Kişisel Verileri Koruma Kurumu tarafından kamuoyunun görüşüne sunulan yönetmelikte bazı değişikliklerin yapılmasının daha doğru olduğunu düşünüyoruz. Bu önerilerimizi, yönetmeliğin
- Normlar hiyerarşisine uyması
- Basit olması
- Kolayca anlaşılır olması
- Daha kolay uygulanabilir olması
- Bilgi teknolojileri kavramlarıyla uyumlu olması
ilkeleri çerçevesinde yapıyoruz.
Yönetmeliğin bazı bölümlerinin, normlar hiyerarşisine aykırı olması sebebiyle yayınlandığında dava açılması durumunda Danıştay tarafından iptal edilebileceğinden çıkartılmasını önerdik. Bazı kısımlara açıklık getirilmesinin faydalı olacağını düşündük. Bazı kısımları anlamı kaybolmadan sadeleştirdik.
Umuyoruz ki bu çalışmamız Kişisel Verileri Koruma Kurulu'nun çalışmalarına yardımcı olacaktır. Görüşlerinizi lütfen selcuk@hsturan.com adresine iletiniz.
Teşekkürler,
Av. Hasan Selçuk Turan
Veri Sorumluları Sicili Hakkında Yönetmelik
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
-
MADDE 1
- Bu Yönetmeliğin amacı, 24/3/2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamaktır.
Kapsam
-
MADDE 2
- Bu Yönetmelik; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri kapsar.
Dayanak
-
MADDE 3
- Bu Yönetmelik 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin beşinci fıkrası ile 22 nci maddesinin birinci fıkrasının (d) ve (e) bentlerine dayanılarak hazırlanmıştır.
Tanımlar
-
MADDE 4
- (1) Bu Yönetmelikte geçen;
- a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı kişi kategorisini,
- b) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
- c) Başkanlık: Kişisel Verileri Koruma Kurumu Başkanlığını,
ç) İrtibat kişisi: Türkiye’de yerleşik olan tüzel kişilerin ve tüzel kişi veri sorumlusu temsilcisinin sicil kapsamındaki yükümlülükleriyle ilgili olarak, Kurul ve Kurum tarafından yapılacak iletişimlerde irtibata geçilmek üzere atanan gerçek kişiyi,- d) Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu,
- e) Kayıt: Kayıt yükümlülüğü altında bulunan veri sorumlularının Yönetmelik ile belirlenen usul ve esaslara uygun olarak yaptığı bildirimini,
- f) Kayıt yükümlülüğü: Yönetmelik uyarınca gerçekleştirilmesi gereken kayıt ile ilgili yükümlülüğü,
- g) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
- ğ) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
h) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve ilgili kişi veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteri,-
Veri sorumlularının Sicile kayıt olmakta kullanacakları yöntemleri ve araçları belirleme yetkisini Kurul'a veren bir yetki Kanun'da düzenlenmemiştir. Bu durumda her ne kadar yapılması aslında şart da ister adı kişisel veri işleme envanteri ya da başka bir isim olsun veri sorumlularının kayıt yükümlülüklerini iç bünyelerindeki hangi çalışmayla yerine getireceklerini düzenlemek Kurul'un yetki alanı dışındadır.
- ı) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirlemek için dayanak yaptıkları politikayı,
- i) Sicil: Başkanlık tarafından tutulan veri sorumluları sicilini,
- j) Sicil ücreti: Veri sorumlusunun Sicile ilk kayıt sırasında ve Sicilde kayıtlı olarak kaldığı süre içinde her yıl için ödemekle yükümlü olduğu ücreti,
- k) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
- l) Veri kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını,
- m) Veri konusu kişi grubu: Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisini,
- n) Veri sicil bilgi sistemi (VERBİS): Veri sorumlularının Sicile başvuru ve Sicille ilgili diğer işlemlerde kullanacakları; internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini,
- o) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
- ö) Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi
- ifade eder.
