Hukuk eğitimi olmayan bir sağlık bilişimi uzmanı olarak kişisel veri envateri hakkında bir mantıksal çerçeve çalışması ve bir kaç öneri.
Kişisel veri envanteri KVKK yasası esas alınarak hazırlanan “Veri Sorumluları Sicili Hakkında Yönetmelik” hayatımıza giren ama geçen 2 sene içerisinde en belirsiz kalan konulardan biridir. Bu yazımda önce ulusal yasalardaki gereksinim ve gerekçeleri GDPR’a değinerek inceleyeceğim. Yazımın sonunda hazırladığım bir kişisel veri envanterini mantıksal çerçevesi ile birlikte paylaşacağım. Bunun bir deneme çalışması olduğunu baştan itiraf etmem gerekiyor çünkü nihai sözü yasalar gereği Kişisel Verileri Koruma Kurulu verecek.
Her ne kadar Ocak 2018’de yayınlanan bilgilendirme notunda;
Kanun ve Yönetmelikte söz konusu envanter için herhangi bir şekil şartı belirlenmemiştir. Kişisel Veri İşleme Envanteri, kolayca erişilebilir, veri sorumlusunca arzu edilen metin veya liste gibi bir formatta, veri sorumlusu ve yaptığı kişisel veri işleme faaliyetlerine ilişkin doğru bilgi sahibi olunabilecek düzeyde olmalıdır.
demiş olsalar da bunun uzun süreli geçerli olacağını düşünmüyorum. Ulusal anlamda bir standardizasyonun getirilmesi kaçınılmazdır. Belki ulusal veri envanteri yayınlandığında tespitlerimin ne kadar doğru olduğunu birlikte değerlendirebiliriz.
Her şeyden önce şunu özellikle belirtmeliyim ki ben bir avukat ya da hukukçu değilim. Sadece konu hakkında fikir yürüten bir bireyim. Bu yazıya duyduğum ihtiyaç da Türkçe kaynakların hep birbirini taklit eden metinlerden oluşmasından dolayıdır. Girişi daha fazla uzatmadan başlamak gerekirse…
***
Envanter kavramına en çok muhasebe uygulamaları ve işletmelerde karşılaşırız. Genellikle stok ve paranın girdi ve çıktısının işlendiği bütçe ve defterlerin hazırlanmasında kullanılan bir belge olarak karşımıza çıkar. Tablonun bir tarafında (+) ile gelen mal ve para; diğer tarafında (-) ile çıkan mal ve para işlenir. Bu şekilde bir akış ortaya çıkar. Mal ve paranın envanter işlenmesi nispeten kolay bir işlem: Çünkü şirket iç faaliyetlerinde mal ve paranın nesnesi çoğalmaz, yasal yollarla artırılamaz. Gelen birim ya çıkar ya da tüketilir. Matematiğin 2 işlevi, toplama ve çıkarma, ile bütün süreç yürütülebilir.
Söz konusu bilgi daha doğru bir ifade ile veri olduğunda artık tükenmesi neredeyse mümkün olmayan girdiyle çoğalan, çıktı (paylaşma, gönderme vb.) ile daha da çoğalan bir nesne (varlık – entite) ile uğraşmak zorunda kalırız. Peki tükenmeyen bir varlığı envanterini var olan kurallar kapsamında nasıl tutabiliriz ki? Cevabı basit gözüktüğü kadar zordur: Yeni bir envanter konsepti ile.
İnceleyeceğimiz bu envanter artık matematiğin iki işleminde uzakta bir yapı olmak zorundadır. Özellikle envanteri tutulması gereken varlık, sosyal bileşenleri olan bir varlıksa; durum çok yönlü ve bir o kadar karmaşık bir hal alır. Zaten mevzuat da bunu desteklemektedir:
Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri
Yukarıdaki tanım göz önüne alındığında sosyal bir varlık olarak görmemiz gereken kişisel verilerin;
- Bir TOPLANMA AMACI,
- Benzerleriyle toplandığı bir aile ait olan KATEGORİsi,
- Varlığını oluşturan bir KİŞİ ya da KİŞİ GRUBU,
- Kullanıldığı hatta bu amaçla paylaşıldığı hatta yabancı bir ülkede ikamet edebilen bir ALICI GRUBU,
- Anlam ifade etmesi için bir İŞLEME AMACI ve işleme AZAMİ SÜRESİ,
- Son olarak bu hassas varlığın korunması için VERİ GÜVENLİĞİNE İLİŞKİN TEDBİRLERİ vardır.
Abdullah Ömer Şeker 