6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 07.04.2016 tarihinde resmi gazetede yayımlanmasından kısa bir süre sonra, Veri Sorumluları Sicili Yönetmelik (“Yönetmelik”) taslağı da hazırlanmış ve yakın süre içerisinde son halini alması beklenmektedir.
Resmi gazetede yayım tarihi ile birlikte yürürlüğe girmiş olan Kanun hükümlerine göre, Kanun yürürlüğe girene kadar işlenmiş olan tüm kişisel verilerin iki yıl içinde Kanun hükümleri ile uyumlu hale getirilmesi gerekmektedir. Aksi durum, Kanun’a aykırılık anlamına gelecek ve idari para cezası ve/veya hapis ve/veya maddi manevi zarar tazminat taleplerine yol açabilecektir. Bu sebeple, gerekli adımların bir an evvel atılarak tüm kurum, kuruluş, şirketlerin, uygulamalarını Kanun’a uygun hale getirmesi önem arz etmektedir.
İşbu çalışma ile Yönetmelik taslağı hakkında özet bilgi vermek hedeflenmektedir.
Veri Sorumlusu ve Veri Sorumluları Sicili Nedir?
Kanuna göre, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilere “veri sorumlusu” adı verilmektedir. Örneğin, çalışanlarının kişisel verilerini toplamakta olan bir mali müşavirlik firmasının veya müşterilerinin kişisel verilerini toplayan bir çağrı merkezinin veri sorumlusu olarak değerlendirilmesi gerekmektedir.
Veri Sorumluları Sicili (“Sicil”) veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir.
Tüzel Kişilerde Veri Sorumlusu Kimdir?
Tüzel kişilerde Veri Sorumlusu tüzel kişinin kendisidir. Tüzel kişi bu açıdan sorumluluklarını, Şirketi temsil ve ilzama yetkili organ marifeti ile yerine getirecektir.Şayet Veri Sorumlusu Türkiye’de yerleşik değilse, Veri Sorumlusu’nu Yönetmelik’te belirtilen asgari şekilde temsil etmek üzere gerçek veya tüzel kişi atanmalıdır.
Sicile Kayıt Olmak Zorunda mıyım?
Kural olarak, şayet mevzuata göre muafiyet halleri bulunmuyorsa, tüm Veri Sorumluları sicile kayıt olmak zorundadır.
Muafiyet Halleri Nelerdir?
Kanun’un, 28. maddesinde bazı muafiyet halleri belirlenmiştir. Örneğin, Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi; kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi; kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi; Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi; kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi, halleri muafiyet kapsamındadır.
Ancak Kanun’da sayılan bu muafiyet hallerinden ayrı olarak, kişisel verinin niteliği, sayısı, saklanma süresi ve işlenme amacı gibi hususları dikkate alarak Kişisel Verileri Koruma Kurulu’nun da bazı durumlarda muafiyet tanıyabileceği düzenlenmiştir.
Sicile kayıt için süre var mı?
Veri Sorumluları kişisel veri işlemeye başlamadan evvel veya böyle bir yükümlülük doğduktan sonra 30 gün içinde sicile kayıt olmakla yükümlüdürler. Söz konusu yükümlülüğün ihlali 20.000.-TL’den 1.000.000.-TL’ye kadar idari para cezasına sebep olabilecektir.
Sicile kayıt ücreti var mı?
Sicile ilk kayıt için ve kayıtlı kalındığı süre içinde her yıl Kurul tarafından belirlenecek ücretin ödenmesi gerekmektedir. Bu ücretler henüz belirlenmemiştir.
Sicil ile paylaşılacak bilgiler nelerdir?
Veri sorumluları tarafından Sicile kayıt başvurusu sırasında aşağıdaki bilgilerin sunulması gerekmektedir:
- Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri,
- Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
- Kişisel verilerin hangi amaçla işleneceği,
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Veri güvenliğine ilişkin öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler.
Kişisel Veri Envanteriniz hazır mı?
Sicile kayıt yükümlülüğü bulunan veri sorumluları Kişisel Veri İşleme Envanteri düzenleme yükümlülüğü altındadır. Kişisel veri işleme envanteri, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteri ifade etmektedir. Kişisel Verilerin sınıflandırılması toplanan ve işlenen kişisel verilerin tespit ve takibine yardımcı olacaktır. (Hangi kişisel veriler, ne amaçla toplandı?, Bu veriler kim tarafından toplandı?, Nerede saklanıyor?, Veriler kime ifa edildi?)
Kişisel veri saklama ve imha politikanız bulunuyor mu?
Sicile kayıt yükümlülüğü bulunan veri sorumluları, veri işleme amaçlarının gerektirdiği azami veri işleme sürelerini düzenleyen Kişisel Veri Saklama ve İmha Politikası düzenleme yükümlülüğü altındadır.İşbu çalışma taslak Yönetmelik dikkate alınarak hazırlanmış olup Yönetmelik’te meydana gelebilecek değişikliklere bağlı olarak revize edilebilecektir.
Av. Vedia Nihal Koyuncu
TEMMUZ 2017
Tarlan Avukatlık Bürosu Bloğu 