Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı

Ülkemizde mevzuat, hiyerarşiye uygun düşen boşluk düzeni uygulanmadan yazıya aktarılan metinler olduklarından alışık olmayanlar tarafından okunmaları zordur. Bu sorunu asgariye indirmek amacı ile sitemizdeki mevzuat metinleri daha kolay okunabilsinler diye belli bir boşluk düzeni ile oluşturulmakta ve içerikteki önemli noktalara hızlı ulaşım için de yukarıdaki linkler eklenmektedir.

Yönetmeliği işaret eden görselin Kişisel Verileri Koruma Kurumu ile ilgisi bulunmamaktadır. İçerik ile daha kolay ilişki kurulabilmesi amacıyla tarafımızdan hazırlanmıştır.

(TASLAK METİN)

5 Mayıs 2017 tarihinde Kişisel Verileri Koruma Kurulu tarafından kamuoyunun görüşüne açılan taslak metindir.

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

Amaç

  • MADDE 1
    • Bu Yönetmeliğin amacı, 24/3/2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamaktır.

Kapsam

  • MADDE 2
    • Bu Yönetmelik; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri kapsar.

Dayanak

  • MADDE 3
    • Bu Yönetmelik 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin beşinci fıkrası ile 22 nci maddesinin birinci fıkrasının (d) ve (e) bentlerine dayanılarak hazırlanmıştır.

Tanımlar

  • MADDE 4
    • (1) Bu Yönetmelikte geçen;
      • a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı kişi kategorisini,
      • b) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
      • c) Başkanlık: Kişisel Verileri Koruma Kurumu Başkanlığını,
      • ç) İrtibat kişisi: Türkiye’de yerleşik olan tüzel kişilerin ve tüzel kişi veri sorumlusu temsilcisinin sicil kapsamındaki yükümlülükleriyle ilgili olarak, Kurul ve Kurum tarafından yapılacak iletişimlerde irtibata geçilmek üzere atanan gerçek kişiyi,
      • d) Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu,
      • e) Kayıt: Kayıt yükümlülüğü altında bulunan veri sorumlularının Yönetmelik ile belirlenen usul ve esaslara uygun olarak yaptığı bildirimini,
      • f) Kayıt yükümlülüğü: Yönetmelik uyarınca gerçekleştirilmesi gereken kayıt ile ilgili yükümlülüğü,
      • g) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
      • ğ) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
      • h) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteri,
      • ı) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirlemek için dayanak yaptıkları politikayı,
      • i) Sicil: Başkanlık tarafından tutulan veri sorumluları sicilini,
      • j) Sicil ücreti: Veri sorumlusunun Sicile ilk kayıt sırasında ve Sicilde kayıtlı olarak kaldığı süre içinde her yıl için ödemekle yükümlü olduğu ücreti,
      • k) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
      • l) Veri kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını,
      • m) Veri konusu kişi grubu: Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisini,
      • n) Veri sicil bilgi sistemi (VERBİS): Veri sorumlularının Sicile başvuru ve Sicille ilgili diğer işlemlerde kullanacakları; internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini,
      • o) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
      • ö) Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi
    • ifade eder.
    • (2)Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar geçerli olacaktır.

İKİNCİ BÖLÜM

Sicilin Oluşturulması, İdaresi, Gözetimi ve Sicile Erişim

İlkeler

  • MADDE 5
    • (1) Sicilin oluşturulması, idaresi ve gözetimi hususunda aşağıdaki ilkelere uyulur:
      • a) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorundadır.
      • b) Türkiye’de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır.
      • c) Sicil kamuya açık biçimde tutulur. Kurul, kamuya açıklık ilkesine ilişkin kapsamı ve istisnaları belirleme yetkisini haizdir.
      • ç) Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.
      • d) Veri sorumluları tarafından Kanunun 10 uncu maddesinde belirtilen aydınlatma yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.
      • e) Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz.
      • f) Kanunun 28 inci maddesinde belirtilen durumlar saklı kalmak kaydıyla Yönetmelikte belirtilen objektif kriterlere dayalı olarak bazı veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmaz.
      • g) Veri sorumlularının Sicille ilgili yapacakları işlemler VERBİS üzerinden gerçekleştirilir.
      • ğ) Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel verilerin işlendikleri amaç için gerekli olan azami süre; Kanunun 7 nci maddesinde belirtilen veri sorumlusunun silme, yok etme veya anonimleştirme yükümlülüklerinin yerine getirilmesinde esas alınır.