- (2)Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar geçerli olacaktır.
- (1) Bu Yönetmelikte geçen;
İKİNCİ BÖLÜM
Sicilin Oluşturulması, İdaresi, Gözetimi ve Sicile Erişim
İlkeler
-
MADDE 5
- (1) Sicilin oluşturulması, idaresi ve gözetimi hususunda aşağıdaki ilkelere uyulur:
-
- a) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorundadır.
b) Türkiye’de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır.-
Veri sorumlusu Kanunda ve yönetmeliğin tanımlar kısmında hem Türkiye'de yerleşik hem de Türkiye'de yerleşik olmayan veri sorumlularını kapsayacak şekilde tanımlanmış. Bu durumda zaten (a) bendinde veri sorumlularının kişisel veri işlemeye başlamadan kayıt olmaları gerektiği belirtiliyor. Temsilci vasıtasıyla kayıt olmak bir ilke değil yöntemi ifade etmektedir. Türkiye'de yerleşik olmayan veri sorumlularının temsilcilerinin yetkileri yönetmeliğin diğer maddelerinde açıklanıyor.
- c) Sicil kamuya açık biçimde tutulur. Kurul, kamuya açıklık ilkesine ilişkin kapsamı ve istisnaları belirleme yetkisini haizdir.
ç) Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.d) Veri sorumluları tarafından Kanunun 10 uncu maddesinde belirtilen aydınlatma yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.
Kanun aydınlatma yükümlülüğü, ilgili kişilerin başvurularının cevaplanması ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesi konularının yönetmelik ile düzenleneceğinden bahsetmemektedir. Yönetmelikler ancak kanunda yer alan hükümlere dayanarak çıkartılabilirler. Yukarıdaki cümle de düzenleme yönetmelik yetkisi olmayan alanları yönetmelikle düzenlemeye yöneliktir. Bu alanlarla ilgili bir ihtilaf çıktığında Kurul karar verebilir ancak bu konuları yönetmelikle düzenleyemez.
-
- e) Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz (tam), doğru ve güncel
ve hukuka uygunolmasından sorumludur.Veri sorumlularının Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz.
- e) Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz (tam), doğru ve güncel
Eksiksiz kelimesinin eklenmesi doğru ve güncel nitelemelerini güçlendirecektir. Çünkü bir bilgi kümesi doğru ve güncel olmasına rağmen eksik olabilir. Hukuka uygun ifadesine gerek yok.
-
f) Kanunun 28 inci maddesinde belirtilen durumlar saklı kalmak kaydıyla Yönetmelikte belirtilen objektif kriterlere dayalı olarak bazı veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmaz.
Malumun tekrarı. Hukuk kuralları zaten bunu emreder. Bu yönetmelik sicille ilgili işlemler için çıkartıldığından konusu dışındaki alanları düzenliyormuş gibi görünen cümleler içermemelidir.
-
- g) Veri sorumlularının Sicille ilgili işlemleri
yapacakları işlemlerVERBİS üzerinden gerçekleştirilir. ğ) Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel verilerin işlendikleri amaç için gerekli olan azami süre; Kanunun 7 nci maddesinde belirtilen veri sorumlusunun silme, yok etme veya anonimleştirme yükümlülüklerinin yerine getirilmesinde esas alınır.
- g) Veri sorumlularının Sicille ilgili işlemleri
Kanunun Madde 7/3'te "kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir" denilmektedir. Bu konuda ayrı bir yönetmeliğin çıkartılacağından bu bendin o yönetmelikte olması daha doğru olacaktır. Bu yönetmelik Sicille ilgili işlemler içindir. Kişisel verilerle ilgili işlemler için değil. Zaten dayanak maddesinde Kanun'un 7. maddesi de zikredilmemiştir.
