. Veri Haritalama: İş Süreçlerini ve Veri Akışını Tespit Etmek

Veri envanterinin temelini, kurum içindeki tüm iş süreçlerinin ve bu süreçlerde kişisel veri akışının tespiti oluşturur.

  1. Süreç Bazlı Analiz

    • İşe Alım Süreci: Aday özgeçmişleri, mülakat kayıtları, sabıka raporu, referans bilgileri

    • Müşteri Süreçleri: Müşteri başvuruları, sözleşme bilgileri, ödeme kayıtları, şikâyet/kayıt formları

    • Satın Alma ve Tedarikçi Yönetimi: Tedarikçi iletişim ve sözleşme verileri

  2. Veri Akış Şeması

    • Her iş süreci için hangi aşamada hangi kişi/birim “hangi veriyi” elde eder, işler, paylaşır, siler veya arşivler belirlenir.

    • Veri kaynağı (e-posta, web form, fiziksel evrak…), veri kategorisi (kimlik, iletişim, finansal, sağlık vb.), veri saklama lokasyonu (sunucu, bulut, dosya dolabı) netleştirilir.

4. Envanter Şablonunun Oluşturulması

Haritalama tamamlandıktan sonra, toplanan verileri düzenli şekilde kaydedeceğiniz bir şablon gerekir. Aşağıdaki alanları içeren bir tablo hazırlanması önerilir:

Alan Adı Açıklama
İş Süreci (Örn. “Müşteri Başvurusu”, “Personel Özlük” vb.)
Veri Kategorisi (Kimlik, iletişim, finansal, sağlık vb.)
Kişisel Veri İşleme Amacı (Hukuki zorunluluk, sözleşmenin ifası, faaliyet takibi vb.)
Dayanak (KVKK m. 5/1 bentleri; örn. “a – açık rıza”, “b – sözleşme” vb.)
Veri Kaynağı (Doğrudan ilgili kişi, başka veri sorumlusu, kamu kurumları)
Veri Alış Yöntemi (Online form, yüz yüze, e-posta, ıslak imza vb.)
İşleyen Kişi/Birim (İnsan Kaynakları, BT, Muhasebe vb.)
Paylaşım Durumu (Hiç paylaşılmıyor, şirket içi, şirket dışı – kimlerle paylaşılır?)
Saklama Süresi (KVKK’da öngörülen veya iç politika gereğince belirlendiği süre)
Güvenlik Tedbirleri (Şifreleme, erişim kontrolü, yedekleme, fiziki koruma vb.)

Bu şablonu kurumunuzun ihtiyaçlarına göre özelleştirebilirsiniz.

5. Verilerin Envantere Kaydedilmesi

  1. Toplantılar ve Görüşmeler: Her birimle birebir veya grup toplantıları düzenleyerek, yukarıdaki tabloyu doldurun.

  2. Doküman İncelemesi: Mevcut prosedürler, sözleşmeler, politika ve yönergeleri kontrol ederek tutarsızlıkları not alın.

  3. BT Destekli Çözümler: Büyük ölçekli veri işleyen kuruluşlar için uyum yazılımları, otomatik keşif ve envanter toplama modülleri iş yükünü hafifletir.

6. Risk Değerlendirmesi ve İyileştirme Önerileri

Envanter tamamlandıktan sonra,

  • Yüksek riskli veri işleme faaliyetleri (ör. sağlık verileri, biometrik veriler, özel nitelikli kişisel veriler)

  • Yetersiz güvenlik tedbirleri

  • Aşırı saklama süreleri

gibi bulguları değerlendirip öncelikli olarak düzeltme planı oluşturun. Örneğin, özel nitelikli verilerin mutlaka şifreli ortamda saklanması, uzun süreli fiziksel arşivlerin imhasına ilişkin prosedür oluşturulması gibi iyileştirmeler hayata geçirilebilir.

7. Envanterin Sürekli Güncellenmesi

KVKK yükümlülüğü sadece “bir kere doldur ve unut” mantığıyla yürütülmemelidir. Kurum faaliyetleri değiştikçe:

  • Yeni iş süreçleri devreye alınır,

  • Farklı hizmetlere ilişkin veri toplama yöntemleri ortaya çıkar,

  • Kişisel veri saklama sürelerinde veya kullanım amaçlarında revizyonlar yapılır.

Bu nedenle periyodik (örneğin yıllık) güncelleme prosedürü belirlemek hayati önem taşır. Güncellemeler; DPO veya ilgili birim sorumlusu tarafından takibi yapılan “Değişiklik Kaydı” ile belgelendirilmelidir.

8. Denetim ve Raporlama

Envanter, denetim hazırlığında ve Kurul incelemelerinde kurumunuzun en güçlü savunma belgesidir. Kontroller;

  • İç denetim ekiplerince periyodik şekilde gözden geçirilmeli,

  • Bağımsız denetim firmalarına de açılarak objektif raporlar alınmalı,

  • Uyum eksikleri hızla tamamlanarak uyum raporları üst yönetime sunulmalıdır.

9. Sonuç ve İyi Uygulama Önerileri

Veri envanteri, KVKK uyumunun belkemiğidir; ihmal edildiğinde hem idari para cezaları hem de itibar kaybı riski doğar. Başarılı bir envanter süreci için:

  1. Üst yönetim desteği sağlamayı,

  2. Çok disiplinli ekipler kurmayı,

  3. Dokümantasyonu eksiksiz tutmayı,

  4. Teknolojik araçlardan yararlanarak süreci otomatize etmeyi,

  5. Sürekli eğitim ve farkındalık programları düzenlemeyi

öneriyoruz. Bu adımlar, kurumunuzu sadece KVKK’ya uygun hale getirmekle kalmaz; kişisel veri güvenliğini kültürel bir değer olarak içselleştirmenize de katkı sağlar. Böylece, rekabet avantajı elde ederken müşterilerinizin ve çalışanlarınızın güvenini pekiştirmiş olursunuz.

, , , , , , , , , , , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button