A-

A+

Veri sorumluları Sicili Hakkında Yönetmelik Taslağı

VERİ SORUMLULULARI SİCİLİ HAKKINDA YÖNETMELİK TASLAĞI KİŞİSEL VERİ KORUMA KURULU TARAFINDAN GÖRÜŞE SUNULMUŞTUR

Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı (“Taslak”) 5 Mayıs 2017 tarihinde Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından kamuoyunun görüşüne açılmıştır. Taslak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 16.maddesi uyarınca hazırlanmıştır.

Veri Sorumluları Sicili (“Sicil”), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir ve bu yönetmeliğin amacı Sicilin oluşturulmasını, idaresi ile Sicile yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamaktır.

Yönetmelik, Sicile kayıt olmakla yükümlü olan veri sorumluları için büyük önem taşımaktadır.

SİCİLE KAYIT OLMA ZORUNLULUĞU VE İSTİSNALARI

Kanun uyarınca, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilere “veri sorumlusu” adı verilmektedir.

Kural olarak tüm veri sorumluları Sicile kayıt olmakla yükümlüdür.

Taslak’a göre Kurul, tamamen veya kısmen otomatik olarak gerçekleşmeyen kişisel veri işleme faaliyetleriyle ilgili olarak kayıt yükümlülüğüne aşağıdaki kriterlere göre istisna getirme hakkına sahiptir;

a) Kişisel verinin niteliği,

b) Kişisel verinin sayısı,

c) Kişisel verinin işlenme amacı,

ç) Kişisel verinin işlendiği faaliyet alanı,

d) Kişisel verinin üçüncü kişilere aktarılma durumu,

e) Kişisel veri işleme faaliyetinin; kanunlarda açıkça öngörülüp öngörülmediği veya veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için gerekli olup olmadığı

f) Kişisel verilerin muhafaza edilmesi süresi,

g) Veri sorumlusunun yıllık cirosu,

ğ) Veri sorumlusunun istihdam ettiği çalışan sayısı.

Bu düzenleme bu şekilde hayata geçer ise Kurul yukarıdaki kriterlere göre herhangi bir veri sorumlusunu değil sadece tamamen veya kısmen otomatik olarak gerçekleşmeyen kişisel veri işleme faaliyetleriyle ilgilenen veri sorumluları hakkında istisna değerlendirmesi yapabilecektir.

Burada Kurul’un kendini Kanun’da belirlenen kriterlerin ötesinde sınırlama eğiliminde olup olmadığı Taslak’ın yönetmelik halini alıp yayınlanınca görülecektir.

Kurul bu kararlarını uygun yöntemlerle yayınlayarak kamuoyuna duyuracaktır. Ancak dikkat edilmelidir ki, Sicile kayıt yükümlülüğünden muaf olmak, veri sorumlularının Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz.

SİCİLE KAYIT OLMA ZORUNLULUĞU OLAN VERİ SORUMLULARININ YAPMASI GEREKENLER NELERDİR?

  • Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır. Sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini takiben 30 gün içerisinde Sicile kaydolurlar. Bir defaya mahsus, gerekçe belirterek ek süre talep etmek mümkündür.
  • Türkiye’de yerleşik olmayan veri sorumluları atayacakları bir veri sorumlusu temsilcisi aracılığıyla Sicile kayıt olmak zorundadır. Bu veri sorumlusu temsilcisi Türkiye’de yerleşik olan bir tüzel kişi ya da Türk vatandaşı bir gerçek kişi olmalıdır.
  • Türkiye’de yerleşik olan veri sorumluları ile yurt dışında yerleşik olan ve tüzel kişi veri sorumlusu temsilcisi atayan veri sorumluları, Sicile kayıt ve diğer işlemler için bir irtibat kişisi atamakla yükümlüdür. İrtibat kişisi, veri sorumlusunun temsilcisinden farklı bir kişidir. Kişisel Verileri Koruma Kurumu ve veri sorumlusu arasındaki iletişimin sağlanmasından ve yönetilmesinden sorumludur.
  • Sicile kayıt yükümlülüğü bulunan veri sorumluları Kişisel Veri İşleme Envanteri düzenleme yükümlülüğü altındadır. Kişisel Veri İşleme Envanteri; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini, amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteri ifade etmektedir. Sicile yapılacak başvurular sırasında verilmesi gereken bilgiler bu envantere dayalı olarak hazırlanmalıdır.
  • Sicile kayıt başvurusu sırasında hangi bilgiler verilmelidir?
  • Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri,
  • Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkında açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Veri güvenliğine ilişkin öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
  • Kişisel verilerin işlenmesi için gerekli olan azami süre.

