Duyurumuz; Kişisel Verilerin Korunması Kanunu’na uyum sürecinde tamamlanması gereken unsurlar hakkındadır.
Yönetmelik İle İlgili Hatırlatma;
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkındaki Yönetmelik; Yönetmeliğin yürürlük tarihinin düzenlendiği madde doğrultusunda 01.01.2018 tarihinde yürürlüğe girecektir. Veri sorumlularının bu tarihte, Kişisel Veri Saklama ve İmha Politikalarını oluşturmaları gerekmektedir. Bunun yanı sıra Kişisel Verileri Koruma Kurulu’nun Veri Sicil Bilgi Sistemi’nin (VERBİS) kayıt tarihinin açıklanmasıyla, veri sorumlularının sisteme kayıt zorunluluğu doğacaktır.
Dikkat Edilmesi Gereken Hususlar;
Kişisel Veri Saklama ve İmha Politikası, kişisel verilerin saklanması ve imhası yöntemlerini açıklayıcı nitelikte değil, bir üst düzenleme şeklinde hazırlanmalıdır. Politika hazırlanırken, Yönetmelikte sayılan asgari unsurlara mutlaka yer verilmelidir. Buna göre kişisel veri saklama ve imha politikası; politikanın hazırlanma amacına, kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına, kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına, kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere, kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere, kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına, saklama ve imha sürelerini gösteren tabloya, periyodik imha sürelerine, mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe ilişkin bilgileri kapsar.
VERBİS veri sorumlularının sicil kayıtlarının oluşturulması için başvurularını sunabilecekleri ve sicille ilgili işlemlerini yürütmek için kullanabilecekleri bir sistem olarak, Kurul tarafından oluşturulacaktır. Bu sistemin kurulmasıyla, kayıt süresi Kurul tarafından açıklanacaktır. Kural olarak veri sorumlularının, veri işlemeye başlamadan bu sisteme kayıt olmaları gerekse de henüz aktif bir sistem olmadığı için sisteme kayıt zorunluluğu Kurulun açıklayacağı tarihten itibaren 30 gün içerisinde yerine getirilmelidir.
Sisteme kayıt için sağlanması gereken bilgiler 5 Mayıs 2017’de Kurul tarafından çıkarılan taslak Yönetmelikte sayılmıştır. Buna göre veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri kapsamında; Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, Kanunun 12. maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler, kişisel verilerin işlendikleri amaç için gerekli olan azami süre bildirilerek kayıt gerçekleştirilebilir.
İşbu yazı hakkında ek bilgi gerektiğinde Ersin Nazalı ile irtibata geçmenizi rica ederiz.|
Ersin Nazalı Yönetici Ortak, Avukat, YMM |
Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.