Kişisel Verilerin Korunması Kanunu bağlı mevzuatından olan;
- “Veri Sorumluları Sicili Hakkında Yönetmelik”,
- “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ve
- “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ”inde
Yapılan değişiklikler 28.04.2019 tarih ve 30758 sayılı Resmi Gazete’de yayımlanmıştır.
Halihazırda Veri Sorumluları Sicili’ne (VERBİS – Veri Sorumluları Sicil Bilgi Sistemi) kaydolması gereken tüm Veri Sorumluları için Kişisel Veri İşleme Envanteri oluşturmak ve bu doğrultuda envanterlerine uygun şekilde bildirimi yapmak zorunluluğu bulunmaktadır.
Mevzuatta yapılan bu değişiklik ile, Kişisel Veri İşleme Envanteri içerisinde yer alması gereken:
- Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetleri,
- Kişisel veri işleme amaçları,
- Veri kategorisi,
- Aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi,
- Yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirlere ek olarak;
İşlenen kişisel verilerin işlenmesine yönelik hukuki sebeplerin de belirtilmesi öngörülmektedir.
Bu hukuki sebepler KVKK’nın 5 ve 6. Maddeleri ile aşağıdaki şekilde açıklanmıştır:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
- İlgili Kişinin açık rızasının bulunması.
Mevzuat kapsamında yapılan bir diğer önemli değişiklik ise VERBİS kayıt yükümlülüklerinde istisna olarak mevcut olan:
- Kişisel verinin niteliği, sayısı, işlenme amacı, üçüncü kişilere aktarılma durumu, muhafaza edilme süresi, konusu olan kişi grubu veya veri kategorileri, işlendiği faaliyet alanı ve işleme faaliyetlerinin kanunlardan kaynaklanması.
Kriterlerine, veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi istisnasının da tanımlanmış olmasıdır.
Kişisel Verileri Koruma Kurulu’nun 19.07.2018 tarihli 2018/87 sayılı kararı ile yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Veri Sorumluları Sicili’ne kayıt yükümlülüğünden istisna tutulmuştur.
Aynı tarihli 2018/88 sayılı karar ile de kayıt yükümlülüğü bulunan Veri Sorumluları için kayıt başlangıç ve bitiş tarihleri belirlenmiştir.