Kayıt Tarihleri Belli Olmuşken Sicile Kayıt Detaylarını Hatırlayalım

Geçtiğimiz günlerde sıcağı sıcağına yayınladığımız yazımız ile Kişisel Verileri Koruma Kurulu’nun (“Kurul”), uzun bir bekleyişin ardından Veri Sorumluları Sicili’ne (“Sicil”) kayıt tarihlerini belirleyip ilan ettiğinden, ayrıca aynı gün yayınlanan iki kararla bazı veri sorumlularının Sicile kayıt yükümlülüğünden müstesna tutulduğundan bahsetmiştik. Bu yazımızda da kayıt tarihlerinin de belli olmasıyla birlikte herkesin aklındaki ortak sorunun cevaplarına değineceğiz; Sicile kayıtla ilgili nelere dikkat edilmeli?

Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) genel esaslarına yer verilen Sicil, Veri Sorumluları Sicili Hakkında Yönetmelik’le (“Yönetmelik”) ayrıntılı şekilde düzenleniyor. Yönetmelik hükümlerinde özellikle dikkat edilmesi gereken konular ise Sicile ilişkin ilke ve esaslar, kayıt işlemi, verilerin azami muhafaza süresi ile irtibat kişisi ve veri sorumlusu temsilcisi alt başlıklarında düzenleniyor.

Sicile İlişkin İlke ve Esaslar

Kurul, Sicile ilişkin ilke, usul ve esaslar başlığı altında öncelikle veri sorumlularının veri işleme faaliyetlerine başlamadan önce Sicile kayıt yükümlülüklerini  tekrar ediyor. Bu noktada bu temel düzenlemenin, Sicilin faaliyetine başlamasından ve Kurul’un halihazırda yayınladığı ilk kayıt takvimi sürelerinin sona ermesinden sonra hayata geçeceğini hatırlatmakta fayda var.

Sicil kamuya açık bir şekilde tutuluyor olacak. Bu sayede kişisel verileri işlenecek ilgili kişiler, Sicil üzerinden veri sorumlularının bilgilerine erişebilecek, ayrıca hangi verilerinin ne kadar süre ile işleneceğine dair bilgi sahibi olabilecekler.

Sicile ilişkin ilkeler noktasında belki de en önemli husus Sicil ile veri envanterinin birbirleri ile olan bağlantısı. Zira Yönetmelik hükmüne göre Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanacak. Öte yandan veri sorumlularının Kanun’dan doğan yükümlülüklerinin çerçevesinin belirlenmesinde de veri envanterine dayalı olarak Sicile bildirilip yayınlanan bilgiler esas alınacak. Bu kapsamda aydınlatma yükümlüğünün, ilgili kişilerin başvurularına verilecek yanıtların ve ilgili kişilerden alınacak açık rızaların kapsamlarının belirlenmesinde Sicilde yayınlanan bilgiler önem arz edecek. Dolayısıyla Sicile kayıt öncesinde veri envanterinin sürece uygun şekilde hazırlanmış olması dikkat edilmesi gereken hususlardan.

Daha önceden Sicile kayıt yükümlülüğüne tabi olmadığı halde kayıt yükümlüsü haline gelen veri sorumlularının kayıt yükümlüsü haline geldikleri tarihten itibaren otuz gün içerisinde kayıt yükümlülüklerini yerine getirmeleri gerekeceğini de hatırlatalım.

Sicile Kayıtta Verilecek Bilgiler

Sicile Kayıt İşlemi

Sicile kayıt işlemi ve sonrasında Sicil üzerinde veri sorumlularınca gerçekleştirilecek tüm işlemler, internet üzerinden erişim sağlanabilecek bir bilişim ağı olan VERBİS üzerinden yapılacak.

Sicile kayıt başvurusunda bulunacak veri sorumlularının VERBİS üzerinden, veri envanteri ile de paralellik arz edecek şekilde aşağıdaki asgari bilgileri iletmeleri gerekiyor:

  • Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin başvuru formunda yer alan bilgiler,
  • Kişisel verilerin hangi amaçlarla işleneceği,
  • Veri konusu kişi grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin veri sorumluları tarafından alınan tedbirler,
  • Kişisel verilerin azami muhafaza edilme süresi.

