Veri Sorumluları Sicili Hakkında Yönetmelik Yayımlandı
30 Aralık 2017 tarihli ve 30286 sayılı Resmi Gazete’de Kişisel Verileri Koruma Kurumu (KVKK) tarafından “Veri Sorumluları Sicili Hakkında Yönetmelik” (“Yönetmelik“) yayımlandı. Bu Yönetmelik taslak halinde iken yaptığımız incelemelere 11 Mayıs 2017 tarihli yazımızda yer vermiştik.
01.01.2018 tarihi itibarıyla yürürlüğe giren bu Yönetmelik, kişisel veri işleyen veri sorumlularının, Veri Sorumluları Sicili’ne yaptırmaları gereken kayda ilişkin esas ve usulleri düzenliyor. KVKK, Yönetmeliğin Resmi Gazete’de yayımlanması ile birlikte Veri Sorumluları Sicili’ne kayıt ve bu Yönetmelikle getirilen yükümlülükler hakkında 02.01.2018 ve 05.01.2018 tarihlerinde olmak üzere iki de duyuru yayımladı.
Bu çerçevede, Yönetmeliğin nihali hali ve KVKK tarafından yayımlanan duyurular ışığında önemli görülen hususlar aşağıda verilmektedir.
VERİ SORUMLUSU VE VERİ SORUMLULARI SİCİLİ NEDİR?
6698 sayılı Kanun uyarınca, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilere “veri sorumlusu” adı verilmektedir. Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir (Yönetmelik md. 11/1).
Veri Sorumluları Sicili (Sicil) ise veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Sicile ilişkin işlemler, veri sorumluları tarafından Veri sorumluları Sicil Bilgi Sistemi (VERBİS) üzerinden gerçekleştirilecektir.
VERBİS NEDİR?
VERBİS, veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu Başkanlığı (Başkanlık) tarafından oluşturulan ve yönetilen bilişim sistemidir (Yönetmelik md. 4). Söz konusu sistem henüz hizmete açılmamıştır.
02.01.2018 tarihinde KVKK internet sitesinde yapılan duyuruda, VERBİS’in hizmete açılması ve Kurul tarafından bir başlangıç tarihi belirlenmesi akabinde Sicile kayıt yükümlülüğünün başlayacağı; kayıt yükümlülüğünün başlaması hususunda ayrıca bir duyuru yapılacağı belirtilmiştir.
SİCİLE KAYIT OLMAK ZORUNDA OLAN VERİ SORUMLULARI VE İSTİSNALARI
Kural olarak tüm veri sorumluları Sicile kayıt olmakla yükümlüdür. Kurul, Yönetmeliğin 16 ncı maddesindeki kriterleri göz önünde bulundurarak Sicile kayıt mecburiyetine istisna getirmek amacıyla karar almaya yetkilidir. Bu belirleme henüz yapılmamıştır.
02.01.2018 tarihinde KVKK internet sitesinde yapılan duyuruda, Sicile kayıt yükümlülüğüne getirilecek istisnalar hakkında bir Kurul Kararı yayımlanacağı belirtilmiştir. Bu Kararın ilan edilmesiyle birlikte kayıt yükümlüsü veri sorumluları da belirlenmiş olacaktır.
VERİ SORUMLULARI SİCİLİNE KAYIT YÜKÜMLÜLÜĞÜ NE ZAMAN BAŞLAYACAKTIR?
Kural olarak veri sorumlularının Sicile, veri işleme faaliyetlerine başlamadan önce kaydolmaları gerekmektedir. Başlangıçta kayıt yükümlülüğü bulunmayan ancak sonradan kayıt yükümlüsü haline gelen veri sorumlularının ise, yükümlülük altına girmelerinden itibaren 30 gün içerisinde Sicile kaydolmaları gerekmektedir.
Diğer taraftan, 6698 sayılı Kanun’un Geçici 1 inci maddesinin ikinci fıkrasında “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır.
Bu çerçevede, Yönetmeliğin yürürlük tarihi 01.01.2018 olarak belirlenmiş olmakla birlikte, bu durum Sicile kayıt yükümlülüğünün başladığı anlamına gelmemektedir. KVKK internet sitesinde konuya ilişkin yapılan duyuruda, KVKK tarafından istisnalara ait alınan Kararın ilan edilmesi, VERBİS’in hizmete açılması ve Kurul tarafından Veri Sorumluları Siciline kayıt için bir başlangıç tarihi belirlenerek kamuoyu ile paylaşılması akabinde Veri Sorumluları Sicili’ne kayıt yükümlülüğünün başlayacağı belirtilmiştir.
VERİ SORUMLULARINCA SİCİLE KAYIT ÖNCESİ YAPILMASI GEREKEN İŞLEMLER NELERDİR?
