Kişisel veri işleme envanteri nedir?
Kişisel veri işleme envanteri (GDPR m.30’da “ROPA”); bir organizasyonun kişisel veriyle yaptığı her şeyin yapılandırılmış dökümüdür: hangi süreç hangi veri kategorisini, kim hakkında, hangi amaçla, hangi hukuki sebeple işliyor; kiminle paylaşılıyor, nereye aktarılıyor, ne kadar saklanıyor, nasıl korunuyor. Omurga belgedir — diğer her gizlilik çıktısı (aydınlatmalar, rızalar, VERBİS kayıtları, DPIA’lar) ona mutabık olmalıdır.
Türkiye kıvrımı: envanter VERBİS’i besler
KVKK ikincil mevzuatına göre VERBİS’e kayıt yükümlüsü veri sorumluları işleme envanteri tutmak zorundadır ve VERBİS’te kamuya beyan ettikleri kategoriler envanterden türetilir. Bu, Türkiye’ye özgü bir tutarlılık tuzağı yaratır: envanter, VERBİS kaydı ve aydınlatma metni ayrıştığında — üretimde olan ama üçünde de görünmeyen yeni bir analitik tedarikçisi gibi — her boşluk ayrı ayrı yazılabilir bulgudur. Envanter saklamayı da sabitler: imha politikasındaki süreler envanter satırlarına geri izlenebilmelidir.
Denetimden sağ çıkan envanter nasıl kurulur?
Üç ilke. Veritabanlarını değil süreçleri envantere alın — “aday işe alımı,” “destek talepleri,” “model eğitimi”; her biri verisi, sebebi ve alıcılarıyla; sistemler amaçlardan hızlı değişir. Sahip atayın — yaşayan belge satır başına isim ister ve alt işleyici listesiyle üç aylık karşılaştırma. Ve iki okuyucu için birden yazın: düzenleyici (tamlık, sebepler) ve gelecekteki diligence ekibi (envanter, alıcının istediği ilk gizlilik belgesidir; yokluğu başlı başına bulgudur).
Envanter startup için zorunlu mu?
GDPR’da m.30 yükümlülüğü, işleme arızi olmaktan çıktığı anda geniş uygulanır; KVKK’da envanter yükümlülüğü VERBİS’e kayıtlı sorumluları bağlar — ama diligence görecek her şirket, yükümlülükten bağımsız tutmalıdır.
ROPA ile DPIA farkı nedir?
ROPA her şeyi envanter düzeyinde haritalar; DPIA tek bir yüksek riskli işlemenin derin risk analizidir. Nerede DPIA gerektiğini size ROPA söyler.
İlgili: VERBİS, veri sorumlusu.