-
- (1) Sicilin oluşturulması, idaresi ve gözetimi hususunda aşağıdaki ilkelere uyulur:
Sicilin oluşturulması, idaresi ve gözetimi
-
MADDE 6
- (1) Sicil, Başkanlık tarafından oluşturulur. Başkanlık, Sicilin oluşturulması, idaresi, güncel biçimde tutulması ve muhafaza edilmesi amacıyla, VERBİS’in kurulması ve işletilmesi için gerekli teknik ve idari tedbirleri alır.
- (2) Sicilin oluşturulmasından ve idaresinden sorumlu hizmet birimi Kanunun 25 inci maddesinin beşinci fıkrası uyarınca belirlenir.
- (3) Sicilin gözetimi Kurul tarafından gerçekleştirilir. İkinci fıkra uyarınca belirlenen sorumlu hizmet birimi tarafından üç aylık dönemler halinde hazırlanan ve kapsamı Kurul tarafından belirlenecek olan faaliyet raporu Kurula sunulur.
Sicile erişim
-
MADDE 7
- (1) Başkanlık, Sicilde yer alan güncel bilgileri Kurul kararları uyarınca belirlenecek uygun yöntemlerle kamuoyuna açıklar.
- (2) Veri sorumluları sicilinde yer alan bilgilerden aşağıdakiler kamuoyuna açıklanır:
- a) Veri sorumlusunun ve varsa temsilcisinin adı ve adresi,
- b) Kişisel verilerin hangi amaçlarla işlenebileceği,
- c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,
- ç) Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,
- d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- e)Kişisel veri güvenliğine ilişkin alınan tedbirler,
- f)Kişisel verilerin işlendikleri amaç için gerekli olan azami süre
-
Kurum yönetmelikte veri sorumluları tarafından Sicile bildirilen kişisel veri güvenliğine ilişkin alınan tedbirler ile işlendikleri amaç için gerekli olan azami sürelerin kamuya açıklanmasını öngörmemiş. Kanunda Sicilin kamuya açık olacağı ifade edilmektedir. Elbette bazı bilgilerin şirket sırrı ya da ticari sır gibi bazı bilgilerin kamuya açıklanması doğru olmayacaktır. Kanun Sicile bildirilen bilgilerden bazılarının kamudan saklanabileceğini ifade etmemiş diğer usul ve esasların yönetmelikle düzenleneceğini hükme bağlamıştır. Sicilin kamuya açık olacağı (1). fıkrada yazdığına göre ancak bunun dışındaki usul ve esasların Kurulca belirlenebileceği söylenebilir.
Ayrıca ilgili kişilerin kişisel verilerinin güvenliklerinin nasıl sağlandığına ilişkin bilgiye ihtiyaçlarının olmadığı söylenemez. Milyonlarca kişinin kişisel verilerini saklayan veri sorumlularının kabaca hangi tedbirleri aldığını öğrenmek gereksiz ve tehlikeli bir ihtiyaç değildir. İnsanların kişisel verilerini paylaşırken güven içinde olması ekonomimiz içinde pozitif bir etkidir. Veri sorumlularının gerekli ve yeterli tedbirleri aldıklarının görülebilmesi veri sorumluları için de bir güven unsurudur.
Kişisel verilerin işlenmeleri için gerekli azami sürenin kamuya gösterilmesi gerekli bilgilerin olmazsa olmazlarındandır. Veri sorumlularının kişisel verileri ilelebet işlemesinin önüne geçecek şey ilgili kişilerce yapılacak denetimlerdir. Azami sürenin belirlenmesi karmaşık bir işlemdir. Bu konuda bilgisi ve deneyimi olmayan kişiler veri sorumluları tarafından kolayca yönlendirilebilir. Ya da veri sorumluları için gereksiz bir iş yükü oluşturabilir. Bu yüzden azami sürelerin veri sorumluların haklarını halel getirmeden kamuya açıklanması yerinde olacaktır.