Sicilin oluşturulması, idaresi ve gözetimi

  • MADDE 6
    • (1) Sicil, Başkanlık tarafından oluşturulur. Başkanlık, Sicilin oluşturulması, idaresi, güncel biçimde tutulması ve muhafaza edilmesi amacıyla, VERBİS’in kurulması ve işletilmesi için gerekli teknik ve idari tedbirleri alır.
    • (2) Sicilin oluşturulmasından ve idaresinden sorumlu hizmet birimi Kanunun 25 inci maddesinin beşinci fıkrası uyarınca belirlenir.
    • (3) Sicilin gözetimi Kurul tarafından gerçekleştirilir. İkinci fıkra uyarınca belirlenen sorumlu hizmet birimi tarafından üç aylık dönemler halinde hazırlanan ve kapsamı Kurul tarafından belirlenecek olan faaliyet raporu Kurula sunulur.

Sicile erişim

  • MADDE 7
    • (1) Başkanlık, Sicilde yer alan güncel bilgileri Kurul kararları uyarınca belirlenecek uygun yöntemlerle kamuoyuna açıklar.
    • (2) Veri sorumluları sicilinde yer alan bilgilerden aşağıdakiler kamuoyuna açıklanır:
      • a) Veri sorumlusunun ve varsa temsilcisinin adı ve adresi,
      • b) Kişisel verilerin hangi amaçlarla işlenebileceği,
      • c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,
      • ç) Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,
      • d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
      • e) Sicile kayıt tarihi ile kaydın geçerliliğinin sona erdiği tarih.
    • (3) Başkanlık, veri sorumlularından elde ettiği ticari sır niteliğindeki bilgi ve belgeleri, hukuken yetkili kurum ve kuruluşların talepleri dışında hiçbir gerçek veya tüzel kişi ile paylaşmaz.

ÜÇÜNCÜ BÖLÜM

Kayıt Yükümlülüğünün Başlangıcı, Başvuru Usulü, Yenilenmesi ve Silinmesi

Kayıt yükümlülüğünün başlangıcı

  • MADDE 8
    • (1) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır.
    • (2) Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip 30 gün içerisinde Sicile kaydolurlar.
    • (3) Kayıt yükümlülüğü altında bulunan veri sorumluları gerekçesini belirtmek ve 10 uncu maddede belirtilen usulle başvurmak suretiyle kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurul, bir defaya mahsus olmak üzere ek süre verebilir.

Kayıt yükümlülüğü kapsamında kuruma bildirilecek bilgiler

  • MADDE 9
    • (1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:
      • a) Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri kapsamında; Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
      • b) Kişisel verilerin hangi amaçla işleneceği,
      • c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
      • ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
      • d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
      • e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
      • f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
    • (2) Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.
    • (3) Veri sorumluları tarafından birinci fıkranın (e) bendi uyarınca Sicile açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları kapsayacak şekilde VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.
    • (4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile açıklanacak kişisel verilerin işlendikleri amaç için gerekli olan azami süreye ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan süreler farklı olabilir. Bu durumda işlemeyi gerektiren amaç ve bu amacın gerektirdiği en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre belirlenirken;
      • a) İlgili veri kategorisiyle alakalı olarak işleme amacıyla veri sorumlusunun faaliyet gösterdiği sektörde genel teamül olarak ne kadar süre gerekli olduğu,
      • b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ilgili kişiyle tesis edilen hukuki ilişkinin ne kadar süre devam edeceği,
      • c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak ne kadar süre geçerli olacağı,
      • ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlukların hukuken ne kadar süre devam edeceği,
      • d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına elverişli olup olmadığı,
      • e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri ne kadar süre saklamak zorunda olduğu,
      • f) Veri sorumlusunun, ilgili kişisel veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresinin ne kadar olduğu,
    • dikkate alınır.
    • (5) Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin Kişisel Veri İşleme Envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için Kişisel Veri Saklama ve İmha Politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.
    • (6) VERBİS içerisinde belirtilen başlıkların ve sürelerin veri sorumlusunun gerçekleştirdiği ve Sicile iletmesi gereken bilgileri tam olarak kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS içerisinde bu amaca ilişkin ayrılan bölüme girerek Sicile bildirimini tamamlar.

Kayıt başvurusu

  • MADDE 10
    • (1) Veri sorumluları, 9 uncu maddede belirtilen bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır.
    • (2) Usulüne uygun bildirimde bulunmadığı tespit edilen veri sorumlusuna, bu eksiklikleri gidermesi için Başkanlıkça otuz gün ek süre verilir. Başkanlık tarafından bu eksikliklerin esasa ilişkin olduğuna karar verilirse, söz konusu eksiklikler giderilinceye kadar kişisel veri işleme faaliyetini durdurması talep edilebilir.

Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri

  • MADDE 11
    • (1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca ilgili organın sorumluluğunu ortadan kaldırmaz. Tüzel kişiliği ilgili mevzuat hükümleri uyarınca temsil ve ilzama yetkili organ Kanunun uygulanması bakımından sorumluluklarını üyelerinden bir veya birkaçına veya tüzel kişilik içinde veya dışında bir veya birden fazla kişiye devredemez.
    • (2) Kanunun uygulanması bakımından veri sorumlusu temsilcisi sadece Türkiye’de yerleşik olmayan veri sorumluları tarafından belirlenerek Sicile kayıt başvurusu sırasında bildirilir. Kanunun uygulanması bakımından veri sorumlusu temsilcisi; Türkiye’de yerleşik olmayan veri sorumlusunu, asgari olarak aşağıda belirtilen hususları kapsayacak şekilde ve temsil yetkisi kararında açıklanan hususlarla sınırlı olarak temsil etme konusunda yetkilidir:
      • a) Kurul veya Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme,
      • b) Kurul veya Kurum tarafından veri sorumlusuna yöneltilen taleplere veri sorumlusu adına cevap verme,
      • c) Kurul tarafından başkaca bir esas belirlenmediği koşulda; Kanunun 10 uncu maddesi kapsamındaki ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,
      • ç) Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma,
      • d) Kurul tarafından başkaca bir esas belirlenmediği koşulda ilgili kişilere Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme.
    • (3) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur.
    • (4) Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini bildirirler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi iletişim noktası olarak ilgili kişilerin veri sorumlusuna yönelteceği taleplerin hızlı ve etkin olarak cevaplandırılmasını sağlamakla yükümlüdür.

İletişimin sağlanması

  • MADDE 12
    • (1) Kanunun uygulanmasıyla ilgili olarak Kurum veya Kurul tarafından veri sorumlusuyla kurulacak her türlü iletişim;
      • a) Türkiye’de yerleşik tüzel kişiler için, veri sorumlusu siciline bildirilen kimlik ve adres bilgileri üzerinden ilgili tüzel kişi,
      • b) Türkiye’de yerleşik gerçek kişiler için, veri sorumlusu siciline bildirilen kimlik ve adres bilgileri üzerinden ilgili gerçek kişi,
      • c) Kamu kurum ve kuruluşları için, koordinasyonu sağlayan üst düzey yönetici tarafından belirlenerek, Sicile kimlik ve adres bilgileri üzerinden kaydı yapılan daire başkanı veya üstü yönetici,
      • ç) Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi,
    • vasıtasıyla gerçekleştirilir.

Sicil Ücretinin Tespiti ve Ödenmesi

  • MADDE 13
    • (1) Veri sorumluları, Sicile ilk kayıt sırasında ve Sicilde kayıtlı olarak kaldığı sürece her yıl sicil ücreti ödemekle yükümlüdür.
    • (2) Sicil ücreti her yıl Kurulca ilan edilir.
    • (3) Sicile ilk kayıt sırasında, bu kaydın yılın hangi ayında yapıldığına bakılmaksızın sicil ücreti tam olarak alınır ve o yıl için bu kapsamda başkaca ücret alınmaz.
    • (4) Sicil ücreti ilk yıl için kayıt sırasında, sonraki yıllar için ise o yılın Nisan ayının son gününe kadar Kurumun banka hesabına yatırılır.
    • (5) Öngörülen süre içinde ödenmeyen sicil ücretine son ödeme tarihinden itibaren 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanunun 51 inci maddesinde belirlenen usule göre hesaplanacak günlük gecikme zammı tahakkuk ettirilir.

Kayıt bilgilerinde değişiklikler

  • MADDE 14
    • (1) Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, 10 uncu maddede belirtilen usulle derhâl Kuruma bildirir.

Sicil kaydının silinmesi

  • MADDE 15
    • (1) Veri sorumlusu, sicil kaydının silinmesine ilişkin olarak VERBİS üzerinden Kuruma başvurur.
    • (2) Kaydın dayandığı bilgiler kısmen veya tamamen sona erer ya da ortadan kalkarsa, sicil kaydı silinir. Silinen kayıtlar ise pasif olarak; istendiğinde erişilebilir olmakla birlikte üzerinde herhangi bir değişiklik yapılamayacak şekilde tutulur.
    • (3) Sicil kaydının silinmesi veri sorumlusunun Sicile kayıtlı olduğu dönemdeki yükümlülüklerini ortadan kaldırmaz.

