Kişisel Verilen Korunması Mevzuatında Yapılan Son Değişiklikler

28 Nisan 2019 tarihinde yayınlanan Resmi Gazete ile i) “Veri Sorumluları Sicili Hakkında Yönetmelik”, ii) “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik”[1] ve iii) “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ”’de bazı değişiklikler yapılmıştır.

Mevzuat değişikliklerine ek olarak, yine aynı tarihte, Kişisel Verileri Koruma Kurumu (“Kurum”) resmi web sitesinde “Kişisel Veri İşleme Envanteri Hazırlama Rehberi” yayınlanmıştır. Yazımızda bu rehbere ilişkin olarak da hazırlanmış olan kısa bilgilendirmeyi bulabilirsiniz.                                                                                                                                                        

VERİ SORUMLULARI SİCİLİ (“SİCİL”) HAKKINDA YÖNETMELİK’TE YAPILAN DEĞİŞİKLİKLER

– Yönetmeliğin tanımları düzenleyen ilgili maddesinde yapılan değişiklikler neticesinde irtibat kişisi ile kişisel veri işleme envanteri tanımına birtakım eklemeler yapılmış olup; bu eklemeler ile;

       (a) Mevzuattan doğan yükümlülükleri bakımından Kurum ile iletişimi sağlayacak olan irtibat kişisinin;

              (i) Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu;

              (ii) Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için ise veri sorumlusu temsilcisi tarafından Sicil’e kayıt esnasında bildirileceği;

         (b) Kişisel Veri İşleme Envanterinde;

(i) Kişisel verileri işleme faaliyetlerine, kişisel veri işleme amaçlarına, veri kategorisine, aktarılan alıcı grubuna, yabancı ülkelere aktarımı yapılan kişisel verilere ve veri güvenliğine ilişkin alınan tedbirlere ek olarak veri işleme faaliyetinin hukuki sebebine ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza etme süresine yer verilmesi gerektiği düzenlenmiştir.[2]

– Kişisel Veri İşleme Envanteri’nin Sicile kayıtla yükümlü veri sorumluları tarafından hazırlanması kanuni bir yükümlülük haline getirilmiştir.

– Sicil’de yer alan ve kamuya açıklanacak olan bilgiler kapsamından irtibat kişisine ilişkin bilgiler çıkarılmıştır.

– Sicil’de yer alan kayıt bilgilerinde meydana gelen değişikliklerin, değişikliğin meydana geldiği tarihten itibaren 7 (yedi) gün içerisinde Kurum’a bildirileceği düzenlenmiştir.

– Kişisel Verileri Koruma Kurulu’nun (“Kurul”) Sicil’e kayıt yükümlülüğüne istina getirirken değerlendireceği kriterlere Kurul’un daha önceki kararıyla da paralel olarak veri sorumlusunun yıllık çalışan sayısı ile yıllık mali bilanço toplamı bilgisi eklenmiştir.

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ’DE YAPILAN DEĞİŞİKLİK

– Veri sorumlusunun farklı birimlerinde farklı amaçlarla işlenen kişisel veriler bakımından, her bir birim için aydınlatma yükümlülüğünün ayrı ayrı yerine getirilmesi gerekliliğini düzenleyen ilgili madde yürürlükten kaldırılmıştır.

– Veri Kayıt Sistemi değişiklik öncesi “Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam” olarak tanımlanırken, değişiklik ile birlikte “Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” olarak tanımlanmıştır.

KİŞİSEL VERİ İŞLEME ENVANTERİ HAZIRLAMA REHBERİ

Yayınlanan Rehber’de, Sicil’e kayıt yükümlülüğü olan veri sorumlularının;

– Kişisel verileri işleme faaliyetlerini,

– Kişisel veri işleme amaçlarını ve hukuki sebebi,

– Veri kategorisini,

– Kişisel verilerin aktarıldığı alıcı grubunu,

– Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza etme süresini,

– Yabancı ülkelere aktarımı yapılan kişisel verileri,

– Veri güvenliğine ilişkin alınan idari ve teknik tedbirleri

içeren Kişisel Veri İşleme Envanteri hazırlamakla yükümlü olduğu ve Kişisel Veri İşleme Envanteri ile VERBİS’in birbirinden farklı kavramlar olduğu ancak Kişisel Veri İşleme Envanteri’nin VERBİS’e kayıt esnasında kaynak olarak kullanılacağı düzenlenmiştir.

SONUÇ

Kanun’a uyumluluk kapsamında mevzuatta meydana gelen değişiklikleri yakından takip etmenin ve bu değişiklikler ışığında, prosedürleriniz ve politikalarınızda gerekli güncellemeleri yapmanın siz veri sorumlusu şirketler için önemini vurgulamak isteriz


[1] Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te mevzuatın uygulanma esaslarını etkilemeyecek derecede şekli değişiklikler yapılmıştır.

[2] Kişisel Veri İşleme Envanteri tanımında yapılan bu değişiklik çerçevesinde; tüm mevzuatta yer alan bu tanım güncellenmiştir. 

Hazal Durak

Hazal Durak

Hazal Durak ödeme sistemleri, e-ticaret, reklam ve medya, yazılım ve bilişim sektörlerinde faaliyet gösteren yerli ve yabancı şirketlere şirketler hukuku, e-ticaret hukuku, fikri ve sınai mülkiyet hukuku, bilişim hukuku, iş hukuku, kurumsal yönetişim, kişisel verilerin korunması, ticari sözleşmeler ve uyuşmazlık çözümü alanlarında danışmanlık vermektedir.

Tam biyografi

Ezgi Yasdur

Ezgi Yasdur

Ezgi Yasdur medya, reklam, marka ve tasarımlar, telif hakları, savunma, bilgi teknolojileri, bilişim sektörlerinde faaliyet gösteren yerli ve yabancı şirketlere marka hukuku, reklam hukuku, iş hukuku, sözleşmeler hukuku, şirketler hukuku, ticari sözleşmeler ve uyuşmazlık çözümü alanlarında hukuki danışmanlık sağlamaktadır.

Tam biyografi