Veri Sorumluları Sicili
Kişisel Verilerin Korunması Kanununun 16.maddesinde veri sorumluları sicili düzenlenmiştir. Kanunun düzenlemesine geçmeden konu ile ilgili terimlerin tanımlarını vermenin faydalı olacağı kanaatindeyiz.
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak kabul edilmektedir.
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu olarak tanımlanmaktadır.
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiye veri işleyen denilmektedir.
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kişisel verilerin işlenmesi olarak tanımlıyoruz.
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi alıcı grubu olarak adlandırılır.
Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kişisel Verilerin Korunması Kanunu ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kişisel Verileri Koruma Kurumu ile iletişimi sağlamak amacıyla Veri Sorumluları Siciline kayıt esnasında bildirilen gerçek kişi irtibat kişisi olarak adlandırılır.
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter, kişisel veri işleme envanteri olarak adlandırılır.
Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika, kişisel veri saklama ve imha politikası olarak adlandırılır.
Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfı, veri kategorisi olarak adlandırılır.
Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisi, veri konusu kişi grubu olarak adlandırılır.
Türkiye’de yerleşik olmayan veri sorumlularını asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişi, veri sorumlusu temsilcisi olarak adlandırılır.
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi, Veri sorumluları sicil bilgi sistemi (VERBİS) olarak ifade edilir.
Kişisel Verileri Koruma Kurulunun gözetiminde, kamuya açık olarak Veri Sorumluları Sicili tutulur.Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
- Kişisel verilerin hangi amaçla işleneceği.
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Kişisel veri güvenliğine ilişkin alınan tedbirler,
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
Veri Sorumluları Siciline kayıt başvurusunda yapılan bildirim içeriğinde bir değişiklik olursa meydana gelen değişiklikler derhâl Kişisel Verileri Koruma Kurumu Başkanlığına bildirilir.
Veri sorumluları, yukarıda belirtilen bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır.
Bayar Hukuk Bürosu kurucusu Avukat Hüseyin BAYAR, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Veri Sorumluları Sicili Hakkında Yönetmelik hükümleri çerçevesinde Veri Sorumluları Sicili, sicile başvuruda istenilen bilgiler ve kayıt işlemi hakkında kaleme almıştır.