Azami Muhafaza Süreleri

Yönetmelikte düzenlenen en önemli konulardan biri de kişisel verilerin ne kadar süre ile muhafaza edileceği belirlenirken dikkate alınacak kriterler. Kanun’un belirlediği genel ilkelerde de belirtildiği üzere kişisel veriler, ilgili mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre boyunca veri sorumluları tarafından muhafaza edilebiliyor.

Düzenlemeye göre veri sorumluları tarafından verilerin hangi sürelerle işleneceğine ilişkin bilgiler ilgili veri kategorileri de eşleştirilerek Sicile bildirilecek. Veri sorumlusu tarafından Sicile bildirilen işleme amaçlarına dayalı muhafaza süreleri ile mevzuattaki süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza süresi öngörülmüşse bu süre, yoksa bunlardan en uzun süre esas alınarak veri kategorisi için süre bildirimi yapılması gerekiyor. Kişisel verilerin işlendikleri amaç için gerekli azami muhafaza süreleri belirlenirken Kurulca aşağıdaki hususların dikkate alınması gerektiği düzenlenmiş:

  • İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
  • Kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
  • Veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak devam edeceği süre,
  • İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
  • Belirlenecek olan azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına elverişli olup olmadığı,
  • Veri sorumlusunun hukuki yükümlülüğü gereği kişisel verileri saklamak zorunda olduğu süre,
  • Veri sorumlusu tarafından kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen azami zamanaşımı süresi.

İrtibat Kişisi ve Veri Sorumlusu Temsilcisi

Bilindiği üzere tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir ve veri sorumlusu sıfatından doğan yükümlülükler bu tüzel kişiliği temsil ve ilzama yetkili organ ya da kişilerce yerine getirilir. Bu sorumluluk baki kalmak kaydıyla pek çok sicil tipinde olduğu gibi Veri Sorumluları Sicilinde de irtibat kişisi kavramının düzenlendiğini görüyoruz. İrtibat kişisi, Türkiye’de yerleşik tüzel kişi veri sorumluları tarafından belirlenip Kurum ile kurulacak iletişim için Sicile kayıt esnasında bildirilen gerçek kişidir. Bu noktada irtibat kişisinin veri sorumlusunun hiçbir surette temsile yetkili olmadığını belirtmekte fayda var. İrtibat kişisinin tek görevi ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusundaki iletişimin sağlanmasıdır.

Türkiye’de yerleşik olmayan veri sorumlularının da Sicile kaydolacağı, Sicil nezdinde çeşitli işlemler yürüteceği düşünüldüğünde, Yönetmelik ile bu kimselerin temsil sorununa ilişkin bir çözüm getiriliyor; veri sorumlusu temsilcisi. Veri sorumlusu temsilcileri, Türkiye’de yerleşik olmayan veri sorumlularının Sicil nezdindeki işlemleri yürütebilmeleri adına yetkilendirdikleri Türkiye Cumhuriyeti vatandaşı gerçek kişiler ya da Türkiye’de yerleşik tüzel kişilerdir. Veri sorumlusu temsilcisinin, çoğunluğu veri sorumlusunun iletişim sorunlarını gidermek üzerine kurulmuş çeşitli görevleri bulunuyor:

  • Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yapılan tebligat ve yazışmaları veri sorumlusu adına tebellüğ veya kabul etmek,
  • Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna; veri sorumlusundan gelecek cevapları da Kurum’a iletmek,
  • Kurulca ayrı bir düzenleme yapılmamışsa, ilgili kişi başvurularını veri sorumlusu adına almak ve veri sorumlusuna iletmek,
  • Kurulca ayrı bir düzenleme yapılmamışsa, başvurular üzerine veri sorumlusunun cevabını ilgili kişilere iletmek,
  • Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapmak.

Son olarak hatırlatmakta fayda var; Sicile kayıt ve bildirim yükümlülüğüne tam olarak riayet edilmesi, Sicile yapılan bildirimlerin gerçeği tam olarak yansıtması ve yanıltıcı bilgi içermemesi çok önemli. Aksi takdirde veri sorumlularının yirmi bin TL ile bir milyon TL arasında bir idari para cezası ile karşılaşmaları mümkün.

