6698 sayılı kanunun 3. Maddesinde “tanımlar” başlığı adı altında kanunun içerisinde kullanılan terimlere ilişkin tanımlar yapılmış olup bu tanımlardan kısaca “Açık Rıza”, “Anonim Hâle Getirme”, “Veri Kayıt Sistemi”, “Veri Sorumlusu”, “Veri İşleyen” ve “İlgili Kişi” kavramı üzerinde durulmuş ve bu kavramların neler olduğunu yine kanun kapsamı içerisinde ne anlama geldiğini anlatmıştık. Söz konusu kanun maddesi içerisinde yer almayan ancak yönetmelikle belirlenmiş bir kavram daha bulunmaktadır.
İlgili kavram “Veri Sorumluları Sicili” olup söz konusu kavram “Veri Sorumluları Sicili Hakkında Yönetmelik”te Kişisel Verileri Koruma Kurumu tarafından 30.12.2017 tarihinde resmi gazetede yayımlanmış ve 01.01.2018 tarihinde yürürlüğe girmiştir[1]. Yönetmeliğin amacı, ilgili yönetmeliğin içerisinde her ne kadar tanımlanmış olsa da yineleyecek olursak eğer, Kişisel Verilerin Korunması Kanun çerçevesinde ve Kurul gözetiminde, yine Başkanlık tarafından kamuya açık olarak tutulacak olan sicilinin meydana getirilmesi, yönetilmesi ile sicile yapılması öngörülen kayıtlar yönünden usul ve esasları belirlemek ve uygulanmasını sağlamaktır.
Yönetmeliğin 4. Maddesinde yer alan tanımlardan her biri önem arz etmekteyse de özellikle bazı kavramları belirtme ihtiyacı doğmaktadır.
Veri sorumlusu kavramı her ne kadar ilgili kanunu içerisinde tanımlanmış ise de yönetmelikte de tanımı yapılmış olup kişisel verilerin işleme konu ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.
Alıcı grubu tanımı ise veri sorumlusu olan kimse tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade etmektedir. Kısaca veri sahibi kimselerden verilerin aktarıldığı gerçek yahut da tüzel kişidir.
İrtibat kişisi ise Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi ifade etmektedir. İrtibat kişisi gerçek kişiyi ifade etmektedir ve kurum ile iletişim bu kimse aracılığı ile sağlanmaktadır.
Kayıtlı elektronik posta (KEP) adresi, elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına yönelik olarak hukuki delil sağlayan, elektronik postanın nitelikli şeklini ifade eder. Kayıtlı Elektronik Posta Sistemine İlişkin Usul ve Esaslar Hakkındaki Yönetmelik[2] içeriğinde (KEP) söz konusu elektronik iletilere ilişkin detaylı düzenlenme yer almaktadır.
Kişisel veri işleme envanteri önemli bir kavramdır ve veri sorumlularının iş ilerlemelerine bağlı olarak ortaya koymuş oldukları kişisel veri işleme eylemlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek meydana getirdikleri ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami saklama süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.
Yine kişisel veri saklama ve imha politikası ise veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı ifade eder.
Kişisel verilerin işlenmesi kavramı ise kişisel verilerin tamamını veya bi kısım otomatik olan ya da herhangi bir veri kayıt sisteminin bir parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.
Veri kategorisi kavramı ise kişisel verilerin benzer özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını ifade etmektedir. Bu kavramdan da anlaşılacağı üzere benzer nitelikteki veriler gruplandırılmaktadırlar.
Veri sorumluları sicil bilgi sistemi kısa adı VERBİS olan söz konusu kavram ise veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini ifade etmektedir. VERBİS sistemi sicile kayıt zorunluluğu bulunan gerçek yada tüzel kişilerin tamamı tarafından işlenilmesi zorunlu bir alandır.
