Bilgilendirme:

VERİ SORUMLULARI SİCİLİNE İLİŞKİN YÖNETMELİK TASLAĞI YAYINLANDI, KAYIT TARİHLERİ KURUL TARAFINDAN BİLAHARE AÇIKLANACAK

VERİ SORUMLULARI SİCİLİNE İLİŞKİN YÖNETMELİK TASLAĞI YAYINLANDI, KAYIT TARİHLERİ KURUL TARAFINDAN BİLAHARE AÇIKLANACAK

Okuyucularımızın Kişisel Verilerin Korunması Kanunu’na (“Kanun”) ilişkin daha önceki yazılarımızdan da hatırlayacağı üzere kamuya açık tutulacak olan “Veri Sorumluları Sicili”ne kayıt olmak, veri sorumlularının başlıca yükümlülüklerinden bir tanesi olarak düzenlenmişti. Bu yükümlülüğünün ihlali halinde Kanun, veri sorumlularının 1.000.000 Türk Lirası’na varan idari para cezalarına çarptırılabileceğini belirtmekte.

Kişisel Verileri Koruma Kurumu (“Kurum”), internet sitesi üzerinden yaptığı açıklamada Veri Sorumluları Siciline yönelik ikincil mevzuat çalışmaları ile sicil kayıt sistemine ilişkin teknik alt yapı çalışmalarının devam ettiğini ve bu nedenle Veri Sorumluları Sicili’ne kayıt işlemlerinin başlayacağı tarihin, internet sitesinde bilahare ilan edileceğini duyurdu.

Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı

Kurum ayrıca Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı’nı da (“Taslak Yönetmelik”) internet sitesinde yayınlayarak 20 Mayıs 2017 tarihine kadar Taslak Yönetmeliğin kamuoyu görüşüne açık olacağını duyurdu. Taslak Yönetmelik hakkında kısa bir bilgi notu (“Bilgi Notu”) da yayınlayan Kurum, Taslak Yönetmeliğin hükümlerini açıklamalarıyla detaylandırdı.

Taslak Yönetmelik ve Bilgi Notu, Veri Sorumluları Sicilinin çevrimiçi bir veritabanı olacağını ve sicile başvuruların internet üzerinden kabul edileceğini gösteriyor. Bu bilgi, Kişisel Verileri Koruma Kurulu (“Kurul”) üyeleri tarafından da sözlü olarak doğrulanmıştı.

Taslak Yönetmelik ile öngörülen başlıca yükümlülüklerin bir özetini aşağıda bulabilirsiniz.

Türkiye’de Yerleşik Olmayan Veri Sorumlularının Temsilcileri

Taslak Yönetmelik, yurtdışında yerleşik olan veri sorumluları tarafından (i) Türkiye’de yerleşik olan bir tüzel kişinin veya (ii) Türk vatandaşı bir gerçek kişinin temsilci olarak atanması ve bu kişinin Veri Sorumluları Siciline kayıt başvurusu sırasında bildirilmesi gerektiğini öngörüyor. Temsilcinin ayrıca Taslak Yönetmelik’te belirtilen asgari hususlarda da yetkilendirilmiş olması şart koşuluyor.

Veri sorumlusunun temsilcisinin sorumluluğunun, Taslak Yönetmelikte belirtilen hususlarla sınırlı olduğu ve veri sorumlusu adına temsilcisinin sorumlu tutulamayacağı hem Taslak Yönetmelikte hem de Bilgi Notunda belirtiliyor.

Kişisel Veri İşleme Envanteri

Taslak Yönetmelik, Kişisel Veri İşleme Envanterini (“Envanter”), “veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanter” olarak tanımlayarak Taslak Yönetmeliğin çeşitli kısımlarında bu tanıma atıfta bulunuyor. Bu bağlamda veri sorumlularının hazırlayacakları Envanterlerinin Veri Sorumluları Siciline açıklayacakları bilgilere dayanak teşkil etmesi gerekeceği beliritliyor. Bilgi Notu ayrıca “Sicile kayıt yükümlülüğü bulunan veri sorumluları Kişisel Veri İşleme Envanteri düzenleme yükümlülüğü altındadır.” ifadeleriyle bir Envanter hazırlama yükümlülüğünü açıkça öngörüyor.

