Bu denetim, şirketin işlediği tüm kişisel verilerin türünü, kapsamını, işleme amaçlarını ve veri işleme süreçlerini tespit etmeyi amaçlar. KVKK ve GDPR kapsamında gerekli olan kişisel veri envanteri oluşturma süreci sistematik olarak değerlendirilir. Her iş biriminin yürüttüğü süreçlerde kişisel verilerin hangi yöntemlerle toplandığı, ne süreyle saklandığı ve kimlerle paylaşıldığı analiz edilir. Bu sayede veri akış haritaları çıkarılır ve veri işleme faaliyetlerinin şeffaflığı sağlanır. Uyum seviyesi belirlenerek gerekli güncellemeler için yol haritası sunulur.
Kişisel verilerin hukuka uygun şekilde işlenebilmesi için gereken açık rıza beyanları, aydınlatma metinleri ve veri saklama politikalarının varlığı, içeriği ve güncelliği bu denetimin temelini oluşturur. Denetimde, rıza metinlerinin ilgili veri işleme faaliyetleriyle uyumlu olup olmadığı, aydınlatma yükümlülüğünün yerine getirilip getirilmediği kontrol edilir. Ayrıca saklama ve imha süreçleri, belirli sürelerle sınırlı ve izlenebilir bir biçimde yönetiliyor mu sorusuna cevap aranır. Şirketin veri yaşam döngüsüne bütüncül bir bakış kazandırılır. Mevzuata uyumsuzluklar tespit edilirse, revize edilmesi gereken dokümanlara ilişkin rehberlik sağlanır.
Veri ihlallerinin önlenmesi kadar, ihlal durumunda şirketin izlemesi gereken prosedürlerin varlığı da KVKK ve GDPR açısından kritik öneme sahiptir. Bu denetim kapsamında veri ihlali olasılıklarına karşı şirketin önceden hazırladığı acil müdahale planları, ihlal tespit ve raporlama mekanizmaları, kurul bildirim süreçleri değerlendirilir. Şirketin veri sorumlusu olarak yükümlülüklerini yerine getirip getirmediği, yasal sürelerde bildirim yapabilme kapasitesi analiz edilir. Aynı zamanda iletişim planı ve kriz yönetim stratejilerinin yeterliliği kontrol edilir. Denetim sonucunda veri ihlallerine karşı daha hazırlıklı ve şeffaf bir yönetim yapısı kurulması hedeflenir.
Kişisel verilerin işlenme amacı ortadan kalktığında veya mevzuatın öngördüğü süre sona erdiğinde, bu verilerin imha edilmesi gerekmektedir. Denetimde, şirketin veri silme, yok etme ve anonimleştirme süreçleri kontrol altına alınır. Fiziksel ve dijital ortamdaki verilerin güvenli biçimde imha edilip edilmediği, arşivleme politikalarının güncelliği ve erişim sınırlamaları değerlendirilir. İmha işlemlerinin kayıt altına alınması ve düzenli periyotlarla denetlenmesi gereklilikleri ele alınır. Bu süreç sayesinde hem veri güvenliği sağlanır hem de yasal yaptırımların önüne geçilmiş olur.