- g) Sicile kayıt tarihi
ile kaydın geçerliliğinin sona erdiği tarih. -
Kaydın geçerliliğinin sona erdiği tarihinden ne kastedildiği anlaşılamadı. Veri sorumlusu kayıt olmak ile yükümlü ise bu yükümlülük ödediği sicil ücretini ödeyip ödememesine göre değişmez. Çünkü sicil ücreti Sicile kayıt yaptırmakla yükümlü veri sorumlularından ister kayıt yaptırsın isterse yaptırmasın tahsil edilir. Zaten yönetmeliğin 13. maddesi öngörülen süre içinde ödenmeyen sicil ücret için Amme Alacaklarının Tahsil Usulü Hakkında Kanunun 51 inci maddesinde belirlenen usule göre hesaplanacak günlük gecikme zammı tahakkuk ettirileceğini ifade ediyor. Bu yüzden kaydın geçerliliğinin sona erdiği tarihin sicil ücreti ödemesinin süresinin bittiği tarih olmaması gerekir.
Sicile kayıtta verilen bilgilerin belirli aralıklarla güncellenmesi isteniyor olabilir. Bu durumda da kişisel verilerin işlenmesi ile hiçbir değişikliği olmayan veri sorumlularının da güncelleme yapması gerekir. Ancak 14. maddeye göre ancak değişiklik olması durumunda Sicile bildirilmesi gerektiğinden bu bu bilginin yönetmelikte olmaması gerektiği değerlendirilmiştir.
- (3) Başkanlık, veri sorumlularından elde ettiği ticari sır niteliğindeki bilgi ve belgeleri, hukuken yetkili kurum ve kuruluşların talepleri dışında hiçbir gerçek veya tüzel kişi ile paylaşmaz.
ÜÇÜNCÜ BÖLÜM
Kayıt Yükümlülüğünün Başlangıcı, Başvuru Usulü, Yenilenmesi ve Silinmesi
Kayıt yükümlülüğünün başlangıcı
-
MADDE 8
- (1) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır.
- (2) Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip 30 gün içerisinde Sicile kaydolurlar.
- (3) Kayıt yükümlülüğü altında bulunan veri sorumluları gerekçesini belirtmek ve 10 uncu maddede belirtilen usulle başvurmak suretiyle kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurul, bir defaya mahsus olmak üzere ek süre verebilir.
- (4) Türkiye'de yerleşik olmayan veri sorumluları, Türkiye'de yerleşik gerçek kişilere yönelik kişisel veri işleme amaçları varsa kişisel veri işlemeye başlamadan önce diğer durumlarda kişisel veri işlemeye başladıktan sonra Kurulca belirlenecek kurallara göre Sicile kayıt olurlar.
-
Kurulun veri sorumlularına muafiyet getirirken nasıl hareket edeceğini düzenleyen 17. madde Türkiye'de yerleşik olmayan veri sorumlularına muafiyet getirmek için yetersiz. Kanun veri sorumlusunun yerleşik olduğu yer konusunda bir düzenlemeye gitmemiş. Bu durumda Afrika'da bir ülkede iş yapan küçük bir firma eğer kendi ülkesindeki insanların kişisel verilerini işliyorsa Kanuna göre Veri Sorumluları Sicili'ne kayıt olmak zorunda.
Kanun Kurul'a veri sorumlularına muafiyet getirebilme yetkisi vermiş. Bu yetkiyi verirken bazı kriterleri saydıktan sonra gibi kelimesini kullanarak Kurulca sayılanlardan başka farklı kriterlerin de kullanılabileceğini ifade etmiş. Ancak yönetmelik bu yetkinin kullanılmasında veri sorumlusunun yerleşik olduğu ülkeyi istisna kriterleri arasında saymamış ve kendisini kriterlerle bağlamış. Bu durumda veri sorumlusu Türkiye'de yerleşik değilse ve muafiyet getirilen Türkiye'de yerleşik veri sorumluları ile aynı şartları taşımıyorsa, Türkiye'de yerleşik herhangi bir gerçek kişinin ya da Türkiye'de yerleşik olmayan bir Türkiye Cumhuriyeti vatandaşının kişisel verisini işlemese bile Sicile kayıt olmak zorunda.
