VERİ SORUMLULARI SİCİLİ HAKKINDA BİLGİLENDİRME
Veri Sorumluları Sicili Hakkında Yönetmelik (“Yönetmelik”) 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanmış ve 01.01.2018 tarihinde yürürlüğe girmiştir.
- Veri Sorumlularınca Yapılması Gereken İşlemler Nelerdir?
Veri sorumluları için 6698 sayılı Kanunda ve Yönetmelikte yükümlülükler belirlenmiştir.
6698 sayılı Kanun kapsamında;
- Kanunun 16 ncı maddesi 1 inci fıkrasında, Veri Sorumluları Sicilinin Başkanlık tarafından kamuya açık olarak tutulacağı hükmü yer almaktadır. Bu kapsamda öncelikle Veri Sorumluları Sicili Bilgi Sistemi (“VERBİS”) Başkanlığımızca hazırlanarak hizmete açılacaktır.
- Kanunun 16 ncı maddesi 2 nci fıkrasında, Kurul tarafından Veri Sorumluları Siciline (“Sicil”) kayıt zorunluluğuna istisna getirilebileceği hükmü yer almaktadır. Bu kapsamda Kurulca kayıt yükümlülüğüne istisna konusunda Karar alınarak ilan edilmesi gerekmektedir. Kararın ilan edilmesiyle birlikte kayıt yükümlüsü veri sorumluları da belirlenmiş olacaktır.
- Kanunun Geçici 1. maddesinin 2 nci fıkrasına göre veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır. Buna göre, Kişisel Verileri Koruma Kurulunca kayıt yükümlülüğü için bir başlangıç tarihinin belirlenmesi gerekmektedir.
- Söz konusu tarihin Kurul tarafından belirlenerek ilan edilmesiyle de Veri Sorumluları Siciline kayıt yükümlülüğü başlayacaktır.
- Kanunun Geçici 1 inci maddesinin 3 üncü fıkrasına istinaden, daha önce işlenmiş olan kişisel veriler Kanun hükümlerine uygun hâle getirilmelidir. Buna göre, Kanunun 4. maddesindeki ilkelere aykırı olarak veya 5 ve 6. maddelerinde sayılan işlenme şartları olmaksızın işlenmiş kişisel veriler, bu ilke ve şartlara uygun hale getirilmeli, getirilemiyorsa silinmeli, yok edilmeli veya anonim hale getirilmelidir.
- Kanunun Geçici 1 inci maddesinin 5 inci fıkrasına istinaden, veri sorumlusu sıfatına haiz kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Kişisel Verileri Koruma Kurumuna bildirilmelidir.
Yönetmelik kapsamında da;
Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumlularının “kişisel veri işleme envanteri” ve “kişisel veri saklama ve imha politikası” hazırlaması gerekmektedir.
- Kişisel Veri İşleme Envanteri Nedir?
Kişisel Veri İşleme Envanteri Yönetmeliğin 4 üncü maddesinde tanımlanmış olup envanterde;
- Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini;
- kişisel veri işleme amaçları,
- veri kategorisi,
- aktarılan alıcı grubu ve
- veri konusu kişi grubuyla ilişkilendirerek oluşturdukları,
- kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi,
- yabancı ülkelere aktarımı öngörülen kişisel verileri ve
- veri güvenliğine ilişkin alınan tedbirler,
yer almalıdır.
- Kişisel Veri İşleme Envanteri İçin Herhangi Bir Şekil Şartı Var Mıdır?
Kanun ve Yönetmelikte söz konusu envanter için herhangi bir şekil şartı belirlenmemiştir. Kişisel Veri İşleme Envanteri, kolayca erişilebilir, veri sorumlusunca arzu edilen metin veya liste gibi bir formatta, veri sorumlusu ve yaptığı kişisel veri işleme faaliyetlerine ilişkin doğru bilgi sahibi olunabilecek düzeyde olmalıdır.
