Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun“) hakkındaki ilk yazımızı 11 Nisan 2016 tarihinde yayımlamıştık. İlgili Kanun’un Geçici Madde 1’inde bu Kanunda öngörülen yönetmeliklerin Kanun’un yayımı tarihinden itibaren bir yıl içinde (07.04.2017 tarihine kadar) yürürlüğe konulacağı belirtilmesine karşın aradan geçen zaman içinde Sağlık Bakanlığı tarafından 20.10.2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanan “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik” dışında başkaca bir alt mevzuat yayımlanmamıştı.
Kanun’un yayımlanarak yürürlüğe girmesi, ancak, bu konudaki ikincil mevzuatın henüz yayımlanmamış olması uygulamaya ilişkin birçok tereddütlü husus yaratıyor, buna karşın Kanuna uyumsuzluk durumunda oluşabilecek yaptırımların oldukça ağır olması da kişisel verileri işleme durumunda olan taraflar için sıkıntı yaratıyor. İşte bu çerçevede yayımlanması beklenen ikincil mevzuata ilişkin ilk taslak düzenleme olan “Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı” kanunla verilen görevleri yerine getirmek üzere kurulan Kişisel Verileri Koruma Kurumu (KVKK)’nun internet sitesinde 05.05.2017 tarihinde yayımlanarak kamuoyunun görüşüne açıldı.
Yönetmelik Taslağı’nı incelediğimizde kişisel verileri işleyen taraflar açısından iki temel hususun öne çıktığını görüyoruz:
1- Kişisel veri saklama ve imha politikasının ve
2- Kişisel veri işleme envanterinin oluşturulması.
Bu iki doküman, taslak düzenlemede öngörülen sicile kayıt sürecinde esas alınan temel dokümanlar olacağı için öncelikle hazırlanması gerektiği görülüyor.
Söz konusu dokümanlar Yönetmeliğin 4 üncü maddesinde aşağıdaki şekilde tanımlanmış:
Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteri ifade etmektedir. Sicile kayıt yükümlülüğü bulunan veri sorumluları Kişisel Veri İşleme Envanteri düzenlemekle yükümlü kılınmıştır. Sicile yapılacak başvurular sırasında verilmesi gereken bilgiler, kişisel veri işleme envanterine dayalı olarak hazırlanacaktır.
Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirlemek için dayanak yaptıkları politikadır. Ayrıca, Taslak Yönetmeliğin 9/5 fıkrasında, veri sorumluları; kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin Kişisel Veri İşleme Envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için Kişisel Veri Saklama ve İmha Politikası hazırlayarak bu politikanın uygulanmasını temin etmekle yükümlü kılınmıştır.
Bunun dışında sicile sunulacak kişisel verilerin azami saklama süresi gibi bazı bilgilerin veri kategorisi bazında sunulmasının gerekmesi envanter oluşturulması sürecinde ciddi bir veri kategorizasyonu çalışması yapılması gerektiğini de gösteriyor. Bu çerçevede Yönetmelik taslağı ile ilgili Kurum’un yayımladığı bilgi notunu da esas alarak derlediğimiz bilgiler aşağıda yer alıyor:
1- VERİ SORUMLULARININ SİCİLE KAYDOLMASI ZORUNLULUĞU
Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorunda (md. 5). Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanacak. Veri sorumlularının sicille ilgili yapacakları işlemler VERBİS (Veri sicil bilgi sistemi) üzerinden gerçekleştirilecek. Sicil kamuya açık biçimde tutulacak. Kişisel Verileri Koruma Kurulu (Kurul), kamuya açıklık ilkesine ilişkin kapsamı ve istisnaları belirleme yetkisini haiz kılınmış.
2- KAYIT YÜKÜMLÜLÜĞÜNÜN BAŞLANGIÇ SÜRESİ
Veri sorumluları, kişisel veri işlemeye başlamadan önce sicile kayıt yükümlülüklerini yerine getirmek zorunda. Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları ise, yükümlülük altına girmelerini müteakip 30 gün içerisinde sicile kaydolacaklar.
Veri sorumluları, Yönetmeliğin 9 uncu maddesinde belirtilen bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılacaklar. Bu kayıt sırasında sicile verilecek bilgiler Kişisel Veri İşleme Envanterine ve veri kategorilerine dayalı olacak.
Usulüne uygun bildirimde bulunmadığı tespit edilen veri sorumlusuna, bu eksiklikleri gidermesi için Başkanlıkça 30 gün ek süre verilecek. Başkanlık tarafından bu eksikliklerin esasa ilişkin olduğuna karar verilirse, söz konusu eksiklikler giderilinceye kadar kişisel veri işleme faaliyetini durdurması talep edilebilecek.
Bu konuda KVKK’nın yaptığı duyuruda da sicile kayıt işlemlerinin başlayacağı tarihe ilişkin olarak aşağıdaki bilgiler veriliyor:
“6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Geçici 1 inci maddesinin ikinci fıkrasında “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır” düzenlemesi yer almaktadır. Kanunun ilgili maddeleri gereğince Kurumumuzca ikincil mevzuat çalışmaları ve sicil kayıt sistemine ilişkin teknik alt yapı çalışmaları devam ettiğinden Kişisel Verileri Koruma Kurumu tarafından veri sorumluları siciline kayıt işlemlerinin başlayacağı tarih, bilahare internet sitemizde ilan edilecektir. Yapılacak ilan neticesinde veri sorumluları siciline kayıt işlemleri gerçekleştirilecektir.”
3- VERİ SORUMLUSU, VERİ SORUMLUSU TEMSİLCİSİ, İRTİBAT KİŞİSİ KAVRAMLARI
VERİ SORUMLUSU: Kanun uyarınca, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilere “veri sorumlusu” adı verilmektedir.
Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilecektir (Anonim şirket şeklinde kurulan bankalar ve diğer finans kurumları Türk Ticaret Kanunu (TTK)’nun 365 inci maddesi uyarınca yönetim kurulu tarafından yönetilmekte ve temsil olunmaktadır).
Tüzel kişiliği temsile yetkili organ, Kanun’un uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilecektir. Bu görevlendirme Kanun hükümleri uyarınca ilgili organın sorumluluğunu ortadan kaldırmamaktadır. Bu görevlendirmenin anonim şirketlerde Yönetim Kurulu Kararı ile yapılabileceği anlaşılmaktadır.
VERİ SORUMLUSU TEMSİLCİSİ: Kanunun uygulanması bakımından veri sorumlusu temsilcisi sadece Türkiye’de yerleşik olmayan veri sorumluları tarafından belirlenmesi gereken ve sicile kayıt başvurusu sırasında bildirilecek olan gerçek veya tüzel kişidir (md. 11/2). Bu açıdan Türkiye’de yerleşik gerçek ve tüzel kişiler açısından böyle bir temsilci atama yükümlülüğü bulunmamaktadır.
İRTİBAT KİŞİSİ: Türkiye’de yerleşik olan tüzel kişiler sicile kayıt sırasında irtibat kişisi bilgilerini bildirmekle yükümlü kılınmışlardır. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi iletişim noktası olarak ilgili kişilerin veri sorumlusuna yönelteceği taleplerin hızlı ve etkin olarak cevaplandırılmasını sağlamakla yükümlü olacaktır. İrtibat kişisi Kişisel Verileri Koruma Kurumu (“Kurum”) ve veri sorumlusu arasındaki iletişimin sağlanması ve yönetilmesinden sorumlu olacaktır.
Önemle belirtmek gerekir ki tüzel kişi olan veri sorumlularında, Kanun ve diğer ilgili yönetmelikler açısından sorumluluk ilgili tüzel kişiyi temsil ve ilzama yetkili organ (anonim şirketlerde yönetim kurulu) üzerindedir ve bu sorumluluk devredilememektedir.
4- SİCİLE VERİLECEK BİLGİLER
Veri sorumluları tarafından Sicile kayıt başvurusu sırasında aşağıdaki bilgilerin sunulması gerekmektedir:
– Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri,
– Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
– Kişisel verilerin hangi amaçla işleneceği,
– Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
– Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
– Yabancı ülkelere aktarımı öngörülen kişisel veriler,
– Veri güvenliğine ilişkin öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler.
Sicile açıklanacak kişisel verilerin işlendikleri amaç için gerekli olan azami süreye ilişkin bilgiler veri kategorileri ile eşleştirilerek sicile bildirilecektir. Veri sorumlusu tarafından sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan süreler farklı olabilecektir.
Bu durumda işlemeyi gerektiren amaç ve bu amacın gerektirdiği en uzun süre esas alınarak bu veri kategorisi için sicile bildirim yapılacaktır. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre belirlenirken;
a) İlgili veri kategorisiyle alakalı olarak işleme amacıyla veri sorumlusunun faaliyet gösterdiği sektörde genel teamül olarak ne kadar süre gerekli olduğu,
b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ilgili kişiyle tesis edilen hukuki ilişkinin ne kadar süre devam edeceği,
c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak ne kadar süre geçerli olacağı,
ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlukların hukuken ne kadar süre devam edeceği,
d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına elverişli olup olmadığı,
e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri ne kadar süre saklamak zorunda olduğu,
f) Veri sorumlusunun, ilgili kişisel veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresinin ne kadar olduğu,
dikkate alınacaktır.
Veri sorumluları tarafından Kanun’un 10 uncu maddesinde belirtilen aydınlatma yükümlülüğünde, Kanun’un 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak sicile sunulan ve sicilde yayımlanan bilgiler esas alınacaktır.
5- SİCİL ÜCRETİ
Veri sorumluları, Sicile ilk kayıt sırasında ve Sicilde kayıtlı olarak kaldığı sürece her yıl sicil ücreti ödemekle yükümlü kılınmıştır. Sicile ilk kayıt sırasında, bu kaydın yılın hangi ayında yapıldığına bakılmaksızın sicil ücreti tam olarak alınacak (kıstelyevm usulü uygulanmayacak) ve o yıl için bu kapsamda başkaca ücret alınmayacaktır. Sicil ücreti ilk yıl için kayıt sırasında, sonraki yıllar için ise o yılın Nisan ayının son gününe kadar Kurum’un banka hesabına yatırılacaktır.
6- KAYIT BİLGİLERİNDEKİ DEĞİŞİKLİKLERİN BİLDİRİLMESİ
Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, Taslak Yönetmeliğin 10 uncu maddesinde belirtilen usulle derhâl Kuruma bildirmekle yükümlü kılınmışlardır.
7- YAPTIRIM
Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde yer alan idari para cezası uygulanması öngörülmüştür. Bu çerçevede, söz konusu Kanun maddesinde 20.000 TL’den 1.000.000 TL’sine kadar idari para cezası öngörülmektedir.
Kabahatler
MADDE 18- (1) Bu Kanunun;
…
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
idari para cezası verilir.
Taslak Yönetmeliğin Resmi Gazete’de yayımlandığı tarihte yürürlüğe girmesi öngörüldüğünden veri sorumlularının Yönetmeliğin nihai halini alacağı bu ara dönemde “Kişisel Veri İşleme Envanteri” ve “Kişisel Veri Saklama ve İmha Politikası“nı oluşturmalarının faydalı olacağını düşünüyoruz.
Saygılarımızla,
Hamdi GİRGİN
“NOT: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir.”
Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı