Ayna ayna söyle bana, var mı rekabet politikası dijital piyasalara? : Artık var!

Avrupa Komisyonu geçtiğimiz günlerde, bir süredir rekabet hukuku çevrelerinin hararetli tartışma konusu olan dijital platformlara ilişkin politika raporu yayınladı. Dijital ekonomilere yönelik rekabet politikasının şekillenmesi açısından önemli nüanslar barındıran bu rapora göre Avrupa, büyük teknoloji şirketlerine karşı rekabet hukukunun bazı konularında daha sıkı bir yaklaşım benimseyecek gibi görünüyor.

Big Tech, dijital platformlar, dijital ekonomiler, Big Data, verinin pazar gücünü artırmada kullanılması, büyük teknoloji şirketlerinin rekabet gücü… Bu kavramlar bir süredir rekabet hukukunun da aralarında bulunduğu çok çeşitli mecraların tartışma konusu. The Economist’in 17 Kasım 2018 sayısında büyük teknoloji şirketleri hakkındaki serzenişler şöyle yansıtılmış[1]:

Batı’da pek çok insanın üzerinde mutabık kaldığı nadir konulardan biri büyük teknoloji şirketleriyle ilgili bir problem olduğudur. En yaygın şikâyetler ise şunlar; yüksek pazar payına sahip şirketlerin ortaklık yapısı yoğunlaşmış olduğundan bu şirketlerin gelişiminden kodamanlar yararlanıyor, teknoloji şirketleri bağımlılığa neden oluyorlar, ifade hürriyetini kısıtlıyorlar, ifade hürriyetini kısıtlamıyorlar, Rus ajanlarınca istila edilmiş durumdalar, Çinli otokratlara yaranmaya çalışıyorlar, kullanıcılara verileri karşılığında para vermiyorlar, verileri üçüncü taraflara veriyorlar, verileri üçüncü taraflara vermeyi reddediyorlar, yeterince yatırım yapmıyorlar, kendilerini eleştirenlerin gözünü korkutuyorlar, işçilerine az ücret veriyorlar, üniversitelerden çok fazla sayıda uzmanı kadrolarına katıyorlar, çok az vergi veriyorlar, politikayı yozlaştırıyorlar.

Bu serzenişlerin önemli bir kısmının rekabet hukuku ve kişisel verilerin korunması hukuku ile yakından ilgili olduğunu görüyoruz. Avrupa’da geçtiğimiz yıllarda dijital platformlara ve büyük teknoloji şirketlerine yönelik incelemelerle ve bazıları sonucunda çıkan cezalarla birlikte rekabet hukuku çevrelerinde dijital platformlar için özel bir rekabet politikasına ihtiyaç olup olmadığı, hatta dijital ekonomiyi regüle etme gerekliliğinin bulunup bulunmadığı yönünde tartışmalar hızlanmıştı. Avrupa Komisyonu da geçtiğimiz günlerde tartışılan konuları bir araya toplayan ve bu konular hakkındaki genel görüşleri içeren “Dijital Çağ İçin Rekabet Politikası” (Competition Policy for the Digital Era) adlı raporunu yayınlayarak tartışmalara bir nevi yön vermiş oldu[2].

Biz de bu yazımızda raporu sizler için ana hatlarıyla gözden geçirecek ve rekabet politikasının dijital platformlar bakımından nasıl şekilleneceğine ilişkin öngörülere değineceğiz.

Rapor esasen beş ana bölümden oluşuyor ve bu bölümlerde genel olarak şu konulara değiniliyor: (i) dijital hizmetlerin sunulduğu piyasalar nasıl işliyor? (ii) AB rekabet hukukunun amaçlarının dijital çağ açısından değerlendirilmesi ve kullanılacak metodoloji, (iii) çok taraflı platformlar bakımından rekabet hukukunun uygulanması, (iv) veri kavramının dijital piyasalar bakımından önemi ve rekabet hukuku bakımından incelenmesi ve (v) dijital piyasaları ilgilendiren birleşme ve devralma işlemlerinin incelenmesi.

Dijital hizmetlerin sunulduğu piyasalar nasıl işliyor?

Raporda dijital piyasaların özellikleri ile dijital ekonomileri ilgilendiren ana hususlar; ölçeğe göre yüksek getiri, ağ dışsallıkları ile şebeke etkileri ve verinin önemi yönlerinden inceleniyor. Rapora göre alışılmış piyasalarda tüketici/kullanıcı sayısının artmasıyla birlikte maliyetler de benzer ölçüde artarken dijital piyasalarda kullanıcı sayısındaki artışlar maliyetlere daha düşük oranda yansıyor. Öte yandan,  alışılmış piyasada faaliyet gösteren oyunculardan kapasitesi daha yüksek olan üreticinin maliyetler açısından etkinlik kazanması söz konusu olsa da, dijital piyasalardaki oyuncular bakımından bu örnek çok daha uçlarda yaşanıyor. Bu durumun ise dijital piyasalardaki yerleşik oyuncular bakımından ciddi bir rekabet avantajı yarattığı görüşü ifade ediliyor.

Ağ dışsallıkları noktasında; yerleşik oyuncu olan çok taraflı platformların şebeke etkisi nedeniyle piyasa güçlerinin rekabetle azaltılmasının güçlüğüne vurgu yapılıyor. Zira platformun bir tarafındaki kullanıcıların o platformu tercih sebebinin diğer taraftaki kullanıcılar olması durumunda, rakip platformun daha ucuz ve daha kaliteli hizmet sunması yeterli olmuyor ve kullanıcıların kitlesel olarak yeni platforma göç etmesinin sağlanması gerekiyor.

