Bilindiği gibi, Kişisel Verilerin Korunması Kanunu’na dayalı olarak ilk çıkan yönetmelik 20 Ekim 2016 tarihide Resmi Gazetede yayımlanan “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik”ti. Söz konusu yönetmelik büyük ölçüde Sağlık Bakanlığı tarafından hazırlanmış olan ve hükümlerinin Sağlık Bakanlığı tarafından yürütüldüğü bir yönetmelikti.
Şimdi de karşımızda geçtiğimiz hafta Cuma günü (5 Mayıs 2017) Kişisel Verileri Koruma Kurumu’nun web sitesinde yayımlanan “Veri Sorumluları Sicil Hakkında Yönetmelik Taslağı” var. Bu taslak tamamen Kurul tarafından hazırlanan ilk taslak olma özelliğini taşıyor. Kurul, 20 Mayıs 2017 tarihine kadar taslak hakkında kamuoyundan görüş toplayacak.
Taslak, kişisel veri sisteminin kurulmasından ve yönetilmesinden sorumlu olan Veri Sorumlularının kaydolması gereken Veri Sorumluları Sicilinin oluşturulması ile sicile yapılması gereken başvuru ve kayıtlara ilişkin usûl ve esasları düzenliyor.
Taslağın Veri Sorumlularına hiç de azımsanamayacak yükümlülükler yüklediğini söylemek yanlış olmaz. Taslak ayrıca “Kişisel Veri Envanteri”, “Kişisel Veri Saklama ve İmha Politikası” gibi kavramların tanımlarını içermesi ile yol gösterici bir niteliğe sahip.
Taslakta dikkat çeken diğer bir husus ise, Türkiye’de yerleşik olmayan Veri Sorumlularının, Türkiye’de yerleşik bir Veri Sorumlusu Temsilcisi ataması yükümlülüğü olarak karşımıza çıkıyor. Bu yükümlülükten, verileri işlenen kişilerin (veri süjelerinin/ilgili kişilerin) Türkiye’de olması halinde Kanun’un uygulama alanının yurtdışına kadar uzanacağı anlamı çıkıyor. Bu yaklaşım AB Genel Kişisel Verileri Koruma Tüzüğü ile (GDPR) paralellik gösteriyor. Bununla birlikte kanımızca mevzuat sistematiği açısından Kanunun uygulama alanın (yurtdışındaki Veri Sorumlularına etkisinin) Kanunda açıkça belirtilmesi, bir yönetmelik maddesi ile zımni olarak ima edilmesinden daha doğru bir yaklaşım olur. Bunun Kanuna yapılacak tadillerde gündeme geleceğini öngörüyoruz.
Taslakla ilgili bazı önemli hususları aşağıda belirttik:
1. Sınırlı sayıda istisna
Taslak, sicile kaydolması gereken gerçek ve tüzel kişilerin kapsamına ilişkin istisnaları, “Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması” “İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi” ve bunlar gibi birkaç istisna ile çok sınırlı olarak belirtilmiş.
Bununla birlikte, Taslakta Kurula ayrıca “tamamen veya kısmen otomatik olarak gerçekleşmeyen kişisel veri işleme faaliyetleriyle ilgili olarak” kayıt yükümlülüğüne istisna getirme hakkı verilmiş. Kurul bu istisnaları “Kişisel verinin niteliği”, “Kişisel verinin işlendiği faaliyet alanı”, “Veri sorumlusunun yıllık cirosu”, “Veri sorumlusunun istihdam ettiği çalışan sayısı” ve bunlar gibi bazı kriterlere göre belirleyecek.
Eğer bir ifade hatası değilse, Kurulun istisna getirebilme yetkisinin “tamamen veya kısmen otomatik olarak gerçekleşmeyen kişisel veri işleme faaliyetleriyle” sınırlandırılmış olmasının çok yerinde bir düzenleme olmadığı görüşündeyiz.
2. Kuruma kayıt için başvuru prosedürü
Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorundalar. Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları ise yükümlülük altına girmelerinin ardından 30 gün içerisinde Sicile kaydolmak zorundalar. Taslakta herhangi bir geçiş dönemi ön görülmediği için bu sürenin Taslağın Yönetmelik olarak yayımlanması halinde uygulanacak süre olacağı anlaşılıyor. Bununla birlikte başvuru için Kurumdan bir kereye mahsus ek süre talep edilebilecek.
Kayıt başvurusu kapsamında Sicile sunulacak bilgiler Kişisel Veri İşleme Envanteri’ne dayalı olarak hazırlanacak.
Kişisel Veri İşleme Envanteri ise Taslakta “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; (i) kişisel veri işleme amaçları, (ii) veri kategorisi, (iii) aktarılan alıcı grubu ve (iv) veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanter” olarak tanımlanmış.