Kanunun uygulama alanının bu kadar geniş olması düşünülemez, pratik sonuç da doğurmaz. Bu şekliyle yürürlüğe girmesi durumunda Türkiye ile uzaktan yakından ilgisi olmayan milyonlarca veri sorumlusuna idari para cezası verilmesi gerekir.
Bu sebeple ya yukarıdaki fıkra yönetmeliğe eklenmeli ya da aşağıdaki değişiklik yapılmalı.
Kayıt yükümlülüğü kapsamında kuruma bildirilecek bilgiler
-
MADDE 9
- (1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:
- a) Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri kapsamında; Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
- b) Kişisel verilerin hangi amaçla işleneceği,
- c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
- ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
- d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
- f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
- (2) Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri uyarınca Sicile açıklanacak bilgiler;
Kişisel Veri İşleme Envanterine dayalı olarakVERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir. - (3) Veri sorumluları tarafından birinci fıkranın (e) bendi uyarınca Sicile açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları kapsayacak şekilde VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.
- (4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile açıklanacak kişisel verilerin işlendikleri amaç için gerekli olan azami süreye ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan süreler farklı olabilir. Bu durumda işlemeyi gerektiren amaç ve bu amacın gerektirdiği en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre belirlenirken;
- a) İlgili veri kategorisiyle alakalı olarak işleme amacıyla veri sorumlusunun faaliyet gösterdiği sektörde genel teamül olarak ne kadar süre gerekli olduğu,
- b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ilgili kişiyle tesis edilen hukuki ilişkinin ne kadar süre devam edeceği,
- c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak ne kadar süre geçerli olacağı,
- ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlukların hukuken ne kadar süre devam edeceği,
- d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına elverişli olup olmadığı,
- e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri ne kadar süre saklamak zorunda olduğu,
- f) Veri sorumlusunun, ilgili kişisel veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresinin ne kadar olduğu,
- dikkate alınır.
- (5) Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi
, bu sürelerin Kişisel Veri İşleme Envanterinde belirtilen bilgilerle uyumuve azami sürenin aşılıp aşılmadığının takibi için Kişisel Veri Saklama ve İmha Politikası hazırlayarak, bu politikanın uygulanmasını temin ederler. - (6) VERBİS içerisinde belirtilen başlıkların ve sürelerin veri sorumlusunun gerçekleştirdiği ve Sicile iletmesi gereken bilgileri tam olarak kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS içerisinde bu amaca ilişkin ayrılan bölüme girerek Sicile bildirimini tamamlar.
- (1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:
Kayıt başvurusu
-
MADDE 10
- (1) Veri sorumluları, 9 uncu maddede belirtilen bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır.
- (2) Usulüne uygun bildirimde bulunmadığı tespit edilen veri sorumlusuna, bu eksiklikleri gidermesi için Başkanlıkça otuz gün ek süre verilir. Başkanlık tarafından bu eksikliklerin esasa ilişkin olduğuna karar verilirse, söz konusu eksiklikler giderilinceye kadar kişisel veri işleme faaliyetini durdurması talep edilebilir.
Veri sorumlusu ve veri sorumlusu temsilcisinin yükümlülükleri
Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri
-
MADDE 11
- (1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca ilgili organın sorumluluğunu ortadan kaldırmaz. Tüzel kişiliği ilgili mevzuat hükümleri uyarınca temsil ve ilzama yetkili organ Kanunun uygulanması bakımından sorumluluklarını üyelerinden bir veya birkaçına veya tüzel kişilik içinde veya dışında bir veya birden fazla kişiye devredemez.
