Veri Sorumluları Sicili Hakkında Yönetmelik Taslağına İlişkin Bilgi Notu
Giriş
Kişisel Verileri Koruma Kurumu tarafından hazırlanan Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı (“Yönetmelik”) kurumun web sitesinde yayımlanarak kamuoyunun görüşüne sunuldu[1]. Yapılan duyuruya göre ilgililer Yönetmelik hakkında görüş ve önerilerini 20.05.2017 tarihine kadar Kurum’a iletebilecekler.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca veri sorumluları, veri işlemeye başlamadan önce, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline (“Sicil”) kaydolmak zorundadır. Bu kapsamda sicile kayıt usul ve esasları ile veri sorumlularının bu husustaki yükümlülüklerini düzenleyen Yönetmelik kişisel verileri işleyen gerçek ve tüzel kişiler için büyük öneme sahiptir. Zira Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmemesi halinde Kurul tarafından 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilebilecektir.
Yönetmelik, Kanun’un 16 ve 22. maddeleri uyarınca hazırlanmış olup, sicilin oluşturulması, idaresi, gözetimi ve sicile erişim; kayıt yükümlülüğünün başlangıcı, başvuru usulü, yenilenmesi ve silinmesi ile kayıt yükümlülüğünün istisnaları gibi hususları düzenlenmektedir.
Yönetmelik kapsamında kişisel veri işleyen gerçek ve tüzel kişiler için özellikle aşağıda detayları verilecek olan azami sürenin belirlenmesi, Kişisel Veri Saklama ve İmha Politikasının oluşturulması, veri sorumlusu ve veri sorumlusu temsilcisinin ile irtibat kişisinin belirlenmesi ve yetkilendirilmesi gibi hususların detaylı ve yoğun bir hazırlık ve çalışma süreci gerektireceği şüphesizdir.
- Veri Sorumlusu Sicili
Sicil kamuya açık bir biçimde tutulur. Kurul, kamuya açıklık ilkesine ilişkin kapsam ve istisnaları belirleme yetkisini haizdir.
Sicil, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulur ve Başkanlık tarafından sicilin oluşturulması, idaresi, güncel bir biçimde tutulması ve muhafazası amacıyla gerekli tedbirler alınır.
Yönetmeliğin Sicile erişimi düzenleyen 7. maddesine göre Sicilde yer alan hususlardan aşağıdaki bilgiler kamuoyuna açıklanır:
- Veri sorumlusunun ve varsa temsilcisinin adı ve adresi,
- Kişisel verilerin hangi amaçlarla işlenebileceği,
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,
- Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Sicile kayıt tarihi ile kaydın geçerliliğinin sona erdiği tarih.
- Veri Sorumlusu ve Kayıt Yükümlülüğü
Veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade etmektedir. Yönetmeliğin kayıt yükümlülüğünün başlangıcını düzenleyen 8. maddesine göre, veri sorumluları kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorundadır. Türkiye’de yerleşik olmayan veri sorumluları ise, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır.
Kayıt yükümlülüğü altındaki veri sorumluları gerekçesini belirtmek ve Yönetmelik’te belirtilen usulle başvuru yapmak şartıyla Kurumdan ek süre talep edebilirler. Kurul, bir defaya mahsus olmak üzere ek süre verebilir.
- Tüzel Kişi Veri Sorumluları
Yönetmeliğin 11. maddesine göre tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Ancak bu görevlendirme Kanun hükümleri uyarınca ilgili organın sorumluluğunu ortadan kaldırmaz.
Tüzel kişiliği ilgili mevzuat hükümleri uyarınca temsil ve ilzama yetkili organ Kanunun uygulanması bakımından sorumluluklarını üyelerinden bir veya birkaçına veya tüzel kişilik içinde veya dışında bir veya birden fazla kişiye devredemez. Bu düzenleme 6102 sayılı Türk Ticaret Kanunu’nun yönetim ve temsile ilişkin hükümleri ile birlikte değerlendirildiğinde Türk Ticaret Kanunu ve Yönetmelik arasında bir uyumsuzluk yarattığı görülmektedir.
- İrtibat Kişisi
Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini bildirirler. İrtibat kişisi iletişim noktası olarak ilgili kişilerin veri sorumlusuna yönelteceği taleplerin hızlı ve etkin olarak cevaplandırılmasını sağlamakla yükümlüdür. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir.