Ayrıca, Yönetmeliğin 5 ve 9 uncu maddelerine göre, Veri Sorumluları Siciline açıklanacak bilgiler konusunda, aydınlatma yükümlülüğünün yerine getirilmesinde, veri sorumlusuna başvuruların yanıtlanmasında ve açık rızanın kapsamının belirlenmesinde Kişisel Veri İşleme Envanterinden faydalanılacağı belirlenmiştir.
- Veri Sorumluları Siciline Kayıt Yükümlülüğü Kimleri Kapsar?
6698 sayılı Kanunun 16 ncı maddesine göre; kişisel veri işleyen gerçek ve tüzel kişiler, kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, Kanunun 28 inci maddesinde belirtilen hallerde ve Kanunun 16 ncı maddesine göre Kurulca getirilen istisnalar kapsamına giren veri sorumlularınca kişisel veri işlenmesi halinde kayıt zorunluluğu yoktur.
Veri Sorumluları Siciline kayıt yükümlülüğüne getirilecek istisnalar Kurul tarafından belirlenecektir.
- Veri Sorumluları Siciline Kayıt Yükümlülüğü Ne Zaman Başlayacaktır?
6698 sayılı Kanunun 16 ncı maddesinde; Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceği ve Veri Sorumluları Sicilinin Başkanlık tarafından kamuya açık olarak tutulacağı hükmü yer almaktadır. Bu kapsamda Kurul tarafından kayıt yükümlülüğüne istisna konusunda Karar alınarak ilan edilecek, Başkanlığımızca da Veri Sorumluları Sicili Bilgi Sistemi (VERBİS) hazırlanarak hizmete açılacaktır.
Ayrıca Kanunun Geçici 1 inci maddesinin ikinci fıkrasında “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır.
Yönetmeliğin yürürlük tarihinin 01.01.2018 olarak belirlenmiş olması, Sicile kayıt yükümlülüğünün başladığı anlamına gelmemektedir. Buna göre, Kurul tarafından istisnalara ait Kararın ilan edilmesi, VERBİS’in hizmete açılması ve Kurul tarafından Veri Sorumluları Siciline kayıt için bir başlangıç tarihi belirlenerek kamuoyu ile paylaşılması akabinde Veri Sorumluları Siciline kayıt yükümlülüğü başlayacaktır.
- İrtibat Kişisi Kimdir, Nasıl Atanır, Görev ve Sorumlulukları Nelerdir?
- Veri sorumlusu eğer Türkiye’de yerleşik olan bir tüzel kişi ise, bir irtibat kişisi atamak ve Veri Sorumluları Siciline kayıt sırasında atadığı bu irtibat kişisine ait bilgileri VERBİS’e işlemek zorundadır.
Söz konusu irtibat kişisi, veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumludur. 6698 sayılı Kanun kapsamındaki yükümlülük ve yaptırımlar açısından sorumluluk irtibat kişisinde değil bu tüzel kişiyi temsil ve ilzama yetkili organ üzerindedir. İrtibat kişisi olarak yapılan görevlendirme, Kanun hükümleri uyarınca veri sorumlusunun sorumluluğunu ortadan kaldırmaz.
- Veri sorumlusu eğer bir kamu kurumu ise, 6698 sayılı Kanunun Geçici 1 inci maddesinin 5 inci fıkrasına istinaden Kanunun uygulanmasıyla ilgili kamu kurumunda koordinasyonu sağlamak üzere belirlenerek Başkanlığımıza bildirilen üst düzey yönetici tarafından, VERBİS’in hizmete açılması ve kayıt yükümlülüğünün başlaması akabinde Yönetmeliğin 11 inci maddesinin 5 inci fıkrasına göre VERBİS sistemine irtibat kişisi bilgi girişi yapılması gerekmektedir.
- Veri Sorumlusu Temsilcisi Kimdir, Nasıl Atanır, Görevleri Nelerdir?
