Kişisel Veri Envanteri

Veri Sorumluları Sicili Hakkında Yönetmelik’in ilgili maddesine göre VERBİS’e kayıt yükümlülüğü olan Veri Sorumluları Kişisel Veri Envanterini hazırlamak ve hatta sicil başvurularını bu envantere göre yapmakla yükümlüdürler. Bir diğer deyişle, VERBİS başvurusu için öncelikli olarak işletmenin/ şirketin yahut kurumun Kişisel Veri Envanteri’nin oluşturulması gerekmektedir.

Veri Sorumluları Sicili Hakkında Yönetmelik

MADDE 5 – (1) Sicilin oluşturulması, idaresi ve gözetimi hususunda aşağıdaki ilke, usul ve esaslara uyulur:
ç) Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.

Kişisel Veri Envanteri veri sorumlusunun kendi bünyesinde kalacak ve kamuya açık olmayacaktır. Ancak, Kişisel Verileri Koruma Kurumu tarafından talep edilmesi durumunda Envanterin Kuruma ibraz edilmesi gerekmektedir. Ayrıca, ilgili kişiler tarafından veri sorumlusuna başvurularda, ilgili kişiye verilecek cevap için Envanterden faydalanılması gerekmektedir.

Aşağıda Veri Sorumluları Sicili Hakkında Yönetmeliğe göre Envanterde asgari olarak bulunması gereken unsurlar aşama aşama belirtilmiştir. Ancak söz konusu başlıklar yönetmeliğin asgari olarak işaret etmiş olduğu unsurlar olup işletme faaliyetinin, konusunun, hacminin ve niteliğinin gerektirdiği ölçüde bu unsurlara ek olarak ( bilgi girişi yapan kişi,  faaliyetin adı, faaliyetin açıklaması,  Kanunun 5. maddesindeki işleme şartı, işlenen özel nitelikli kişisel veri kategorisi, işlenen özel nitelikli kişisel veri, Kanunun 6. maddesindeki işleme şartı, kişisel verisi işlenenlere ilk elde etme esnasında aydınlatma yapılıp yapılmadığı, kişisel verinin elde edildiği kaynak, elde etme yöntemi,  biriminiz dışında bu veriye erişenler, saklama amacı, periyodik imha süresi, aktarma amacı, kişisel veri aktarımının hukuki sebebi, kişisel veri aktarım yöntemi, özel nitelikli kişisel veri aktarımının hukuki sebebi, özel nitelikli kişisel veri aktarım yöntemi, alınan idari tedbirler, alınan teknik tedbirler, özel nitelikli kişisel veriler için alınan yeterli önlemler gibi) ilave hususların da envantere dahil edilmesi gerekmektedir.

Kişisel Veri Envanteri oluşturmak için takip edilmesi gereken asgari aşamalar:

1) Süreç veya Faaliyet Bazında Kişisel Verilerin Tespiti

2) Tespit Edilen Kişisel Verilerin Niteliklerinin Belirlenmesi

3) İşlenen Kişisel Verinin Hukuki Sebebinin Tespiti

4) Kişisel Veri İşleme Amaçlarının Tespiti

5) Veri Konusu Kişi Grubunun Belirlenmesi

6) İşlenen Kişisel Verilerin Saklama Süresinin Belirlenmesi

7) İşlenen Kişisel Verilerin Aktarıldığı Alıcı / Alıcı Gruplarının Belirlenmesi

8) Yabancı Ülkelere Aktarılan Kişisel Verilerin Belirlenmesi

9) İşlenen Kişisel Veriler İçin Alınan Teknik ve İdari Tedbirlerin Belirlenmesi