- (2) Kanunun uygulanması bakımından veri sorumlusu temsilcisi sadece Türkiye’de yerleşik olmayan veri sorumluları tarafından belirlenerek Sicile kayıt başvurusu sırasında bildirilir. Kanunun uygulanması bakımından veri sorumlusu temsilcisi; Türkiye’de yerleşik olmayan veri sorumlusunu, asgari olarak aşağıda belirtilen hususları kapsayacak şekilde ve temsil yetkisi kararında açıklanan hususlarla sınırlı olarak temsil etme konusunda yetkilidir:
- a) Kurul veya Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme,
- b) Kurul veya Kurum tarafından veri sorumlusuna yöneltilen taleplere veri sorumlusu adına cevap verme,
- c) Kurul tarafından başkaca bir esas belirlenmediği koşulda; Kanunun 10 uncu maddesi kapsamındaki ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,
- ç) Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma,
- d) Kurul tarafından başkaca bir esas belirlenmediği koşulda ilgili kişilere Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme.
- (3) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur.
(4)Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini bildirirler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi iletişim noktası olarak ilgili kişilerin veri sorumlusuna yönelteceği taleplerin hızlı ve etkin olarak cevaplandırılmasını sağlamakla yükümlüdür.
İletişimin sağlanması
-
MADDE 12
- (1) Kanunun uygulanmasıyla ilgili olarak Kurum veya Kurul tarafından veri sorumlusuyla kurulacak her türlü iletişim;
- a) Türkiye’de yerleşik tüzel kişiler için, veri sorumlusu siciline bildirilen kimlik ve adres bilgileri üzerinden ilgili tüzel kişi,
- b) Türkiye’de yerleşik gerçek kişiler için, veri sorumlusu siciline bildirilen kimlik ve adres bilgileri üzerinden ilgili gerçek kişi,
- c) Kamu kurum ve kuruluşları için, koordinasyonu sağlayan üst düzey yönetici tarafından belirlenerek, Sicile kimlik ve adres bilgileri üzerinden kaydı yapılan daire başkanı veya üstü yönetici,
- ç) Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi,
- vasıtasıyla gerçekleştirilir.
- (1) Kanunun uygulanmasıyla ilgili olarak Kurum veya Kurul tarafından veri sorumlusuyla kurulacak her türlü iletişim;
Sicil Ücretinin Tespiti ve Ödenmesi
-
MADDE 13
- (1) Veri sorumluları, Sicile ilk kayıt sırasında ve Sicilde kayıtlı olarak kaldığı sürece her yıl sicil ücreti ödemekle yükümlüdür.
- (2) Kurul sicil ücretini veri sorumlularının objektif özelliklerine göre farklı kademelerde belirleyebilir. Sicil ücreti her yıl Kurulca ilan edilir.
- (3) Sicile ilk kayıt sırasında, bu kaydın yılın hangi ayında yapıldığına bakılmaksızın sicil ücreti tam olarak alınır ve o yıl için bu kapsamda başkaca ücret alınmaz.
- (4) Sicil ücreti ilk yıl için kayıt sırasında, sonraki yıllar için ise o yılın Nisan ayının son gününe kadar Kurumun banka hesabına yatırılır.
- (5) Öngörülen süre içinde ödenmeyen sicil ücretine son ödeme tarihinden itibaren 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanunun 51 inci maddesinde belirlenen usule göre hesaplanacak günlük gecikme zammı tahakkuk ettirilir.
Kayıt bilgilerinde değişiklikler
-
MADDE 14
- (1) Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, 10 uncu maddede belirtilen usulle derhâl Kuruma bildirir.
Sicil kaydının silinmesi
-
MADDE 15
- (1) Veri sorumlusu, sicil kaydının silinmesine ilişkin olarak VERBİS üzerinden Kuruma başvurur.