6698 sayılı Kanun kapsamında veri sorumluları hakkında getirilmiş olan yükümlülükler;
- Kanunun Geçici 1 inci maddesinin 3 üncü fıkrasına istinaden, daha önce işlenmiş olan kişisel veriler Kanun’un yayımı tarihinden (07.04.2016) 2 yıl içerisinde Kanun hükümlerine uygun hâle getirilmelidir. Buna göre, Kanunun 4 üncü maddesindeki ilkelere aykırı olarak veya 5 ve 6 ncı maddelerinde sayılan işlenme şartları olmaksızın işlenmiş kişisel veriler, bu ilke ve şartlara uygun hale getirilmeli; getirilemiyorsa derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Yönetmelikle veri sorumluları hakkında getirilmiş olan yükümlülükler;
- Veri Sorumluları Sicili’ne kayıt yükümlülüğü bulunan veri sorumlularının “kişisel veri işleme envanteri” ve “kişisel veri saklama ve imha politikası” hazırlaması gerekmektedir.
SİCİLE KAYIT BAŞVURUSU SIRASINDA HANGİ BİLGİLER VERİLECEKTİR?
Yönetmeliğin 9 uncu maddesine göre veri sorumluları tarafından Sicile kayıt başvurusu sırasında aşağıdaki bilgilerin sunulması gerekmektedir:
– Veri sorumlusu ve irtibat kişisine ait kimlik ve adres bilgileri,
– Kişisel verilerin hangi amaçla işleneceği,
– Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
– Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
– Yabancı ülkelere aktarımı öngörülen kişisel veriler,
– Veri güvenliğine ilişkin öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
– Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
İRTİBAT KİŞİSİ VE GÖREVLERİ
Türkiye’de yerleşik olan veri sorumluları ile yurt dışında yerleşik olan ve tüzel kişi veri sorumlusu temsilcisi atayan veri sorumluları, Sicile kayıt ve diğer işlemler için bir irtibat kişisi atamakla yükümlüdür. Atanan bu kişi, veri sorumlusunun temsilcisi değildir. İrtibat kişisi Kişisel Verileri Koruma Kurumu (“Kurum”) ve veri sorumlusu arasındaki iletişimin sağlanması ve yönetilmesinden sorumludur.
Önemle belirtmek gerekir ki tüzel kişi olan veri sorumlularında, Kanun ve diğer ilgili yönetmelikler açısından sorumluluk ilgili tüzel kişiyi temsil ve ilzama yetkili organ (anonim şirket şeklinde kurulan banka ve finans kurumlarında yönetim kurulu) üzerindedir. İrtibat kişisi olarak yapılan görevlendirme, Kanun hükümleri uyarınca veri sorumlusunun sorumluluğunu ortadan kaldırmamaktadır. Yönetmeliğin 11/1 maddesindeki hükümler çerçevesinde irtibat kişisi görevlendirmesinin Yönetim Kurulu Kararı ile yapılması gerektiği anlaşılmaktadır (Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz).
Kanun’un 16 ncı maddesi gereği veri sorumlusu veya veri sorumlusu temsilcisinin adı soyadı ve adresi ile irtibat kişisinin adı soyadı ve adresi bilgisi ilgili kişilerce gerektiğinde başvuru yapılabilmesi için yayımlanmak zorunda olduğundan VERBİS’te bu bilgiler yer alacaktır.
KAYIT YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMEMESİNİN YAPTIRIMI
6698 Sayılı Kanunun 18 inci maddesinin (ç) bendinde, Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğü kapsamında olmasına rağmen bu yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kişisel Verileri Koruma Kurulu’nca 20.000 TL ila 1.000.000 TL arasında idari para cezası uygulanacağı hüküm olunmuştur.
KVKK TARAFINDAN YÖNETMELİĞE İLİŞKİN YAPILAN DUYURULAR
KVKK internet sitesinde 02.01.2018 tarihinde yapılan duyuruda, Kanun ve Yönetmelik hükümleri gereği veri sorumlularınca yapılması gereken iş ve işlemlerle ilgili olarak detaylı bilgilendirme metninin önümüzdeki günlerde Kurum internet sayfasından ayrıca duyurulacağı belirtilmiştir. Söz konusu duyuruda belirtilen bilgilendirme metni de Kurum internet sitesinde 05.01.2018 tarihinde yayımlanmıştır. Bununla birlikte, henüz sicile kayıt olması gereken veri sorumluları ve kayıt yükümlülüğünün başlangıç tarihine ilişkin bir açıklama yapılmamıştır.
Saygılarımızla,
Hamdi GİRGİN
“NOT: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir.”
Makalenin yazarı Hamdi Girgin 2001 – 2004 yılları arasında Bankalar Yeminli Murakıp Yardımcısı, 2004 yılından 2010 yılı sonuna kadar da Bankalar Yeminli Murakıbı olarak Bankacılık Düzenleme ve Denetleme Kurumu’nda görev yaptı. 2011 yılı başından bu yana özel bir bankada Mevzuat ve Uyum Müdürü olarak görev yapmaktadır. Bankacılık, AML ve sermaye piyasası mevzuatı başta olmak üzere banka ve finans kurumlarını ilgilendiren her türlü mevzuat üzerinde çalışmaktadır.
VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK
