KİŞİSEL VERİLERİN KORUNMASI KANUNU

5651 Sayılı Kanun Maddesinin Amacı Nedir?

Kanun maddesi internet erişiminin kontrol altına alınmasını amaçlamaktadır. Bu sayede internet üzerinden işlenen bilişim suçlarının önemli ölçüde önüne geçilmekle beraber suç unsuru içeren herhangi bir olay sonrasında suçlu ya da sorumluların tespit edilerek suçsuzdan kolayca ayırılmasını sağlamak. Ayrıca kullanıcıların internet üzerinden aldatılmalarını ve yasal içerikte olmayan kötü amaçlı içeriklerden korunması amaçlanmaktadır.

5651 Sayılı Kanun Maddesi İle İlgili Anlaşılması Gerekenler ?

– 5651 sayılı kanun maddesi kamu kurumları, özel şirketler ve kullanıcılar için bir öneri niteliği taşımamaktadır. İlgili kanun maddesinin gereklerinin yerine getirilmesi zorunlu kılınmıştır. Kanun maddesini yerine getirmeyen tüm erişim sağlayıcılar için kanuni yaptırımlar söz konusudur. Bunları uyarı, para cezası, hapis, kapatma ve yayından kaldırma gibi sıralayabiliriz.

– Kanun maddesince alınması istenen tedbirler tamamiyle kullanıcıların çıkarlarını gözetmekte olup, uygulanmadığı takdirde kullanıcıya maddi zararlar açabileceği gibi bu kaybın yanı sıra kamu kurumları ve özel firmalar için prestij kaybına da sebep olabilmektedir.

Yukarıda özet olarak verilen 2 maddeyi inceledikten sonra kanun esasları ile ilgili detaylara bir göz atalım.

Kanun maddesi kimleri kapsamaktadır?

İster ücretli, ister ücretsiz birden fazla kullanıcıya bir veya birden fazla internet bağlantısı üzerinden erişim hizmeti sağlayan tüm kurum ve kuruluşları kapsamaktadır. Kanun maddesi kendi içerisinde ikiye ayrılmaktadır ve kapsamları farklılık göstermektedir.

a ) İnternet erişimini hizmet amaçlı veya işlerinin devamlılığını sağlamak için çalışan ya da ziyaretçilerine kullandıran kurum ve kuruluşlar.

– Kamu kurumları
– Özel şirketler
– Hastaneler
– Okullar
– Alışveriş merkezleri vb. gibi kurumlar

b ) İnternet erişimini kazanç elde etmek amacıyla kullanıcıların hizmetine sunan işletmeler.

– İnternet Cafeler
– Oteller
– Ücretli kullanımın söz konusu olduğu Cafe vb. gibi işletmeler.

Yukarıda yazıldığı gibi hizmet veya kazanç amaçlı kurum ve işletmelerin kullanıclarına kullandırmakta olduğu internet erişim hizmetinin kanun kapsamı dahilinde kontrol altına alınması istenmektedir. Erişim sağlayıcısının kanun maddesi ile ilgili genel yükümlülüklerini şöyle sıralayabiliriz ;

– Kullanıcıların yasal içerikte olmayan WEB sayfalarına erişimlerinin engellenmesi.
– Erişim log ve kayıtlarının tutulması. ( Zaman ve Tarih Mührü ile )
– Networklerine bağlı kullanıcıların iç IP loglarının tutulması.
– Eğer bir Web sayfası mevcut ise ve bu Web sayfasını kendi sunucularında barındırıyor ise dışarıdan gelen erişim log ve kayıtlarının tutulması.

Kullanıcıların yasal içerikte olmayan WEB sayfalarına erişimlerinin engellenmesi ve Erişim log ve kayıtlarının tutulması. ( Zaman ve Tarih Mührü ile )

Kullanıcılar internet teknolojisi sayesinde Web sayfaları üzerinden bilgi paylaşımı, eğlence, iletişim kurmak, hizmet vermek ve kendilerini tanıtmak gibi bir çok ihtiyacını karşılamaktadır. Artık hayatımızın olmazsa olmazları arasında yer alan internet ortamı faydalarının yanı sıra bir çok tehditi de beraberinde getirmiştir.

Kötü amaçlı kişi veya kişiler haksız kazanç elde etmek için kullanıcıların kişisel bilgilerini çalarak çıkar amaçlı kullanmaktadırlar. Kullanıcı bilgileri ile kullanıcıları dolandırmak, bilgilerini pazarlayarak haksız kazanç elde etmek ya da işledikleri bir suçu habersiz masum kullanıcılar işlemiş gibi göstererek kendilerini gizlemektedirler.

İlgili kanun maddesi tüm bu olumsuzlukları minimuma indirmeyi amaçlamaktadır. Bu sebeple internet ortamında tamamiyle savunmasız bulunan kullanıcıların hizmet aldıkları kurumlar tarafından koruma altına alınmasını istemektedir. Kanun maddesinde istenen bu yaptırım hizmet veren kurumlarında müşterilerini korumak ve daha iyi hizmet verebilmek için uygulamaları gereken bir yaptırımdır.

Kanun maddesi tam olarak yasal içerik taşımayan kullanıcıların bilgilerinin çalınmasına sebebiyet verebilecek sahte web sayfaları, yasal olmayan propagandaların bulunduğu, sitelerin, suç unsuru içeren tüm web sayfalarının engellenmesini ve kullanıcıların bilinçli veya bilinçsiz bir şekilde bu web sayfalarına erişimlerinin engellenmesini istemektedir.

Fakat büyük bir hızla hemen her gün yayınlanan web sayfalarının kontrol altına alınması neredeyse imkansız olduğundan henüz kara listeye alınmayan bir web sayfası üzerinden işlenebilecek olası suçlarında daha sonra takip edilebilmesi ve kim tarafından nasıl gerçekleştirildiğinin bilinmesi amacıyla web sayfalarına erişen tüm kullanıcıların kayıtlarının (loglarının) zaman tarih mühürü ile tutulmasını ve saklanmasını istemektedir. İster yasal içerikte olsun ister olmasın tüm erişimlerinin kayıtlarının tutulması gerekmektedir ve bu kayıtların 6 ay ila 2 yıl arasında süre ile saklanması istenmektedir.

Kişisel Verilerin Mümkün Olduğunca Azaltılması

Kanunun 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Ancak, özellikle uzun süredir faaliyet gösteren veri sorumluları, çok fazla miktarda kişisel veri toplamakta olduğundan söz konusu kişisel verilerin bir kısmı zamanla doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen veriler haline gelebilmektedir. Bunun önüne geçebilmek için, veri sorumlularınca işleme amaçları bakımından anılan kişisel verilere hala ihtiyaç olup olmadığının değerlendirilmesi ve kişisel verilerin doğru yerde muhafaza edildiğinden emin olunması gerekmektedir.

Bunun yanında, yetkisiz erişimin önüne geçilebilmesi için kişisel veri işleme amaçlarına uygun olmasına rağmen, veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi tavsiye edilmekte ve ihtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi gerekmektedir.

Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi Nasıl Yapılmalıdır?

Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, bu kapsamdaki risklerin önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır.

Kişisel veri güvenliğine ilişkin belirlenecek doğru ve tutarlı politika ve prosedürler, veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmelidir. Veri sorumlularınca politika ve prosedürler iyi bir şekilde ve zamanında hazırlanamadığında, sorunlu alanlar belirlenemediğinde veya mevcut güvenlik önlemleri kullanılamadığında kişisel veri güvenlik seviyesi yeteri kadar sağlanamamaktadır.