- (2) Kaydın dayandığı bilgiler
kısmen veyatamamen sona erer ya da ortadan kalkarsa, sicil kaydı silinir. Silinen kayıtlar ise pasif olarak; istendiğinde erişilebilir olmakla birlikte üzerinde herhangi bir değişiklik yapılamayacak şekilde tutulur. -
Sicil kaydının dayandığı bilgilerde bir değişme varsa zaten veri sorumlusunun bu durumu Sicile derhal bildirmesi gerekir (Madde 14). Kısmi bir değişiklikte kayıt silinemez. Çünkü geçerliliğini yitirmeyen bölüm için kaydın devam etmesi gerekir. Bu fıkra veritabanlarında kullanılan kayıtların loglanması amacı için kullanılacaksa fıkranın tamamen değişmesi gerekir. Bu durumda fıkranın yeni hali:
(2) Kaydın dayandığı bilgiler kısmen veya tamamen değişir, sona erer ya da ortadan kalkarsa, sicil kaydı Sicilden silinir. Güncel bilgileri içeren yeni bir kayıt gerekli ise Sicile eklenir. Silinen eski kayıt ise pasif olarak; istendiğinde erişilebilir olmakla birlikte üzerinde herhangi bir değişiklik yapılamayacak şekilde sistemde süresiz tutulur.
- (3) Sicil kaydının silinmesi veri sorumlusunun Sicile kayıtlı olduğu dönemdeki yükümlülüklerini ortadan kaldırmaz.
DÖRDÜNCÜ BÖLÜM
Kayıt Yükümlülüğünün İstisnaları
İstisna uygulanacak haller
-
MADDE 16
- (1) Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur.
- a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
- (1) Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur.
Kurul tarafından belirlenen istisna kriterleri
-
MADDE 17
- (1) Kurul, tamamen veya kısmen otomatik olarak gerçekleşmeyen kişisel veri işleme faaliyetleriyle ilgili olarak kayıt yükümlülüğüne istisna getirebilir. Kurul, kayıt yükümlülüğüne getirilecek istisnaların belirlenmesinde aşağıdaki kriterleri göz önünde bulundurur:
- a) Kişisel verinin niteliği,
- b) Kişisel verinin sayısı,
- c) Kişisel verinin işlenme amacı,
- ç) Kişisel verinin işlendiği faaliyet alanı,
- d) Kişisel verinin üçüncü kişilere aktarılma durumu,
- e) Kişisel veri işleme faaliyetinin kanunlarda Kanunun 5 inci maddesinin ikinci fıkrasının (a) ve (ç) bentleri ile 6 ncı maddesinin üçüncü fıkrası uyarınca işlenmesi,
- f) Kişisel verilerin muhafaza edilmesi süresi,
- g) Veri sorumlusunun yıllık cirosu,
- ğ) Veri sorumlusunun istihdam ettiği çalışan sayısı.
- h) Veri sorumlusunun yerleşik olduğu ülke
- ı) İlgili kişilerin milliyeti ve veya ikamet ettikleri ülke
-
Madde 8/4 için yapılan açıklamada olduğu üzere bu bentler de yönetmeliğe eklenmelidir.
- (2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamını, uygulama esaslarını, hesap yöntemlerini ve usulünü belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayınlayarak kamuoyuna duyurur.
- (1) Kurul, tamamen veya kısmen otomatik olarak gerçekleşmeyen kişisel veri işleme faaliyetleriyle ilgili olarak kayıt yükümlülüğüne istisna getirebilir. Kurul, kayıt yükümlülüğüne getirilecek istisnaların belirlenmesinde aşağıdaki kriterleri göz önünde bulundurur:
BEŞİNCİ BÖLÜM
Çeşitli ve Son Hükümler
İdari yaptırım
-
MADDE 18
- (1) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde yer alan idari para cezası uygulanır.
- (2) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi eyleminin, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
Tereddütlerin giderilmesi
-
MADDE 19
- (1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.
Yürürlük
-
MADDE 20
- (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
-
MADDE 21
- (1) Bu Yönetmelik hükümlerini Başkan yürütür.