VERİ DEPOLAMA KURULUŞLARININ FAALİYET, ÇALIŞMA VE DENETİM ESASLARININ KİŞİSEL VERİ MEVZUATI KAPSAMINDA İNCELENMESİ

20.09.2018

Veri Depolama Kuruluşu (“VDK”) Nedir ?

 

6362 Sayılı Sermaye Piyasası Kanunu’nun “Veri Depolama Kuruluşları” başlıklı 87’nci maddesinde; Sermaye Piyasası Kurulu’nun (“Kurul”) sistemik riskin gözetimi ve finansal istikrarın korunması amacıyla, sermaye piyasasında gerçekleştirilen işlemlere ilişkin olarak, bu işlemleri gerçekleştirenlerden işlemlere ilişkin bilgilerin Kurul’a veya yetkilendireceği bir veri depolama kuruluşuna bildirilmesini isteyebileceği hükme bağlanmıştır.

Bu düzenleme kapsamında bildirimde bulunmakla yükümlü kılınan kişiler, gizlilik ve sır saklama yükümlülüklerini ileri sürerek talep edilen bilgileri VDK’ya vermekten imtina edemeyeceklerdir.

Bu bağlamda Sermaye Piyasası’nda işlem yapan ve VDK’ya bildirimde bulunmakla yükümlü kılınan kişiler, ilgili işlem nezdinde bildirdikleri tüm verileri, rızaları aranmaksızın, VDK’lar ile de paylaşacaktır.

VDK’ların Faaliyet, Çalışma ve Denetim Esaslarının Kişisel Veri Mevzuatı Kapsamında İncelenmesi

1. Yönetmelik Kapsamında Yapılan Düzenlemeler

VDK’ların Faaliyet, Çalışma ve Denetim Esasları Hakkında Yönetmelik (“Yönetmelik”) 19.09.2018 tarihli Resmi Gazete ile ilan edilmiş ve yürürlüğe girmiştir.

Yönetmelik ile VDK’ların faaliyet şartları, görev ve yetkileri, faaliyet ilke ve esasları, teşkilat ve personel yapısı ve üyelik esasları gibi temel nitelikleri belirlenmiştir. VDK’ya bildirilen verilerin işlenmesine ve saklanmasına yönelik düzenlemeler ise aşağıdaki gibidir.

• VDK, kendisine bildirilen verileri 10 yıl süre ile saklayacaktır.
• VDK, SPK md.87 gereği kendisine raporlanan verileri bir dış hizmet alarak bulut bilişim hizmetlerini kullanmak suretiyle saklayamayacaktır.
• VDK yöneticileri ve tüm personeli, raporlanan verilerin gizliliğine uyacak ve verilere ilişkin bilgileri, kanun ile öngörülmüş haller dışında kimseye açıklamayacaktır. Sır saklama yükümlülükleri, görevlerinin tamamlanmasından sonra da devam edecektir.
• VDK, kendisine bildirilen verileri 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) hükümlerine riayet ederek 3. kişiler ile paylaşabilecektir (Yönetmelik içerisinde sayılan bazı kamu kurumları verilere doğrudan erişebilecektir).
• VDK, teknolojik altyapısı ile ilgili hususlarda dışarıdan hizmet alacağı zaman kurum içi gizlilik prosedürlerine riayet edecek, firma ile “gizlilik sözleşmesi” akdedecek ve aldığı hizmete ilişkin prosedür oluşturacaktır.
• İlgili kişilerin KVKK’da öngörülen haklarını kullanmaları ise yaptıkları işlemlerle sınırlı olarak VDK tarafından yerine getirilecektir.

2. Değerlendirme

Sermaye piyasasında işlem yapan kişilerin gerçekleştirdikleri işlemlere ilişkin bilgilerin VDK nezdinde depolanacağı göz önüne alındığında, VDK uhdesinde hayli büyük bir kişisel veri depolamasının yapılacağı aşikardır.

Niteliği gereği korunmaya muhtaç bu verinin KVKK düzenlemeleri ile uyumlu bir şekilde işlenmesi ve muhafaza edilmesi gerekmektedir. Halihazırda, Yönetmelik’te de mümkün olduğunca KVKK ile uyumlu düzenlemeler getirilmesi amaçlanmıştır.

VDK tarafından yapılacak veri aktarımı hususu ise kişisel veri mevzuatı ile uyumlu olmayan tek alan olarak dikkat çekmektedir. Lakin Yönetmelik tahtında verinin gizliliği ve gerekli tedbirler alınarak muhafaza edilmesi amacıyla yeterli düzenlemeler yapılmıştır.

VDK tarafından depolanacak veriye Kurul, Türkiye Cumhuriyeti Hazine ve Maliye Bakanlığı, Bankacılık Düzenleme ve Denetleme Kurumu, Türkiye Cumhuriyet Merkez Bankası, Tasarruf Mevduatı Sigorta Fonu, Yatırımcı Tazmin Merkezi ve Kurul’ca uygun görülecek diğer kamu kurumları doğrudan erişebilecektir. Veri aktarımı için her ne kadar veri sahibinin açık rızası alınması gerekse de Yönetmelik içerisinde belirtilen kuruluşlara yapılacak veri aktarımında böyle bir rızanın aranmaması ve hatta bu kurumlara doğrudan erişim hakkı tanınması kişisel veri mahremiyetine aykırılık teşkil etmektedir. Zira doğrudan erişim hakkına sahip kurum sayısı da Kurul tarafından istenildiği şekilde artırılabillecektir.

İşbu yazı hakkında ek bilgi gerektiğinde aşağıdaki kişilerle irtibata geçmenizi rica ederiz.

Ersin Nazalı Yönetici Ortak, Avukat, YMM enazali@nazali.av.tr

Hatice Zümbül Direktör, Dava ve Uyuşmazlık Çözümü hzumbul@nazali.av.tr

Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.