DÖRDÜNCÜ BÖLÜM

Kayıt Yükümlülüğünün İstisnaları

İstisna uygulanacak haller

  • MADDE 16
    • (1) Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur.
      • a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
      • b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
      • c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
      • ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Kurul tarafından belirlenen istisna kriterleri

  • MADDE 17
    • (1) Kurul, tamamen veya kısmen otomatik olarak gerçekleşmeyen kişisel veri işleme faaliyetleriyle ilgili olarak kayıt yükümlülüğüne istisna getirebilir. Kurul, kayıt yükümlülüğüne getirilecek istisnaların belirlenmesinde aşağıdaki kriterleri göz önünde bulundurur:
      • a) Kişisel verinin niteliği,
      • b) Kişisel verinin sayısı,
      • c) Kişisel verinin işlenme amacı,
      • ç) Kişisel verinin işlendiği faaliyet alanı,
      • d) Kişisel verinin üçüncü kişilere aktarılma durumu,
      • e) Kişisel veri işleme faaliyetinin kanunlarda Kanunun 5 inci maddesinin ikinci fıkrasının (a) ve (ç) bentleri ile 6 ncı maddesinin üçüncü fıkrası uyarınca işlenmesi,
      • f) Kişisel verilerin muhafaza edilmesi süresi,
      • g) Veri sorumlusunun yıllık cirosu,
      • ğ) Veri sorumlusunun istihdam ettiği çalışan sayısı.
    • (2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamını, uygulama esaslarını, hesap yöntemlerini ve usulünü belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayınlayarak kamuoyuna duyurur.

BEŞİNCİ BÖLÜM

Çeşitli ve Son Hükümler

İdari yaptırım

  • MADDE 18
    • (1) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde yer alan idari para cezası uygulanır.
    • (2) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi eyleminin, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Tereddütlerin giderilmesi

  • MADDE 19
    • (1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.

Yürürlük

  • MADDE 20
    • (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

Yürütme

  • MADDE 21
    • (1) Bu Yönetmelik hükümlerini Başkan yürütür.

Mevzuat

Kişisel Verilerin Korunması Kanunu

7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun gerekçeli ve değişiklikler işlenmiş tam metni

Veri Sorumluları Sicili Hakkında Yönetmelik

Kanuna göre veri sorumlularının kayıt olacağı Veri Sorumluları Sicili'ne kayıtın usul ve esaslarını düzenleyen 1.1.2018 tarihinde yürürlüğe giren yönetmelik

Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği

Kişisel Verileri Koruma Kurumu'nun teşkilatlanma yapısını düzenleyen ve 26.4.2018 tarihli Resmi Gazete'de yayınlanan yönetmelik

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Kurul tarafından yayınlanan işlenme şartları ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmelik

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik

Sağlık Bakanlığı tarafından 20.10.2016 tarihinde Resmi Gazete'de yayınlanan Kişisel Sağlık Verilerinin İşlenmesi ile ilgili yönetmelik

Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı

6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun işleyişini düzenlemek amacıyla Kişisel Verileri Koruma Kurulu tarafından kamuoyu görüşüne sunulan yönetmelik taslağı

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik (23.11.2017)

Sağlık Bakanlığı tarafından 20.10.2016 tarihinde Resmi Gazete'de yayınlanan Kişisel Sağlık Verilerinin İşlenmesi ile ilgili yönetmelik

6563 Kanun

Elektronik Ticaretin Düzenlenmesi Hakkında Kanun

5 Kasım 2014 tarihinde Resmi Gazete'de yayınlanarak yürürlüğe giren ve elektronik ticarette uyulması kurallarını düzenleyen kanun

Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi

108 Nolu Sözleşme Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi'nin TBMM tarafından kabul edilen Türkçe metni

Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol

Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi'ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol

Diğer Kanunlar

Kişisel veri teriminin geçtiği diğer kanunlar. Türk Ceza Kanunu, Ceza Muhakemesi Kanunu ve diğerleri.

Anayasa

Kişisel verilerin korunmasını isteme hakkı, Anayasa'nın Özel Hayatın Gizliliği'ni düzenleyen 20. maddesine 12 Eylül 2010'da referandumla eklenmiştir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı

Kişisel Verilerin Korunması Kanunu'nun işleyişini düzenlemek amacıyla Kurum tarafından hazırlanan kamuoyu görüşüne sunulan yönetmelik taslağı. 28.10.2017 tarihinden önceki taslak metin.