Kişisel  verileri  koruma kanuna istinaden  verbis kayt işlemei gerçekleştirildekten sonra kurumun ihtiyaçların  belirlenmesi yönelik kişisel verileri oluşturabilmesi için bir envanter çalışması yapması gerekecektir.
Kişisel verileri hazırlama  verbisten ten farklı olarak detay bilgi olarak nitelendirebiliriz.Verbis  sisteminde  bu durum ise kategori bazında değerlendirilmektedir.Kişisel verileri hazırlama  envanter kanunda belirtildiği üzere envanter, 30.12.2017 tarihli Resmi Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 4. maddesi 1. fıkrası (h) bendinde tanımlanmıştır. (28.04.2019 tarihli Resmi Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin 1. maddesi ile bentte değişiklik yapılmıştır.)
 Kişisel verileri koruma envanterinde örnek ile devam edecek  olursak içinde  bulunması bilgileri anlatmaya çalışacağım.

Kişisel verileri koruma kanuna istinaden kabahatlar ve yaptırımlar  kanunun ilgili maddelerinde  yer verilmiştir.Kanuna  ilişki cezalar  ve yaptırımlar şu şekilde özetleyebiliriz.

Kişisel verileri kaydedilmesi  1 yıldan 3 yıla kadar hapis cezası.
Özel  nitelikli verilerin kaydedilmesi 1.5 yıldan 4.5 yıla kadar
Verileri hukuka aykırı şekilde ele geçirme veya yayınlama 2 ile 4 yıl arası hapis cezası.
Saklanan verileri yok etmeme  1 yıldan 2 yıla kadar hapis cezası.

Kişisel veri güvenliği politikaları ve yönergelerin firma içinde hazır hale getirilmesi izlenmesi gereken prosedürlerinin  belirlenmesi öncelikli sıralamaların belirlenmesi gerekmektedir.Bu sebeble veri sorumlusunun alacağı riskleri ön araştırma yapılıp hazır hale getirilmesi   ve bunu bir sistem halinde firma  kuralları olarak belirlenmesi gerekir.Konuyu biraz açmak gerekırse  personel işe alı yapılmakta bu personele vereceği Tc nosu adı soyadı gibi bilgilerin  firma içinde kullanılacağı özel veri olarak nitelendirdğimiz  kan grubu cinsiyet ırk din ,dil gibi bilgileri  özlük dosyası  olarak saklanacağı bilgisini paylaşmalı işten çıktıktan sonra bilginin  anonim hale gelmesi gerektiği veya ne zaman olacağı bilgileri belirtilmeledir.

Kişisel veri güvenliği temelini oluşturan bilgidir.Kurumun içindeki bilginin nasıl elde edileceği ve bu bilgilerin nasıl derlenmesi gerektiği ve nasıl korunacağı bir prosedüre  bağlanmalıdır.Teknolojik hızla  ilerlediği çağımızda bilgi önemli olduğu kadarıyla  bilginin saklanması ve korunması ayrı bir önem taşımaktadır.Firma içindeki bilgiyi nasıl korumamız gerektiği neler yapılması gerektiği firma içi işleyiş prosedürünün  belirlenmesi  son derece önemlidir.Günümüz bilgi güvenliği  denilince  aklımıza  sadece  antivirüs yazılımları gelmemesi gerekir.Bilgi  koruma yönetme işlemleri tek bir ürün ve yazılımla yapmak oldukça zordur.Bu işlemleri yapılabilmesi için öncelikle firma iç yapısı incelenmesi gereken testlerin yapılması açıklıkların tespit edilmesi başlıca yollardır.

Kişisel  veri kanunu hayatımıza girmesiyle birlikte  verinin işlenmesi ile birlikte hayatımızda giren kavramlardan açık rıza kavramıdır.Açık rıza kavramı  kişinin konuya ilşki bilgiyi açıklayıcı şekilde kendisine anlatılması sunulması olarak tanımlanmıştır.Anayasamızın 20. maddesinde  3 .fıkrasında kişisel olarak nitelendirilen verinin açık rızası alınarak işleneceği kanun altında belirtilmiştir.Kanun yapıcının belirtmiş olduğu hem kişisel veri hemde nitelikli verinin nasıl açıkrıza kavramında alınacağı belirtilmiştir.

Kanunda belirtilmesiyle birlikte kişisel veri açık rıza olmadan  işlenemez.

Özel nitelikli veri açıkrıza olmadan işlenmesi suçtur.
Kvkk belirtildiği  üzere  açık rıza olmaan yurtdışına çıkarılması suçtur.
Açık rıza kavramı kvkk kanununda belirtildiği üzere kendi isteği veya karşı tarafın onayıyla mümkün hale gelmiştir.Kvkk kanunda  açık rızanın 3 unsuru bulunmaktadır.

Kvkk belirtildiği üzere belli konuya ilşkin olması.
Kvkk da belirtildiği üzre rızanın bilgilendirmeye dayanması.
Özgür iradeyle açıklanması