Dolayısıyla tüm kurum ve kuruluşların Kanun kapsamında dönüşüm süreçlerini tamamlayarak Taslakta tanımlandığı şekilde Kişisel Veri Envanterlerini bir an önce hazırlamaları gerekiyor.
Kayıt başvurusu sırasında sicile aşağıdaki bilgiler iletilecek:
(a) Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri kapsamında; Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler, (b) Kişisel verilerin hangi amaçla işleneceği, (c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, (ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, (d) Yabancı ülkelere aktarımı öngörülen kişisel veriler, (e) Kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara hukuka aykırı erişilmesini önlemek ile bunların muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler (Kanun m. 12), (f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
Taslak ayrıca azami süre belirlerken dikkate alınacak kriterleri de yol gösterici olarak belirtiyor. Bu kriterlere “İlgili veri kategorisiyle alakalı olarak işleme amacıyla veri sorumlusunun faaliyet gösterdiği sektörde genel teamül olarak ne kadar süre gerekli olduğu”, “Veri sorumlusunun, ilgili kişisel veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresinin ne kadar olduğu” örnek olarak gösterilebilir.
Kuruma çoğu bilgi VERBİS adı verilen ve internet üzerinden erişilebilen bilişim sistemi üzerinden iletilebilecek.
Elbette Veri Sorumluları VERBİS aracılığıyla bu bilgilerin güncel ve doğru olmalarını da temin edecek.
3. Kişisel Veri Saklama ve İmha Politikası
Veri sorumluları, (i) kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi ve (ii) bu sürelerin Kişisel Veri İşleme Envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için Kişisel Veri Saklama ve İmha Politikası hazırlayarak, bu politikanın uygulanmasını temin etmekle yükümlü olacaklar.
4. Sicile erişim
Sicil kamuya açık olacak ve Veri Sorumlusu tarafından Sicile kayıt için verilecek birçok bilgi Kurum tarafından kamuya açıklanacak.
5. Yurtdışındaki Veri Sorumluları için özel düzenleme: Veri Sorumlusu Temsilcisi
Türkiye’de yerleşik olmayan veri sorumluları, “Kurul veya Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme”, “Kurul veya Kurum tarafından veri sorumlusuna yöneltilen taleplere veri sorumlusu adına cevap verme” ve bunlar gibi konularda temsile yetkili olacak olan Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi atayacaklar.
6. İrtibat kişisi
Türkiye’de yerleşik olan tüzel kişiler ve tüzel kişi veri sorumlusu temsilcileri bir irtibat kişisi atayacaklar. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili olmayacak. Sadece iletişim noktası olarak ilgili kişilerin veri sorumlusuna yönelteceği taleplerin hızlı ve etkin olarak cevaplandırılmasının sağlanması ile Kurul ve Kurum tarafından yapılacak iletişimlerde irtibata geçilmesi amacıyla görevli olacak.
7. Sorumlu kişiler
Taslak, kanımızca biraz da amacını aşarak yine bir yol gösterici tavır almış ve kamuoyundaki bazı tereddütleri gidermek amacıyla Kanun ve Yönetmelik kapsamında kimlerin nelerden sorumlu olduğunu şu şekilde belirtmiş:
(a) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir;
(b) Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ (örn. Anonim Şirket’te Yönetim Kurulu) veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir;
(c) Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca ilgili organın sorumluluğunu ortadan kaldırmaz;
(d) Tüzel kişiliği ilgili mevzuat hükümleri uyarınca temsil ve ilzama yetkili organ Kanunun uygulanması bakımından sorumluluklarını üyelerinden bir veya birkaçına veya tüzel kişilik içinde veya dışında bir veya birden fazla kişiye devredemez.
Taslağın bu yol gösterici yaklaşımını genel olarak olumlu bulmakla birlikte, bir anonim şirkette yönetim kurulunun tamamının Kanun uygulamasından sorumlu olması ve bunu belirli kişilere devredememesi hükmünün ticaret/şirketler hukukunun temel prensipleri ile çeliştiği görüşündeyiz.
8. Sicile kayıt ücreti
Veri sorumluları ilk kayıt sırasında ve sonrasında senelik olarak sicile ücret ödeyecekler.
9. İdari para cezası
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar para cezası uygulanacak.
Taslak metnine şu linkten ulaşabilirsiniz: Taslak Yönetmelik
----
Yayınlanma Tarihi: 9 Mayıs 2017
Sitemizde zorunlu çerez kullanıyoruz. Kullandığımız bu çerez ve bu çerezi nasıl devre dışı bırakacağınız hakkında bilgi edinmek için Çerez Aydınlatmamıza bakabilirsiniz. Çerez Aydınlatması