Bu kapsamda alınacak tedbirlerin önceden belirlendiği iyi bir olay yönetimi, çalışanlar üzerinde ortaya çıkabilecek baskıyı azaltacaktır. Bu nedenle veri sorumlularının, veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan ve mevcut güvenlik önlemlerini inceleyerek diğer yasal yükümlülüklerle uyumlu hareket edildiğinden emin olması gerekmektedir.

Politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmalı, yapılan kontroller belgelenmeli, geliştirilmesi gereken hususlar belirlenmeli ve gerekli güncellemeler yerine getirildikten sonra da düzenli olarak kontrollere devam edilmelidir.

Ayrıca, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmelidir.

Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır.
Kişisel veri güvenliğini ihlal etmeye yönelik saldırıların yanı sıra, kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bu ihlaller, kullanıcıların dikkatsizlik, dalgınlık veya tecrübesizlik gibi zayıf yönlerinin kullanılması suretiyle kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü kişilerin erişimine açılması şeklinde de ortaya çıkabilmektedir.
Bu nedenle çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.
Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.
Ayrıca kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir.
Öte yandan, çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşmalarını imzalamaları istenebilir. Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci de mutlaka olmalıdır.
Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; yapılacak yeni eğitimlerle bu değişikliklerin, çalışanların bilgisine sunulması ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerinin güncel tutulması sağlanmalıdır.

Mevcut Risk ve Tehditlerin Belirlenmesi

Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.

Bu riskler belirlenirken;

  • Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
  • Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
  • Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır.

Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.

Envanter Oluşturmak Üzere Ekibin Oluşturulması ve Görevlendirilmesi

Veri sorumluları, gerek Kanun gerekse diğer ikincil mevzuat düzenlemeleri kapsamındaki yükümlülükleri doğru ve eksiksiz bir şekilde yerine getirebilmek için öncelikle bir kişiyi veya birden çok kişiden oluşan birimi / ekibi görevlendirebilir. Görevlendirilecek bu kişi veya kişilerin, kişisel verilerin korunması ile ilgili mevzuat ve uygulamalar konusunda yetkin, kişisel veri işleme süreçleri ve bu süreçlere bağlı olarak işlenen kişisel veriler hakkında detaylı bilgi sahibi olan hukuk, bilgi işlem ve insan kaynakları gibi birimlerde görev yapan kişi veya kişilerden seçilmesi önerilir. Ayrıca yapılacak görevlendirmenin geniş katılımla oluşturulmasının envanterin daha nitelikli hazırlanmasına katkısı olacağı tabiidir.

İkinci adım olarak görevlendirilen bu birim/ekip tarafından, veri sorumlusunun mevcut fiziksel veya elektronik ortamda işlemekte olduğu tüm kişisel verilerin analizini yapmalıdır. Bu analiz kapsamında, öncelikle işlenen kişisel verilerin niteliğinin (kişisel veri, özel nitelikli kişisel veri) tespit edilmesi, akabinde de kişisel verilerin elde edilmesi, kaydedilmesi, kullanımının engellenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, güncellenmesi, saklanması, depolanması, değiştirilmesi, açıklanması, devralınması, sınıflandırılması gibi kişisel veri işlemeye ilişkin tüm aşamaların tek tek tespit edilmesi gerekmektedir.

Ayrıca, bu doğrultuda kişisel veri iş akış şemalarının çizilmesi önerilmektedir. Üçüncü adım olarak, söz konusu birim/ekip tarafından tüm kişisel veri işleme faaliyetleri doğrultusunda Envanter hazırlanmalı ve buna göre aydınlatma metinleri oluşturulmalıdır. Herhangi bir işleme şartı ile işleme amacı bulunmayan kişisel veri olup olmadığı Envanter 27 aracılığıyla tespit edilebileceğinden bu durumda olan veriler için süre geçmeden imha işlemleri uygulanmalıdır. Dördüncü adım olarak da, veri sorumlusu bünyesindeki tüm çalışanlar düzeyinde kişisel veri koruma kültürü ve bu kapsamda farkındalık oluşmasını sağlamak amacıyla eğitimler verilmesi önerilmektedir.

