Kişisel Verilerin Korunması Kanunu hükümlerine göre, Kişisel Verileri Koruma Kurulu tarafından belirlenen avukatlar, mali müşavirler, gümrük müşavirleri gibi istisnalar hariç olmak üzere, kişisel verileri işleyen gerçek ve tüzel kişiler, Kişisel Verileri Koruma Kurulu tarafından tutulan Veri Sorumluları Siciline kaydolmak zorundadır. Veri Sorumluları Sicili Hakkında Yönetmelik’in 5’inci maddesinin 1’inci fıkrasının (ç) bendi uyarınca ise, Veri Sorumluları Siciline kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür.
Kişisel Veri İşleme Envanteri, Kişisel Verileri Koruma Kurulu tarafından hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik ile Veri Sorumluları Sicili Hakkında Yönetmelik kapsamında “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter” olarak tanımlanmıştır.
Kişisel Veri İşleme Envanterinin amacı, kişisel veri işleme faaliyetinin ve bunun ile ilgili bütün süreçlerin Kişisel Verilerin Korunması Kanunu’na uygunluğunun sağlanması ve kanuna aykırı olarak kişisel veri işleme durumlarının tespit edilebilmesi amacıyla veri sorumlusunun kendini denetlemesini sağlamaktır.
Veri Sorumluları Siciline yapılacak başvurularda veri sorumluları tarafından verilen bilgiler Kişisel Verileri İşleme Envanterine uygun olacaktır. Ayrıca, veri sorumluları tarafından aydınlatma yükümlülüğü yerine getirilirken, ilgili kişi tarafından veri sorumlusuna yapılan başvurular cevaplanırken ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamı belirlenirken, Kişisel Verileri İşleme Envanterine uygun olarak Veri Sorumluları Sicilinde beyan edilen bilgiler esas alınacaktır. Buna ek olarak, Veri Sorumluları Siciline kaydolmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Dolayısıyla, Kişisel Veri İşleme Envanterinin Kişisel Verilerin Korunması Kanunu ve ilgili yönetmelikler uyarınca veri sorumlusu tarafından yerine getirilecek yükümlülükler için bir dayanak belge olduğundan bahsedilebilecektir.
Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca, Kişisel Veri İşleme Envanteri kapsamında aşağıda yer alan bilgilerin yer alması gerekmektedir:
- Veri kategorisi
- Kişisel veri işleme amaçları ve hukuki sebebi
- Aktarılan alıcı/alıcı grupları
- Veri konusu kişi grupları
- Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi
- Yabancı ülkelere aktarımı öngörülen kişisel veriler
- Veri güvenliğine ilişkin alınan teknik ve idari tedbirler
Kişisel Verileri Koruma Kurumu tarafından Kişisel Verileri İşleme Envanteri Hazırlama Rehberi hazırlanmış ve Kişisel Verileri İşleme Envanteri örneği ile birlikte Kişisel Verileri Koruma Kurumunun resmî internet sitesinde yayımlanmıştır. Bu rehbere göre, yukarıda sayılan ve asgari olarak bulunması gereken bilgilerin yanı sıra, Kişisel Verileri İşleme Envanteri kapsamında departman adı, birim adı, bilgi girişi yapan kişi, süreç adı, faaliyetin adı, faaliyetin açıklaması, işlenen kişisel veri kategorisi, işlenen kişisel veri, kişisel verileri işleme şartı, işlenen özel nitelikli kişisel veri kategorisi, işlenen özel nitelikli kişisel veri, özel nitelikte verileri işleme şartı, kişisel verisi işlenenlere, kişisel verilerin ilk elde edilmesi esnasında aydınlatma yapılıp yapılmadığı, kişisel verinin elde edildiği kaynak, elde etme yöntemi, saklandığı elektronik ortam, saklandığı fiziksel ortam, birimi dışında bu veriye erişenler, saklama amacı, periyodik imha süresi, aktarma amacı, kişisel veri aktarımının hukuki sebebi, kişisel veri aktarım yöntemi, özel nitelikli kişisel veri aktarımının hukuki sebebi, özel nitelikli kişisel veri aktarım yöntemi, alınan idari tedbirler, alınan teknik tedbirler ve özel nitelikli kişisel veriler için alınan yeterli önlemlere yer verilebilir.
Kişisel Verileri İşleme Envanteri hazırlanmadan önce, öncelikle veri sorumlusu tarafından yürütülen süreçler ve gerçekleştirilen faaliyetler kapsamında hangi kişisel verilerin işlendiğinin ve bu kişisel verilerinin niteliğinin tespit edilmesi gerekmektedir. Örneğin, insan kaynakları tarafından yürütülen işe alım sürecinde, adayların hangi kişisel verilerinin işleneceği ve bu işlenecek kişisel verilerin ilgili kişinin sağlığı, dini, etnik kökeni, ceza mahkumiyeti, sendika üyeliği vs. gibi özel nitelikli kişisel veri olup olmadığı veri sorumlusu tarafından tespit edilecektir.
Kişisel Verilerin Korunması Kanunu kapsamında belirtilen genel ilkeler uyarınca, veri sorumluları, kişisel verileri belirli, açık ve meşru amaçlar için ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlemekle yükümlüdür. Dolayısıyla, Kişisel Verileri İşleme Envanteri hazırlanmadan önce, kişisel verileri işleme amaçlarının ve hukuki sebeplerinin tespit edilmesi ve bu hukuki sebeplerin Kişisel Verilerin Korunması Kanunu kapsamında sayılan veri işleme şartlarına uygun olması gerekmektedir. Örneğin, e-ticaret alanında faaliyet gösteren bir veri sorumlusu, müşterilerinin e-posta adreslerine ve cep telefonlarına promosyon mesajı gönderecekse, kişisel veri işleme amacının reklam ve promosyon olduğunun ve bu işleme faaliyeti için açık rızanın alınması gerektiğinin tespit edilmesi gerekmektedir.
Yukarıda sayılanlara ek olarak, veri sorumlusu tarafından, veri işleme ile ilgili olarak veri konusu kişi grupları, işlenen kişisel verilerin saklanma süreleri, kişisel veriler aktarılacaksa verilerin aktarıldığı alıcı/alıcı grupları, yabancı ülkelere aktarılan kişisel veriler ve işlenen kişisel veriler için alınan teknik ve idari tedbirler belirlenmeli ve belirlenen bu bilgilere göre veri sorumlusu tarafından Kişisel Verileri İşleme Envanteri hazırlanmalıdır.