Veri sorumluları, kişisel veri işleme amaçlarının gerektirdiği azami veri işleme sürelerini belirlemek için Kişisel Veri Saklama ve İmha Politikası düzenleme yükümlülüğü altındadır.

VERBİS NEDİR?

VERBİS, veri sorumlularının Sicile başvuru ve Sicille ilgili diğer işlemlerde kullanacakları internet üzerinden erişebilen bilişim sistemini ifade eder. Veri sorumluları yukarıda sayılan bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır. Usulüne uygun bildirimde bulunulmadığı takdirde, söz konusu eksiklikler giderilinceye kadar kişisel veri işleme faaliyetinin durdurulması talep edilebilir.

YÜKÜMLÜLÜKLERİ YERİNE GETİRMEMENİN YAPTIRIMI NEDİR?

Sicile kayıt yükümlülüğü bulunmasına rağmen bu yükümlülüğünü yerine getirmeyen veri sorumluları hakkında 20.000 TL ila 1.000.000 TL arasında idari para cezası uygulanacaktır.

VERİ SORUMLUSU, VERİ SORUMLUSU TEMSİLCİSİ VE İRTİBAT KİŞİSİNİN YÜKÜMLÜLÜKLERİ

Taslak’ta yer alan hükme göre tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Kanun kapsamındaki veri sorumlusu yükümlülükleri, tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca ilgili organın sorumluluğunu ortadan kaldırmaz. Tüzel kişiliği ilgili mevzuat hükümleri uyarınca temsil ve ilzama yetkili organ Kanunun uygulanması bakımından sorumluluklarını üyelerinden bir veya birkaçına veya tüzel kişilik içinde veya dışında bir veya birden fazla kişiye devredemez.

Taslak’taki hüküm bu şekilde nihai halini alırsa şirketlerin yönetim kurulları üyelerinden birine veya üye olmayan bir şirket çalışanına (Data Privacy Officer gibi) veya şirket dışından bir kişiye Kanun kapsamındaki yükümlülükleri yerine getirmesi için sorumlu kılamayacak, herhalde tüm sorumluluk yönetim kurulu üzerinde kalacaktır.

Bu hususun Türk Ticaret Kanunu kapsamında Kurul tarafından tekrar değerlendirilmesi ve Türk Ticaret Kanununa uyumlu bir şekilde düzenlenmesi tüm tüzel kişi veri sorumlusu şirketler açısından büyük önem arz edecektir.  

ŞİMDİ NE OLACAK?

  • Kurul söz konusu Taslağa dair gönderilen görüşleri inceleyip Taslağa son halini verecek.
  • Yönetmelik yayımı tarihinde yürürlüğe gireceğinden, yayımı tarihinde
    • VERBİS sisteminin hazır olamayacağı ve dolayısı ile kayıt yapılamayacak olması halinde ve/veya
    • Kurul’un 17. Madde kapsamında sicile kayıttan istisna olma kriterlerini yayınlamamış olması halinde

veri sorumlularından hangilerinin Yönetmelik kapsamında kayıt yükümlülüklerinin nasıl yerine getirmesinin gerektiğine dair tüm veri sorumlusu ticaret şirketleri ve veri sorumluları Kurul’un yönlendirmesine ihtiyaç duyacaktır. 

  • Bu nedenle özellikle veri sorumlusu olan şirketlerin
    • Kurul duyurularını yakından takip etmelerini
    • bu dönemde de Taslak’da yer alan ve 6 Nisan 2016 ve 7 Ekim 2016 tarihli duyurularımızda da bahsettiğimiz Kanun’a uyum aşamaları içerisinde bahsi geçen Kişisel Veri İşleme Envanteri hazırlama çalışmalarına hız vermelerini

tavsiye ederiz.

  • Kurul’un yönlendirmeleri neticesinde Sicile VERBİS ve/veya başka ilan edilen bir yoldan kayıt hazırlıkları tamamlandığında ise,
    • stisna kriterlerinin belirlenmiş olması halinde bu kriterlere girmeyen ve
    • Yönetmelik farklı şekilde nihai halini almazsa herhalde tamamen veya kısmen otomatik olarak gerçekleşen kişisel veri işleme faaliyetleriyle ilgilenen tüm veri sorumlularının

Sicile kayıt olmasını tavsiye ederiz.

 

***