- Sicile Kayıt Başvurusu
Kayıt yükümlülüğü kapsamında kuruma bildirilecek bilgiler Yönetmeliğin 9. Maddesinde detaylı olarak düzenlenmektedir. Buna göre kayıt başvurusu aşağıda sayılan bilgileri içerir:
- Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri kapsamında; Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
- Kişisel verilerin hangi amaçla işleneceği,
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Kanunun 12. maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan veri güvenliğine ilişkin tedbirler,
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
Veri sorumluları tarafından yukarıda yer alan (b), (c), (d) ve (e) bentleri uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden sicile iletilir. Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi[2], aktarılan alıcı grubu[3] ve veri konusu kişi grubuyla[4] ilişkilendirerek oluşturdukları ve detaylandırdıkları envanter Kişisel Veri İşleme Envanteri olarak tanımlanmaktadır.
Veri sorumluları gerekli bilgileri veri sicil bilgi sistemine (“VERBİS”) yükleyerek kayıt yükümlülüklerini yerine getirmiş sayılır. VERBİS, veri sorumlularının Sicile başvuru ve Sicille ilgili diğer işlemlerde kullanacakları; internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemidir.
- Veri Sorumlusu Temsilcisi
Yukarıda belirtildiği üzere Türkiye’de yerleşik olmayan veri sorumlularının, veri sorumlusu temsilcisi marifetiyle Sicile kaydolması gerekmektedir. Veri sorumlusu temsilcisi, Türkiye’de yerleşik olmayan veri sorumlularını Yönetmeliğin 11. maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da T.C. vatandaşı gerçek kişi olarak tanımlanmaktadır.
Veri sorumlusu temsilcisinin, veri sorumlusunu temsil yetkisi asgari olarak aşağıda belirtilen hususları kapsayacak şekilde ve temsil yetkisi kararında açıklanan hususlarla sınırlı olacaktır:
- Kurul veya Kurum tarafından yapılan tebligat ve yazışmaları veri sorumlusu adına tebellüğ veya kabul etme,
- Kurul veya Kurum tarafından veri sorumlusuna yöneltilen taleplere veri sorumlusu adına cevap verme,
- Kurul tarafından başkaca bir esas belirtilmediği koşulda, Kanun uyarınca aydınlatma yükümlülüğü kapsamında veri sorumlusuna yöneltilecek başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,
- Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma,
- Kurul tarafından başkaca esas belirlenmediği koşulda ilgili kişilere başvurular kapsamında veri sorumlusunun cevabını iletme.
Görüldüğü üzere veri sorumlusu temsilcisi Kurum veya Kurul tarafından veri sorumlusu ile kurulacak iletişimin sağlanması ve yönetilmesi bakımından sorumludur.
Veri sorumlusu temsilcisinin Türkiye’de yerleşik bir tüzel kişi olarak belirlenmesi halinde, Sicile kayıt ve diğer işlemlerin yürütülebilmesi için irtibat kişisinin de atanması gerekmektedir.
- Veri Sorumlusunun Yükümlülükleri
Veri sorumluları Sicile sunulan ve sicilde yayınlanan bilgilerin doğru, güncel ve hukuka uygun olmasından sorumludur. Sicile kayıt veri sorumlularının Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmamaktadır.
- Azami Süre ve Kişisel Veri Saklama ve İmha Politikası
Yönetmelik ile düzenlenen en önemli hususlardan biri veri sorumluları tarafından belirlenmesi gereken azami süredir.
Kişisel verilerin, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekmektedir. Bu kapsamda veri sorumluları tarafından belirlenen azami süre veri sorumlusunun bu yükümlülüklerinin yerine getirilmesinde esas alınacaktır.
Kayıt başvurusunda bildirilmesi gereken azami süreye ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Yönetmeliğin 9. maddesinin dördüncü fıkrasına göre azami süre belirlenirken aşağıda belirtilen hususlar dikkate alınır:
- İlgili veri kategorisiyle alakalı olarak işleme amacıyla veri sorumlusunun faaliyet gösterdiği sektörde genel teamül olarak ne kadar süre gerekli olduğu,
- İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ilgili kişiyle tesis edilen hukuki ilişkinin ne kadar süre devam edeceği,
- İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak ne kadar süre geçerli olacağı,
- İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlukların hukuken ne kadar süre devam edeceği,
- Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına elverişli olup olmadığı,
- Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri ne kadar süre saklamak zorunda olduğu,
- Veri sorumlusunun, ilgili kişisel veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresinin ne kadar olduğu.