Envanter İçeri Nasıl Olmalıdır?

Veri Sorumluları Sicili Hakkında Yönetmeliğe göre Envanterde asgari olarak; -Veri kategorisi, -Kişisel veri işleme amaçları ve hukuki sebebi, -Aktarılan alıcı / alıcı grupları, -Veri konusu kişi grupları, -Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi, -Yabancı ülkelere aktarımı öngörülen kişisel veriler, -Veri güvenliğine ilişkin alınan teknik ve idari tedbirler, yer alması gerekmektedir. İşlenen kişisel verilerin niteliği ve sayısı, kişisel verisi işlenen kişilerin niteliği ve sayısı, kişisel verilerin çeşitliliği, kişisel verilerin veri sorumlusu bünyesinde veya aktarım yapılan üçüncü kişiler nezdinde dolaşımı, veri güvenliği için alınması gereken teknik ve idari tedbirlerin zorluk derecesi, yurt dışına aktarım, açık rıza alınmasını gerektirecek çok sayıda kişisel veri işlenmesi, saklama süreleri açısından farklılık arz eden verilerin niceliği, özel nitelikli kişisel veriler için alınacak yeterli önlemler, aktarım yapılacaksa bunun hukuki dayanağı gibi birçok kriter değerlendirilerek Envanterin mahiyeti, şekli ve yapısı ile bulunacağı ortama karar verilmesi daha uygun olacaktır. Belirtmek gerekir ki; anılan yönetmeliklerde, Envanterde bulunması gereken asgari hususlar yer almakta olup buradan, envanterin sadece bu hususları içermesi gerektiği 23 anlaşılmamalıdır. Aksine veri sorumluları, asgari olarak belirtilen bu hususlara faaliyetlerini kapsayacak şekilde diğer hususları da (departman adı, birim adı, bilgi girişi yapan kişi, süreç adı, faaliyetin adı, faaliyetin açıklaması, işlenen kişisel veri kategorisi, işlenen kişisel veri, Kanunun 5. maddesindeki işleme şartı, işlenen özel nitelikli kişisel veri kategorisi, işlenen özel nitelikli kişisel veri, Kanunun 6. maddesindeki işleme şartı, kişisel verisi işlenenlere ilk elde etme esnasında aydınlatma yapılıp yapılmadığı, kişisel verinin elde edildiği kaynak, elde etme yöntemi, saklandığı elektronik ortam, saklandığı fiziksel ortam, biriminiz dışında bu veriye erişenler, saklama amacı, periyodik imha süresi, aktarma amacı, kişisel veri aktarımının hukuki sebebi, kişisel veri aktarım yöntemi, özel nitelikli kişisel veri aktarımının hukuki sebebi, özel nitelikli kişisel veri aktarım yöntemi, alınan idari tedbirler, alınan teknik tedbirler, özel nitelikli kişisel veriler için alınan yeterli önlemler gibi) ilave edebileceklerdir.

Envanterin VERBİS’ ten farkları nelerdir?

Kanunun 16. maddesine göre; Veri Sorumluları Sicilinin kamuya açık olarak tutulması gerektiği ve kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda olduğu belirtilmiştir. Ayrıca Sicile kayıtta girilmesi gereken bilgiler de açık bir şekilde sayılmıştır.

Buna göre, Sicile kayıtta veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler ve kişisel verilerin işlendikleri amaç için gerekli olan azami süreye ilişkin giriş yapılması gerekmektedir.

Kurumumuzca bu kapsamda veri sorumluları tarafından Sicile bilgi girişi yapılmasına imkân sağlayan sistem hazırlanmış ve Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) adı ile hizmete açılmıştır.

