Selen İBRAHİMOĞLU GÜREŞ Avukat / Yönetici Ortak
Elif ÇEVİKER Stajyer
[email protected]
17 Mayıs 2017
A-
A+
VERİ SORUMLULULARI SİCİLİ HAKKINDA YÖNETMELİK TASLAĞI KİŞİSEL VERİ KORUMA KURULU TARAFINDAN GÖRÜŞE SUNULMUŞTUR
Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı (“Taslak”) 5 Mayıs 2017 tarihinde Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından kamuoyunun görüşüne açılmıştır. Taslak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 16.maddesi uyarınca hazırlanmıştır.
Veri Sorumluları Sicili (“Sicil”), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir ve bu yönetmeliğin amacı Sicilin oluşturulmasını, idaresi ile Sicile yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamaktır.
Yönetmelik, Sicile kayıt olmakla yükümlü olan veri sorumluları için büyük önem taşımaktadır.
SİCİLE KAYIT OLMA ZORUNLULUĞU VE İSTİSNALARI
Kanun uyarınca, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilere “veri sorumlusu” adı verilmektedir.
Kural olarak tüm veri sorumluları Sicile kayıt olmakla yükümlüdür.
Taslak’a göre Kurul, tamamen veya kısmen otomatik olarak gerçekleşmeyen kişisel veri işleme faaliyetleriyle ilgili olarak kayıt yükümlülüğüne aşağıdaki kriterlere göre istisna getirme hakkına sahiptir;
a) Kişisel verinin niteliği,
b) Kişisel verinin sayısı,
c) Kişisel verinin işlenme amacı,
ç) Kişisel verinin işlendiği faaliyet alanı,
d) Kişisel verinin üçüncü kişilere aktarılma durumu,
e) Kişisel veri işleme faaliyetinin; kanunlarda açıkça öngörülüp öngörülmediği veya veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için gerekli olup olmadığı
f) Kişisel verilerin muhafaza edilmesi süresi,
g) Veri sorumlusunun yıllık cirosu,
ğ) Veri sorumlusunun istihdam ettiği çalışan sayısı.
Bu düzenleme bu şekilde hayata geçer ise Kurul yukarıdaki kriterlere göre herhangi bir veri sorumlusunu değil sadece tamamen veya kısmen otomatik olarak gerçekleşmeyen kişisel veri işleme faaliyetleriyle ilgilenen veri sorumluları hakkında istisna değerlendirmesi yapabilecektir.
Burada Kurul’un kendini Kanun’da belirlenen kriterlerin ötesinde sınırlama eğiliminde olup olmadığı Taslak’ın yönetmelik halini alıp yayınlanınca görülecektir.
Kurul bu kararlarını uygun yöntemlerle yayınlayarak kamuoyuna duyuracaktır. Ancak dikkat edilmelidir ki, Sicile kayıt yükümlülüğünden muaf olmak, veri sorumlularının Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz.
SİCİLE KAYIT OLMA ZORUNLULUĞU OLAN VERİ SORUMLULARININ YAPMASI GEREKENLER NELERDİR?
Veri sorumluları, kişisel veri işleme amaçlarının gerektirdiği azami veri işleme sürelerini belirlemek için Kişisel Veri Saklama ve İmha Politikası düzenleme yükümlülüğü altındadır.
VERBİS NEDİR?
VERBİS, veri sorumlularının Sicile başvuru ve Sicille ilgili diğer işlemlerde kullanacakları internet üzerinden erişebilen bilişim sistemini ifade eder. Veri sorumluları yukarıda sayılan bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır. Usulüne uygun bildirimde bulunulmadığı takdirde, söz konusu eksiklikler giderilinceye kadar kişisel veri işleme faaliyetinin durdurulması talep edilebilir.
YÜKÜMLÜLÜKLERİ YERİNE GETİRMEMENİN YAPTIRIMI NEDİR?
Sicile kayıt yükümlülüğü bulunmasına rağmen bu yükümlülüğünü yerine getirmeyen veri sorumluları hakkında 20.000 TL ila 1.000.000 TL arasında idari para cezası uygulanacaktır.
VERİ SORUMLUSU, VERİ SORUMLUSU TEMSİLCİSİ VE İRTİBAT KİŞİSİNİN YÜKÜMLÜLÜKLERİ
Taslak’ta yer alan hükme göre tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Kanun kapsamındaki veri sorumlusu yükümlülükleri, tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca ilgili organın sorumluluğunu ortadan kaldırmaz. Tüzel kişiliği ilgili mevzuat hükümleri uyarınca temsil ve ilzama yetkili organ Kanunun uygulanması bakımından sorumluluklarını üyelerinden bir veya birkaçına veya tüzel kişilik içinde veya dışında bir veya birden fazla kişiye devredemez.
Taslak’taki hüküm bu şekilde nihai halini alırsa şirketlerin yönetim kurulları üyelerinden birine veya üye olmayan bir şirket çalışanına (Data Privacy Officer gibi) veya şirket dışından bir kişiye Kanun kapsamındaki yükümlülükleri yerine getirmesi için sorumlu kılamayacak, herhalde tüm sorumluluk yönetim kurulu üzerinde kalacaktır.
Bu hususun Türk Ticaret Kanunu kapsamında Kurul tarafından tekrar değerlendirilmesi ve Türk Ticaret Kanununa uyumlu bir şekilde düzenlenmesi tüm tüzel kişi veri sorumlusu şirketler açısından büyük önem arz edecektir.
ŞİMDİ NE OLACAK?
veri sorumlularından hangilerinin Yönetmelik kapsamında kayıt yükümlülüklerinin nasıl yerine getirmesinin gerektiğine dair tüm veri sorumlusu ticaret şirketleri ve veri sorumluları Kurul’un yönlendirmesine ihtiyaç duyacaktır.
tavsiye ederiz.
Sicile kayıt olmasını tavsiye ederiz.
***
Yayınlara dön