Kimler VERBİS’e kayıt yükümlülüğünün dışında tutuluyor?

Bildiğiniz üzere, 2016 yılında yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen tüm veri sorumluları için, veri işleme faaliyetine başlamadan önce Veri Sorumluları Siciline (“VERBİS”) kaydolma yükümlülüğü getirilmişti. Aynı kanun ile sicile kayıt yükümlülüğünün uygulanmayacağı bazı istisnai haller düzenlenirken, Kişisel Verileri Koruma Kurumu’na (“KVKK”) da ayrıca istisna getirme yetkisi verilmişti.

Bu doğrultuda KVKK’nın, VERBİS’e kaydolma yükümlülüğünden istisna tutulacak veri sorumlularını belirleyen kararı 15 Mayıs 2018 tarihinde Resmi Gazete’de yayımlandı. Karara göre aşağıda belirtilenler, veri işleme faaliyetleri açısından açıklığı temin etmek amacıyla getirilen kayıt yükümlülüğünden istisna tutuluyor:

  • Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
  • Noterlik Kanunu uyarınca faaliyet gösteren noterler,
  • Dernekler Kanunu’na göre kurulmuş derneklerden, Vakıflar Kanunu’na göre kurulmuş vakıflardan ve Sendikalar ve Toplu İş Sözleşmesi Kanunu’na göre kurulmuş sendikalardan yalnızca söz konusu mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  • Siyasi Partiler Kanunu’na göre kurulmuş siyasi partiler,
  • Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
  • Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.

Kişisel Verileri Koruma Kurumu’ndan İki Yeni Tebliğ!

Kişisel Verileri Koruma Kurumu tarafından hazırlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Aydınlatma Yükümlülüğü Tebliği”) ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ (“Veri Sorumlusuna Başvuru Tebliği”) 10 Mart 2018 tarihli Resmi Gazete’ de yayımlanarak yürürlüğe girdi. Bu iki tebliğ ile kişisel verilerinizin korunmasına ilişkin oldukça önemli düzenlemeler getirildi.

Bu tebliğler hakkında detaylı bilgiler anlatılmadan önce veri sorumlusu ve veri sahibinin kimler olduğu konusunda kısa bir bilgi vermekte fayda var. Veri sorumlusu, kişisel verileri işleyen ve tüm sürecin merkezinde bulunan; veri sahibi, kişisel verileri işlenen toplanan kaydedilen kişiler olarak açıklanabilir.

Öncelikli olarak Aydınlatma Yükümlülüğü Tebliği kapsamında, yapılacak olan bilgilendirmenin içermesi gereken zorunlu hususlar açıklığa kavuşturuldu. Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verinin işlenme amacı, kimlere hangi amaçla aktarılabileceği, bunların toplama yöntemleri, hukuki sebepleri ve veri sorumlusuna başvuru yapıldığı takdirde ilgili kişinin bilgi alabilmesine ilişkin düzenlemeler getirildi.

Bunun yanı sıra veri sorumlularına ilişkin aydınlatma yükümlülüğünün nasıl yerine getirilmesi gerektiğine ilişkin detaylı ve oldukça önemli düzenlemelere yer verildiği de görülüyor. Veri sahibinin veri işleme amacı hakkında belirli ve açık, muğlak ifadelere yer vermeyecek şekilde aydınlatılması, veri işleme amacı değiştiğinde veri sahibinin bu değişikliğe istinaden ayrıca ve tekrar bilgilendirilmesi gerekliliği yer alıyor. Öte yandan, veri sorumlusuna aynı veri sahibine ilişkin bilgilerin birden fazla amaç için işlendiği durumlarda da her bir amaç için ayrı ayrı aydınlatma yükümlülüğü getirdiği anlaşılıyor. Böylelikle alınan veriler sadece belirli bir amaç dâhilinde kullanılabilecek.