Yönetmeliğin 11 inci maddesine göre; veri sorumlusu eğer yurtdışında yerleşik olan bir tüzel kişi ise, bir veri sorumlusu temsilcisi atamak zorundadır. Atanacak bu veri sorumlusu temsilcisi, Türkiye’de yerleşik olan bir tüzel kişi ya da Türk vatandaşı bir gerçek kişi olmak zorundadır.
Yurtdışında yerleşik tüzel kişi veri sorumluları, veri sorumlusu temsilcisi atadığına dair bir karar almalı ve kararın tasdikli örneğini bu veri sorumlusu temsilcisi aracılığıyla Kuruma sunmalıdır. Bu kararda, veri sorumlusu temsilcisinin Yurtdışında yerleşik veri sorumlusu adına VERBİS’e ilişkin iş ve işlemleri yapmak görevinin yanısıra ilgili kişilerce yapılacak başvurular veya Başkanlığımızla yapılacak tebligat ve yazışmalar konusunda iletişimi kurma görev ve yetkisi olduğuna dair bilgiler yer almalıdır.
6698 sayılı Kanun kapsamındaki yükümlülük ve yaptırımlar açısından sorumluluk, veri sorumlusu temsilcisinde değil, bu veri sorumlusu tüzel kişiyi temsil ve ilzama yetkili organ üzerindedir. Veri sorumlusu temsilcisi olduğuna dair yapılan görevlendirme, Kanun hükümleri uyarınca yurtdışında yerleşik veri sorumlusunun sorumluluğunu ortadan kaldırmaz.
- Veri Sorumluları Sicilinin Kamuya Açık Olması Ne Demektir?
6698 Sayılı Kanunun 16 inci maddesinde Veri Sorumluları Sicilinin kamuya açık olarak tutulması öngörülmüştür. Buna göre, VERBİS’e veri sorumlularınca girilen bilgiler kurum internet sayfamız olan www.kvkk.gov.tr adresi üzerinden paylaşılacaktır.
Sicil kamuya açık olarak tutulmakla birlikte Kişisel Verileri Koruma Kurumunun da çeşitli teknik ve idari tedbirleri alması gerektiğinden, ilgili kişilerce çeşitli doğrulama yöntemleri kullanılmak suretiyle söz konusu bilgilere erişim sağlanabilecektir.
- Veri Sorumluları Siciline Kişisel Veri İşlenecek Midir?
Veri Sorumluları Sicili hiçbir şekilde kişisel veri barındırmayacaktır. VERBİS sistemine, ilgili kişilerin kişisel verileri değil, aksine başlıklar halinde kategorik bazda hangi tür kişisel verilerin hangi amaçlarla işlendiği, ne kadar süreyle muhafaza edileceği ve kategorik bazda nerelere aktarılabileceği gibi bilgiler girilecektir. Bu nedenle, VERBİS kesinlikle kişisel veri içermeyecek ve dolayısıyla da kişisel verilerin kamuya ifşa edilmesi gibi bir durum da söz konusu olmayacaktır.
Kanunun 16 ncı maddesi gereği veri sorumlusu veya veri sorumlusu temsilcisinin adı soyadı ve adresi ile irtibat kişisinin adı soyadı ve adresi bilgisi ilgili kişilerce gerektiğinde başvuru yapılabilmesi için yayımlanmak zorunda olduğundan VERBİS’te bu bilgiler yer alacaktır.
- Kayıt Yükümlülüğünün Yerine Getirilmemesi Halinde Yaptırım Var Mıdır?
6698 Sayılı Kanunun 18 inci maddesinin (ç) bendinde, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğü kapsamında olmasına rağmen bu yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kişisel Verileri Koruma Kurulunca 20.000 TL ila 1.000.000 TL arasında idari para cezası uygulanacağı hükmü düzenlenmiştir.