Duyurumuz; 24.3.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca oluşturulacak olan Veri Sorumluları Sicilinin usul ve esaslarını belirleme amacıyla düzenlenerek, 30.12.2017 tarihli ve 30186 sayılı Resmi Gazete’de yayımlanan ve 01.01.2018 tarihinde yürürlüğe giren, Veri Sorumluları Sicili Hakkında Yönetmelik metnine ilişkindir.
Veri Sorumluları Sicilinin Genel Esasları;
Yönetmelikte, Veri Sorumluları Sicilinin (“Sicil”), Başkanlık tarafından, belirtilen ilke ve esaslara uygun şekilde oluşturulacağı düzenlenmiş; bu ilke ve esaslar ilgili maddede sayılmıştır. Buna göre; veri sorumluları kişisel veri işlemeye başlamadan önce Sicile kayıt olmalı, eğer veri sorumlusu Türkiye’de ikamet etmiyor ise kayıt işlemlerini veri sorumlusu temsilcisi aracılığıyla yapmalı, Sicil kamuya açık şekilde tutulmalı ve kamu erişimine sınırlama getirilmesi gerekiyorsa bu kamuya açıklık ilkesine aykırılık oluşturmayacak şekilde yapılmalı, başvurular sırasında sağlanacak bilgiler Kişisel Veri İşleme Envanterine uygun olarak hazırlanmalıdır. Bunlara ek olarak; Kanunda veri sorumlularına getirilen aydınlatma yükümlülüğü ve ilgili kişilerin başvurularına cevap verilmesi ile açık rızanın belirlenmesi kapsamında envantere dayalı olarak Sicile sunulan bilgilerin esas alınacağı düzenlenmektedir.
Veri sorumluları; Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumlu olmakla birlikte; Yönetmelik, Sicile kayıt ve bildirim yükümlülüklerine aykırı davranan veri sorumlularına idari para cezası uygulanmasına ilişkin olarak Kanun’un ilgili maddesine atıfta bulunmuştur.
Yönetmeliğe göre; Türkiye’de yerleşik olmayan veri sorumlularının, Kanun ve Yönetmelik çerçevesinde öngörülen yükümlülüklerini yerine getirmek üzere, bu çerçevede asgari yetkileri haiz olacak şekilde, veri sorumlusu temsilcisi tayin etmeleri ve bu kişinin kimlik ve adres bilgilerini sicile bildirmeleri gerekmektedir.
Yönetmelikte Sicil ile ilgili usul ve esaslar düzenlenirken, aynı zamanda Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) de Sicilin oluşturulması ve uygulanması kapsamında tanıtılarak, bunun usul ve esasları belirlenmiş; Sicile kayıt ve kaydın silinmesi başvurusu işlemlerinin, veri sorumluları tarafından VERBİS üzerinden gerçekleştirilmesi öngörülmüştür. Yönetmelikte ayrıca, kayıt bilgilerinde değişiklik olması halinde, bu durumun yedi (7) gün içinde VERBİS üzerinden Kişisel Verileri Koruma Kurumu’na bildirilmesi gerektiğini öngörmektedir.
Kayıt Yükümlülüğü;
Veri sorumluları, veri işlemeye başlamadan önce Sicile kayıt olmak zorundadır. Kayıt yükümlülüğünün sonradan doğması halinde ise bu yükümlülüğün başlangıcını takip eden otuz (30) gün içinde Sicile kayıt olunmalıdır. Yönetmelikte öngörülen kayıt yükümlülüğü, aşağıda sayılan bilgilerin VERBİS üzerinden iletilmesiyle yerine getirilmiş sayılacaktır.
Kayıt kapsamında iletilmesi gereken bilgiler:
Veri sorumluları bu bilgileri VERBİS’te belirtilen başlıklar ile VERBİS üzerinden Sicile iletir.
Kişisel verilerin muhafaza süreleri, ilgili veri kategorisi ile eşleştirme yapılarak Sicile bildirilir. Eğer veri sorumlularının işledikleri verilerin kategorileri ve işleme amaçları doğrultusunda gerekli olan azami muhafaza süresi, mevzuatta belirtilen süreden farklı ise bildirim; mevzuatta öngörülen azami süre ile ya da mevzuatta süre öngörülmeyen hallerde mevcut en uzun süre ile yapılır.
Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresinin belirlenmesi kapsamında dikkate alınması gereken kategoriler Yönetmelikte aşağıdaki şekilde sayılmıştır:
Kayıt yükümlülüğünü gerektiren faaliyetin sona ermesi ya da ortadan kalkması halinde, sicil kaydı, istendiğinde erişilebilecek ancak üzerinde değişiklik yapılamayacak şekilde silinir. Sicil kaydının silinmesi, veri sorumlusunun Sicile kayıtlı olduğu dönemdeki yükümlülüklerini ortadan kaldırmaz.
Kayıt Yükümlülüğünün İstisnaları;
Veri sorumlusunun, kişisel verilerin işlenmesi bakımından her faaliyetini Sicile bildirme yükümlülüğü bulunmamaktadır. Yönetmelik bazı istisnalar tanımıştır. Bu kapsamda, (i) kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, (ii) ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi, (iii) kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması, (iv) kişisel veri işlemenin bütçeye, vergiye ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması hallerinden birinin varlığında, veri sorumlusunun bu işlemi bildirme zorunluluğu bulunmamaktadır.
Yönetmelik ayrıca kişisel verinin niteliği, sayısı, işlenme amacı, işlendiği faaliyet alanı, üçüncü kişilere aktarılma durumu ile veri işleme faaliyetinin kanunlardan kaynaklanması, verilerin muhafaza süresi ve veri konusu kişi grubu veya veri kategorilerinin göz önünde bulundurulması suretiyle; Kişisel Verileri Koruma Kurulu tarafından kayıt yükümlülüğüne istisna getirilebileceğini hüküm altına almıştır.
İşbu yazı hakkında ek bilgi gerektiğinde Ersin Nazalı ile irtibata geçmenizi rica ederiz.|
Ersin Nazalı Yönetici Ortak, Avukat, YMM |
Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.