Kişisel Verileri Koruma Kurumu tarafından hazırlanan Veri Sorumluları Sicili Hakkında Yönetmelik 30 Aralık Cumartesi günü Resmi Gazetede yayımlandı

Kişisel Verileri Koruma Kurumu tarafından hazırlanan Veri Sorumluları hakkında yönetmelik 30 Aralık 2017 tarihinde Resmî Gazetede yayımlandı ve 1 Ocak 2018 itibariyle yürürlüğe girmiştir.

Yönetmelik, 6698 sayılı Kişisel Verileri Koruma Kanunu’nun 16.maddesi dayanak yapılarak hazırlanmıştır. Buna göre Yönetmeliğin amacı, Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulamasını sağlamaktır.

Yönetmeliğin Getirdikleri

Yönetmeliğe göre kural olarak veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorundadırlar. Türkiye’de yerleşik olmayan veri sorumluları ise veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle sicile kaydolmak zorundadırlar.

Sicilin kamuya açık biçimde tutulması zorunluluktur. Ancak yönetmelik kurulun, kamuya açıklık ilkesinin sağlanması şartıyla, bu ilkenin kapsamı ve istisnalarını belirleme yetkisini haiz olduğu belirtilmektedir.

Yönetmelik uyarınca Sicil başvurularında Sicile açıklanacak bilgilerin Kişisel Veri İşleme Envanterine dayalı olarak hazırlanması gerekmektedir. Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumlu tutulmaktadırlar.

Kayıt Yükümlülüğünün Başlangıcı

Yönetmelik, veri sorumlularının kişisel veri işlemeye başlamadan önce sicile kayıt yükümlülüklerini yerine getirmek zorunda olduklarını belirtmektedir. Kayıt yükümlülüğü altında bulunmayan ancak sonradan kayıt yükümlüsü haline gelen veri sorumluları ise yükümlülük altına girmelerini takip eden 30 gün içerisinde Sicile kaydolmak ile yükümlü tutulmaktadırlar.

Yönetmelik, kayıt yükümlülüğü kapsamında şu bilgilerin iletilmesini öngörmektedir.

a.) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,

b.) Kişisel verilerin hangi amaçla işleneceği bilgisi,

c.) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı gruplarının bilgileri,

d.) Yabancı ülkelere aktarımı öngörülen kişisel veriler hakkında bilgiler,

e.) Kanunun 12’nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,

f.) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
Veri sorumluları tarafından sicile açıklanacak olan bu bilgilerin; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilen başlıklar kullanılmak suretiyle VERBİS üzerinden sicile iletilmesi öngörülmektedir.

Sicil Kaydının Silinmesi

Yönetmelik, sicil kaydının silinmesi için Veri sorumlusunun VERBİS üzerinden Kuruma başvurmasını ve buna yönelik talebini iletmesini öngörmektedir.

Aynı zamanda kayıt yükümlülüğünü gerektiren faaliyetin sona ermesi veya ortadan kalkması hallerinde de sicil kaydının silineceği öngörülmektedir. Yönetmelik, sicil kaydının silinmesinin veri sorumlusunun Sicile kayıtlı olduğu dönemdeki yükümlülüklerini ortadan kaldırmayacağını da ifade etmektedir.

İstisnalar

Yönetmelik veri sorumlusunun faaliyetlerinin Sicile kayıt etmesi ve bildirmesi yükümlülüğünün olmadığı durumları da belirtmektedir. Buna göre:

a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. Hallerinin varlığı halinde veri sorumlusunun Sicile kayıt ve bildirme yükümlülüğü bulunmamaktadır.

Yönetmelik buna ek olarak kurulun bazı kriterleri göz önünde bulundurarak kayıt yükümlülüğüne istisnalar getirebileceğini belirtmektedir. Bu kriterler şunlardır:

a.) Kişisel verinin niteliği.

b.) Kişisel verinin sayısı.

c.) Kişisel verinin işlenme amacı.

ç.) Kişisel verinin işlendiği faaliyet alanı.

d.) Kişisel verinin üçüncü kişilere aktarılma durumu.

e.) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.

f.) Kişisel verilerin muhafaza edilmesi süresi.

g.) Veri konusu kişi grubu veya veri kategorileri.

Advertisements