Yukarıda izahını yapmış olduğumuz kavramların hepsi en başından da belirtmiş olduğumuz gibi yönetmelikte tanımı yapılan ve esasında her ne kadar burada özetlemiş olsak da daha fazlası yine kavram olarak, yönetmelik içeriğinde yer alan hususlardır.
Yine ilgili yönetmelik gereğince veri sorumluluları sicilinin oluşturulması, yönetimi ve gözetimine ilişkin de bir takım uyulması gerekli usul ve esaslar yer almaktadır. Söz konusu usul ve esaslara da biraz değinecek olursak eğer;
Öncelikle belirtilmesi gereken husus veri sicil sorumluluları kişişel veri kaydı işlemeye başlamadan önce Sicile kayıt olmak zorundadırlar. Türkiye’de ikametgahı bulunmayan veri sorumluları ise veri işleme işlemlerine başlamadan önce veri sorumlusu temsilcisi yardımı ile Sicile kaydolmak zorunluluğu bulunmaktadır. Özetle gerek Türkiye de yerleşim yeri olsun gerekse de olmasın veri sorumluluları tarafından öncelikle sicile kayıt zorunluluğu bulunmaktadır.
Yine söz konusu sicilin kamuya açık biçimde tutulması gerekmektedir. Kişisel Verileri Koruma Kurumu tarafından, kamuya açıklık ilkesinin sağlanması koşuluyla, bu zorunluluğun kapsam ve istisnalarını belirleme yetkisi bulunmaktadır.
Söz konusu sicile kayıt zorunluluğu olan veri sorumluları, Kişisel Veri İşleme Envanterini hazırlama yükümlülükleri bulunmaktadır. Sicile yapılacak olan başvurularda Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanmaktadır. Bu nedenledir ki Kişisel Veri İşleme Envanterini en doğru ve hatasız bir biçimde, her bir katagoriyi belirtir ve ilgili katagorilere ilişkin alınan kişisel verilerin neler olduğunu tespit edip ve zamanaşımı sürelerini de buna göre belirlemek ve düzenlemek gerekmektedir.
Yine veri sorumluları tarafından, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun bir biçimde bildirme yükümlülükleri bulunmaktadır.
Sicile ilişkin yapılacak olan işlemler, veri sorumluları tarafından VERBİS üzerinden gerçekleştirilmesi gerekmektedir.
Veri sorumlularınca Sicile sunmuş oldukları ve Sicilde yayınlanan kişisel verilerin işlendikleri gaye için gerekli olan azami muhafaza edilme süresi; [3]veri sorumluların silinmesi, ortadan kaldırılması veya anonim hale getirme yükümlülüklerinin yerine getirilmesinde esas alınır.
Sicilin oluşturulması, idare edilmesi ve gözetimi de yine yönetmelikce belirlenmiştir. Yönetmeliğin 6. maddesinde belirtilmiş olan söz konusu sicilin Başkanlık tarafından oluşturulacağı açıkça belirtilmiştir. Yine Başkanlık tarafından sicilin oluşturulması, idaresi, güncel biçimde tutulması ve muhafaza edilmesi amacıyla; VERBİS’in kurulması ve işletilmesi için gerekli teknik ve idari tedbirleri alması gerektiği hususu belirtilmiştir. Söz konusu sicilin oluşturulmasından ve idaresinden sorumlu hizmet birimi ise Veri Yönetimi Dairesi Başkanlığıdır. Sicilin gözetimi de Kurul tarafından gerçekleştirilmektedir. Veri Yönetimi Dairesi Başkanlığı tarafından üç aylık periyot dönemleri halinde hazırlanan ve kapsamı Kurul tarafından belirlenecek olan faaliyet raporu Kurula sunulur.
[1] https://www.sinerjimevzuat.com.tr/
[2]21.08.2011 tarihinde Resmi Gazetede yayımlanan yönetmelik 1.7.2012 tarihinde yürürlüğe girmiştir.
[3] Kişisel Verilerin Korunması Kanununun 7. Maddesi