Tebliğ kapsamında belki de en çok üzerinde durulması gereken düzenleme, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak yapılması durumunda aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin veri sorumlusu tarafından ayrı ayrı gerçekleştirilmesi gerekliliğine ilişkin düzenlemedir. Bir başka deyişle, kişisel verilerin işlenmesine ilişkin olarak alınan rızanın aydınlatma metninin içerisine yedirilmeksizin, ayrı bir sekmede açıkça alınması gerekiyor.

Tebliğ’de aydınlatma yükümlülüğüne ilişkin son düzenleme ise, kişisel verilerin veri sahibinden elde edilmemesi durumunda veri sorumlusuna yüklenen bir sorumluluğa ilişkin. Buna göre, kişisel veri doğrudan veri sahibinden elde edilmiyorsa bu verilerin elde edilmesinden itibaren makul bir sürede bir başka deyişle mümkün olan en kısa sürede veri sorumlusunun veri sahibine karşı aydınlatma yükümlülüğü doğuyor.

Öte yandan Veri Sorumlusuna Başvuru Tebliği ise adından da anlaşılacağı üzere kişisel verileri işlenen gerçek kişilerin veri sorumlusuna başvuruyu nasıl yapacağına ilişkin düzenlemeleri içeriyor. Başvuru dilinin Türkçe olması şartının yanı sıra başvurunun yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletileceği düzenleniyor. Bu konuda belirtilmesi gereken noktalardan bir diğeri ise veri sorumlusunun gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olmasıdır. Böyle bir düzenlemeye yer verilmesinin nedeni ise başvuruların etkin bir şekilde sonuçlandırılması olarak açıklanıyor. Ancak veri sorumlusu, veri sahibinin talebini yerine getirirken sınırsız bir süreye sahip olmayıp 30 günlük bir süreyle sınırlandırılıyor.

Kişisel Verileri Koruma Kurumu bu iki tebliğ ile veri sahibinin haklarını mümkün olduğunca güvence altına alarak kendisi hakkında oluşturulan her türlü verinin kullanımı ile ilgili bilgilendirme yükümlülüğünü veri sorumlusuna yüklediğini, veri sahibine de dilediğinde bilgi alma hakkını tanıdığını ayrıntılarıyla açıklıyor. Ayrıca bu düzenlemeler, Kişisel Verileri Koruma Kurumu’nun kişisel verilerin korunmasına yönelik çalışmalarını tam gazla sürdürdüğünü gösteriyor. Bakalım bu alanda Kurum tarafından ilerleyen dönemlerde ne gibi yeni düzenlemeler getirilecek…

Bundeskartellamt: Facebook’un Veri Toplama ve Kullanma Politikası Rekabete Aykırı

Alman Rekabet Otoritesi Bundeskartellamt, bugün itibariyle Facebook’a karşı devam eden hakim durumun kötüye kullanılması soruşturmasının ön incelemesini tamamladığını duyurdu.

Söz konusu duyuruya göre Bundeskartellamt, Facebook’un Almanya’da sosyal ağlar pazarında hakim durumda olduğuna ve bu hakim durumunu, Facebook uygulaması kullanımını, diğer internet siteleri ve uygulamaları (third-party sources) kullanımı yoluyla elde edilen tüm veriyi, herhangi bir kısıtlamaya tabi tutulmaksızın toplama ve kullanıcının Facebook hesabıyla birleştirme şartına bağlaması sebebiyle kötüye kullandığına karar verdi. “Third-party sources” tanımına Whatsapp ve Instagram gibi Facebook’un sahip olduğu uygulamaların yanı sıra Facebook ile entegre edilebilen diğer tüm uygulamalar da giriyor.

Başkan Andreas Mundt yapmış olduğu açıklamada, mevcut durumdaki en büyük endişelerinin Facebook dışındaki sosyal ağlardan elde edilen verinin, herhangi bir sınırlamaya tabi tutulmaksızın kullanıcının Facebook hesabına aktarılması olarak nitelendiriyor. Bu noktada, Facebook’un veri takibi ve söz konusu verinin işlenerek Facebook hesabındaki veri ile birleştirilmesi noktasında kullanıcı rızası aldıkları yönündeki itirazları da yeterince ikna edici bulmadığını ifade ediyor.

Soruşturma hakkında daha fazla bilgiye buradan ulaşabilirsiniz.