Kişisel Verilerin Korunması Kanunu hükümlerine göre, Kişisel Verileri Koruma Kurulu tarafından belirlenen avukatlar, mali müşavirler, gümrük müşavirleri gibi istisnalar hariç olmak üzere, kişisel verileri işleyen gerçek ve tüzel kişiler, Kişisel Verileri Koruma Kurulu tarafından tutulan Veri Sorumluları Siciline kaydolmakla yükümlüdür. Veri sorumluları siciline kayıt yükümlülüğünün yerine getirilebilmesi için Kişisel Verileri Koruma Kurumu tarafından Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) hazırlanmış ve hizmete sunulmuştur.
Veri Sorumluları Siciline kaydolurken, Kişisel Verilerin Korunması Kanunu uyarınca, veri sorumlusu tarafından, veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler ve kişisel verilerin işlendikleri amaç için gerekli olan azami süre belirtilmesi gerekmektedir.
Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca ise, Veri Sorumluları Siciline kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Ayrıca, Veri Sorumluları Siciline yapılacak başvurularda, veri sorumluları tarafından verilen bilgiler Kişisel Verileri İşleme Envanterine uygun olacaktır. Buna göre, Veri Sorumluları Siciline kaydolmakla yükümlü veri sorumluları, VERBİS aracılığı ile sicile kaydolurken, Kişisel Verileri İşleme Envanterine uygun olarak gereken bilgileri sağlayacaktır. Kişisel Veri İşleme Envanteri ve VERBİS aracılığıyla veri sorumluları tarafından bildirilen bilgiler temelde benzer olmakla birlikte, bazı konularda farklılık göstermektedir. Bu yazımızda, Kişisel Veri İşleme Envanteri ve VERBİS üzerinden yapılan bildirim arasındaki farkları kısaca açıklamaya çalışacağız.
Bu farklılıklardan ilki, Kişisel Veri İşleme Envanteri ve VERBİS üzerinden yapılan bildirim kapsamında yer alan bilgilere ilişkindir. Buna göre, VERBİS’te veri kategorileri temel alınarak veri sorumlusu tarafından kişisel veri işlenip işlenmediği ve işleniyorsa bu veri kategorilerinin hangi amaçlarla işlendiği, aktarım olup olmadığı, aktarım yapılan alıcı grupları, varsa saklama süresi, ilgili kişiler ve alınan güvenlik tedbirleri konusunda bilgiler yer alması gerekirken, Kişisel Veri İşleme Envanteri kapsamında veri sorumlusunun iş süreçleri ve faaliyetleri temel alınarak, kişisel veri içeren tüm fiziksel veya elektronik ortamlarda işlenen kişisel verilerin her biri için ayrı ayrı olmak üzere, hangi amaç ve hukuki gerekçelerle işlendiği, aktarım olup olmadığı, aktarım yapılan üçüncü taraflar, saklama süreleri, veri konusu kişi grupları ve alınan güvenlik tedbirleri ile ilgili bilgiler yer almalı ve bu bilgiler detaylı bir şekilde açıklanmalıdır. Örneğin, bir veri sorumlusu tarafından ilgili kişilerin parmak izi işleniyorsa, bu durum VERBİS kaydında biyometrik veri kategorisi altında işleme amacı, veri saklama süresi ve veri konusu kişi grupları ile birlikte beyan edilecek ve biyometrik verileri ile sınırlı olmamak üzere genel olarak alınan tedbirler belirtilecektir. Bununla birlikte, Kişisel Veri İşleme Envanterinde işleme amacı, veri saklama süresi ve veri konusu kişi gruplarına ek olarak parmak izinin hangi departman tarafından, hangi süreç ve faaliyet kapsamında işlendiği ve parmak izinin işlenmesine dair özel olarak alınan idari ve teknik tedbirler belirtilecek ve belirtilen bu bilgiler ayrıntılı bir şekilde açıklanacaktır.
Bir diğer fark, Kişisel Verilerin Korunması Kanunu uyarınca Kişisel Verileri Koruma Kurumu tarafından tutulan Veri Sorumluları Sicili kamuya açık ve herkes tarafından ulaşılabilir hâldeyken, veri sorumlusu tarafından hazırlanan Kişisel Veri İşleme Envanterinin kamuya açıklanmak zorunluluğunun bulunmamasıdır. Bununla birlikte, Kişisel Verileri Koruma Kurulu tarafından talep edilmesi durumunda, Kişisel Veri İşleme Envanterinin veri sorumlusu tarafından ibraz edilmesi gerekmektedir. Ayrıca, veri sorumlusu tarafından Kişisel Veri İşleme Envanterinin, örneğin kurumsal internet sitesi aracılığıyla, kamuya açık hâle getirilmesine bir engel bulunmamaktadır.
Son olarak, VERBİS üzerinden yapılan bildirim için Kişisel Verileri Koruma Kurumu tarafından belirli bir sistem ve formlar hazırlanmışken, Kişisel Veri İşleme Envanteri için herhangi bir şekil şartı öngörülmemiş veya Kişisel Verileri Koruma Kurumu tarafından bir yönlendirme yapılmamıştır. Kişisel Veri İşleme Envanteri, herhangi bir formatta hazırlanabilecek ve gerekli bilgileri içermek kaydıyla herhangi bir şekil şartına tabi olmayacaktır.