Sicilin kamuya açık olarak tutulacak olması nedeniyle VERBİS’e sadece kategoriler halinde bilgiler girilecektir. Diğer bir deyişle VERBİS’e kişisel verisi işlenen gerçek kişilere ait veriler değil, bu verilerin üst başlıkları halinde kategorik bazda bilgi girişleri yapılacaktır.

Envanter ve VERBİS, veriler açısından temelde birçok noktada benzerlik gösterse de 3 konuda farklılık arz etmektedir.

  1. VERBİS’te, “veri kategorileri” bazında veri sorumlusu tarafından kişisel veri işlenip işlenmediği ve işleniyorsa bu veri kategorilerinin hangi amaçlarla işlendiği, aktarım olup olmadığı, aktarım yapılan alıcı grupları, varsa saklama süresi, ilgili kişiler ve alınan güvenlik tedbirleri konusunda bilgi girişi yapılması gerekirken;

Envanterde veri sorumlusunun tüm iş süreçlerinde yer alan tüm faaliyetleri bazında elde ettiği belge, doküman, veri kümesi, kayıtlar gibi kişisel veri içeren tüm fiziksel veya elektronik ortamlarda işlenen kişisel verilerin her biri için ayrı ayrı olmak üzere hangi amaç ve hukuki gerekçelerle işlendiği, aktarım olup olmadığı, aktarım yapılan üçüncü taraflar, saklama süreleri, veri konusu kişi grupları ve alınan güvenlik tedbirleri bilgisini içeren ve çok daha detaylı olarak hazırlanan bir rapor olması gerekir. Kısaca VERBİS’te sadece başlıklar halinde kategorik bazda bilgi girişi yapılırken, Envanterde bu verilerin, alt kırılımlarıyla birlikte detaylı şekilde yer alması gerekmektedir.

2. Kanunun 16. maddesi gereği kamuya açık olarak Kurumumuzca tutulmakta olan VERBİS’e girilmiş olan bilgiler dileyen herkes tarafından görüntülenebilmekte iken, Envanter veri sorumlusunun kendi bünyesinde kalacak ve kamuya açık olmayacaktır. Ancak, Kurul tarafından talep edilmesi durumunda Envanterin Kurula ibraz edilmesi gerekmektedir. Ayrıca, ilgili kişiler tarafından veri sorumlusuna başvurularda, ilgili kişiye verilecek cevap için Envanterden faydalanılması gerekmektedir.

3. VERBİS için bir sistem hazırlanmış ve ilgili ekranlardan giriş yapılması zorunlu tutulmuşken Envanterin şekli açısından herhangi bir yönlendirme yapılmamıştır. Envanter, örneğin office dosyası şeklinde veya veri tabanında ilgili dosyalarda tutulabilecektir.

Envanter Hazırlamakla Yükümlü Olanlar Kimlerdir?

Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. maddesi 1. fıkrası (ç) bendinde “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.” hükmü, (d) bendinde de “Kanunun 10. maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13. maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.” hükmü yer almaktadır. (28.04.2019 tarihli Resmi Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin 2. maddesi ile (ç) bendinde değişiklik yapılmıştır.)

Veri Sorumluları Sicili Hakkında Yönetmelik MADDE 5 – (1) Sicilin oluşturulması, idaresi ve gözetimi hususunda aşağıdaki ilke, usul ve esaslara uyulur: ç) Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır. d) Kanunun 10 uncu maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.

Ayrıca Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 5. maddesi 1. fıkrasında “Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür” hükmü yer almaktadır.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik MADDE 5 – (1) Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.

Buna göre Veri Sorumluları Siciline kayıt yükümlülüğü olan tüm veri sorumlularının Envanter hazırlaması gerekmektedir.

Bununla birlikte Sicile kayıt ve aydınlatma yükümlülüğü yerine getirilirken veya ilgili kişi başvurularının yanıtlanmasında ve açık rızanın kapsamının belirlenmesinde söz konusu Envanterin esas alınması gerekmektedir.