Diğer yandan veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin Kişisel Veri İşleme Envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için Kişisel Veri Saklama ve İmha Politikası[5] hazırlayarak, bu politikanın uygulanmasını temin ederler.
- İstisnalar ve Kurulca Belirlenen İstisna Kriterleri
Yönetmeliğin 16. maddesine göre aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etme ve bildirim yükümlülüğü bulunmamaktadır:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Kurul tarafından belirlenen istisna kriterleri ise Yönetmeliğin 17. Maddesinde düzenlenmektedir. Buna göre Kurul tarafından aşağıdaki kriterler göz önünde bulundurularak kayıt yükümlülüğüne istisna getirilmesi mümkündür:
- Kişisel verinin niteliği,
- Kişisel verinin sayısı,
- Kişisel verinin işlenme amacı,
- Kişisel verinin işlendiği faaliyet alanı,
- Kişisel verinin üçüncü kişilere aktarılma durumu,
- Kişisel veri işleme faaliyetinin kanunlarda Kanunun 5 inci maddesinin ikinci fıkrasının (a)[6] ve (ç)[7] bentleri ile 6 ncı maddesinin üçüncü fıkrası[8] uyarınca işlenmesi,
- Kişisel verilerin muhafaza edilmesi süresi,
- Veri sorumlusunun yıllık cirosu,
- Veri sorumlusunun istihdam ettiği çalışan sayısı.
Hükümler incelendiğinde istisna kriterlerinin belirlendiği ancak oldukça genel olan bu kriterler açısından uygulamanın şekillenmesi için Kurul kararlarının beklenmesi gerektiği anlaşılmaktadır. Zira Yönetmelikte de istisnaların kapsamı, uygulama esasları, hesap yöntemleri ve usulünü belirlemek amacıyla karar alma yetkisinin Kurul’da olduğu düzenlenmiştir.
Sonuç
Yönetmelik incelendiğinde veri sorumluları bakımından özellikle azami sürenin belirlenmesi ve Kişisel Veri Saklama ve İmha Politikasının ve kayıt başvurusu için gerekli diğer bilgilerin temini için detaylı ve kapsamlı bir hazırlık sürecinin gerekebileceği görülmektedir.
Azami süre belirlenirken dikkate alınması gereken veri sorumlusunun faaliyet gösterdiği sektör, kişisel verinin işlenmesini gerekli kılan hukuki ilişki, veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verilerin saklanma süresi gibi farklı hususlar özenli bir çalışma gerektirmektedir. Bu doğrultuda veri işleyen tüzel ve gerçek kişilerin iş süreçlerinin, faaliyet gösterdikleri sektörlerin, veri işleme amaçları ve faaliyetlerinin, işledikleri veri kategorilerinin, veri konusu kişi gruplarının doğru belirlenmesi büyük önem taşımaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanununa uyum süreçleri konusunda müvekkillerimize destek vermekteyiz. Bu kapsamda Kanun’dan doğan bildirimlerin yapılması için gerekli metinlerin oluşturulması; çalışanlar, müşteriler, üçüncü kişilerle imzalanan sözleşmelerin uyum bakımından incelenmesi ve tadili; sicile kayıt için gerekli bilgilerinin hazırlanması ve kayıt başvurusunun takibi; mevzuata uyum için gerekli olabilecek kurum içi doküman ve politikaların hazırlanması, incelenmesi ve tadili gibi hususlarda hukuki hizmetlerimizi sunmaktayız. Detaylı bilgi ve mevzuat hakkında sorularınız için info@engblaw.com adresinden bizimle iletişime geçebilirsiniz.
[1] http://www.kvkk.gov.tr/haber_yonetmelik.html (erişim tarihi 09.05.2017)
[2]Veri Kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfı olarak tanımlanmaktadır.
[3]Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı kişi kategorisi olarak tanımlanmaktadır.
[4]Veri Konusu Kişi Grubu: Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisi olarak tanımlanmaktadır.
[5] Kişisel Veri Saklama ve İmha Politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirlemek için dayanak yaptıkları politika olarak tanımlanmaktadır.
[6] Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
[7] Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
[8] Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.