“Kişisel Veri İşleme Envanteri” terimine Türk veri koruma mevzuatında ilk defa yer verilmiş olmasına karşın (Kanun böyle bir terime atıfta bulunmamaktaydı), bir Envanteri hazırlama yükümlülüğünün söz konusu olacağı Kanunun Veri Sorumluları Siciline ilişkin hükümlerine dayanılarak beklenmekteydi. Veri sorumlularının veri işleme faaliyetlerini belirli bir dereceye kadar belgelendirmeleri gerekiyor, zira Veri Sorumluları Siciline kayıt başvurusunda bildirilecek hususlar Kanunda şu şekilde sıralanıyor:

  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri;
  • Kişisel verilerin hangi amaçla işleneceği;
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar;
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları;
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler;
  • Kişisel veri güvenliğine ilişkin alınan tedbirler;
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Kişisel Veri Saklama ve İmha Politikası

Taslak Yönetmelik, (i) kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, (ii) bu sürelerin Envanterde belirtilen bilgilerle uyumu ve (iii) azami sürenin aşılıp aşılmadığının takibi için veri sorumlularının bir “Kişisel Veri Saklama ve İmha Politikası” hazırlamakla ve bu politikanın uygulanmasını temin etmekle yükümlü olduklarını açık bir biçimde belirtiyor. Taslak Yönetmelik ayrıca kişisel verilerin işlendikleri amaç için gerekli olan azami süreler belirlenirken dikkate alınması gereken kriterleri de listeliyor.

Veri saklama politikasının hazırlanması yükümlülüğü de yine Kanunun, Veri Sorumluları Siciline kaydolmaya ilişkin hükümlerine dayanıyor. Yukarıda listelenen ve kayıt için Kuruma bildirilmesi gereken bilgilerin özellikle sonuncusu bu bağlamda önem arz ediyor.

Veri Sorumlularının Diğer Yükümlülükleri

Kanun, veri sorumluları için birçok yükümlülük öngörmekte olup bunların bazıları özetle şu şekildedir:

  • Kişisel verilerin işlenmesini hukuka uygun hale getirmek. Bu yükümlülüğe muhalefet, Türk Ceza Kanunu uyarınca hapis cezasına varan yaptırımlara konu olabilecektir.
  • Verisi işlenen ilgili kişileri, işlemenin amaçları ve hukuki sebepleri gibi çeşitli konularda aydınlatmak. Bu yükümlülüğe muhalefet, Kanun uyarınca 100.000 TL’ye varan idari para cezalarına konu olabilecektir.
  • Elde edilen verilerin güvenliğini sağlamak ve veri sızıntısı halinde verisi işlenen ilgili kişi ile Kurul’a bildirimde bulunmak. Bu yükümlülüğe muhalefet, Kanun uyarınca 1.000.000 TL’ye varan idari para cezalarına konu olabilecektir.
  • İşlenmesini gerektiren sebeplerin ortadan kalkması kişisel verileri silmek veya anonim hale getirmek. Bu yükümlülüğe muhalefet, Türk Ceza Kanunu uyarınca hapis cezasına varan yaptırımlara konu olabilecektir.
  • Verisi işlenen ilgili kişilerin taleplerini değerlendirmek ve bu talepleri 30 gün içerisinde sonuçlandırmak.
  • Kurul’un vermiş olduğu kararlara uymak. Bu yükümlülüğe muhalefet, Kanun uyarınca 1.000.000 TL’ye varan idari para cezalarına konu olabilecektir.

Sürdürülebilir Uyum

ErsoyBilgehan, Kişisel Verilerin Korunması Kanunu ile sürdürülebilir bir uyum sağlanabilmesini teminen müvekkilleri için işlevsel süreçler ve proaktif bir kurumsal kültür tasarlamakta, böylece şirketlerin kanuna yönelik etkin tedbirler almasını sağlamaktadır.

Kanun ile uyum için şirketlerin kendilerine has ihtiyaçları ve iş modellerine özel geliştirdiğimiz çeşitli çözümler sunmaktayız. Detaylı bilgi için lütfen dataprotection@ersoybilgehan.com adresine e-posta göndererek veya +90 212 213 23 00 numarasını arayarak bizimle iletişime geçiniz.

SOSYAL MEDYADA PAYLAŞ

ETİKETLER

finans, gayrimenkul, yatırım, ticaret, bilgi teknolojileri, e-ticaret, icra kabiliyeti, enerji, dava, veri koruma, şahsi kefalet, şirketler, yönetmelik, esas sözleşme, bağımsız denetim

SON YAZILAR

Bilgileriniz kaydedilmiştir. Teşekkürler.