Raporda ayrıca dijital ekonomilerin beslendikleri ana kaynaklardan olan verinin ilerleyen süreçte de hayati önemini koruyacağına vurgu yapılıyor.

Dijital piyasalar bakımından yapılan bu karakterizasyonun ardından kapsam ekonomisinin denkleme girişine değiniliyor. Kapsam ekonomisi, bir teşebbüsün sahip olduğu uygun kaynaklar sayesinde diğer teşebbüslere nazaran daha kolay bir biçimde ilgili pazarın ilişkili pazarlarında ya da tamamen bağımsız pazarlarda hızlıca faaliyete geçebilmesine olanak sağlıyor. Bu sayede örneğin belli bir piyasada faaliyet gösteren çok taraflı bir platform, elindeki teknolojik avantajlar, veri analiz gücü ve kaynakları gibi unsurlar sayesinde diğer pazarlarda da faaliyete geçerek pazar gücü elde edebiliyor, bu faaliyetleri birbirlerine entegre etmesi sonucunda da bir ekosistem pazarı meydana getirebiliyor. Raporda bu konuya örnek olarak Uluslararası Ödemeler Bankası’nın (Bank of International Settlements) organize ettiği Finansal İstikrar Kurulu’nun (Financial Stability Board) yaptığı bir çalışmaya yer veriliyor. Bu çalışmaya göre finansal piyasalardaki yerleşik oyuncuların mevcut konumlarını bozacak olanların, yeni gelişmekte olan finansal teknoloji (fintech) şirketleri değil, farklı piyasalarda faaliyetlerini sürdüren mevcut Big Tech firmaları olduğu ifade ediliyor.

Dijital piyasalarla ilgili olarak genel değerlendirmede ise yerleşik oyuncuların genelde şebeke etkisi nedeniyle piyasadaki güçlerinin sarsılmasının çok zor olduğuna, öte yandan bu teşebbüslerin mevcut konumları nedeniyle rekabete aykırı davranışlar içine girme dürtülerinin de daha yüksek olduğuna kanaat getiriliyor.

AB rekabet hukukunun amaçlarının dijital çağ açısından değerlendirilmesi ve kullanılacak metodoloji

Raporda mevcut AB rekabet hukuku kurallarının (ABİHA – Avrupa Birliği’nin İşleyişi Hakkında Anlaşma 101. ve 102. maddeler) rekabet sorunlarını çözebilecek kapsamda olduğu ve dijital piyasalara ayak uydurmak amacıyla bu kurallarda değişikliğe gidilmesinin gerekli olmadığı vurgulanıyor. Bununla birlikte AB rekabet hukuku kurallarının dijital piyasada faaliyet gösteren teşebbüslere uygulanması safhasında farklı yaklaşımlar gösterilebileceği kanaati geniş yer buluyor. Bu bakımdan tüketici refahı standardı, pazar tanımı, pazar gücü, ispat yükü ve rekabet hukuku ile regülasyonun ilişkisi konuları ekseninde değerlendirmelere yer veriliyor.

Tüketici refahı standardı açısından yapılan değerlendirmede, tüketici zararı açıkça görülmüyor ve tespit edilemiyor dahi olsa hâkim durumdaki oyuncuların rekabet karşıtı stratejilerinin yasak olması gerektiği vurgulanıyor. Bu noktada, hâkim durumdaki teşebbüsün rekabete aykırı birtakım davranışlarının gözlenmesi halinde tüketicide refah artışı açıkça ortaya konulamıyorsa tüketici zararının çok katı şekilde aranmasının gerekmediği belirtiliyor.

Bilindiği üzere pazar tanımı kavramı dijital piyasalar ve özellikle çok taraflı platformlar bakımından oldukça tartışma yaratan bir konu. Ancak son dönemlerde pazar tanımına yüksek önem atfedilmemesi gerektiği yönündeki görüşler kabul görüyor. Raporda da bu yönde bir değerlendirmeye yer veriliyor. Alışılmış tek taraflı pazarlardan farklı olarak çok taraflı pazarlarda pazarın farklı taraflarının birbirlerine bağlılığı da vurgulanarak pazar tanımının güçlüğüne dikkat çekiliyor. Bu eksende pazar tanımına ciddi mesai harcamaktansa gerekli eforun daha çok rekabete aykırı davranışın izdüşümünün ortaya çıkarılması noktasında harcanması tavsiye ediliyor. Pazar tanımı noktasında getirilen dikkat çekici önerilerden biri ise “ekosistem pazarı”. Buna göre kapsam ekonomileri sayesinde birden çok pazarda faaliyet yürüten ve bu pazarlardaki hizmetlerini entegre hale getiren teşebbüslerin ekosistemler oluşturduğu durumlarda kullanıcılar bu ekosistemi terk etmekte zorlanıyorlarsa ekosistem spesifik pazar tanımı yapılabileceği öneriliyor.

Pazar gücü noktasında; dijital piyasalara yönelik rekabet hukuku incelemelerinde davranışsal ekonomiye daha yoğun olarak eğilmek gerektiğine vurgu yapan rapor, yerleşik oyuncuların kendilerini rekabetten nasıl koruduklarına yönelik olarak incelemeler yapılması gerektiği yönünde tavsiyeler sunuyor. Oldukça parçalı pazarlarda dahi çok taraflı platformlar bakımından aracılık gücü şeklinde pazar gücünün ortaya çıkabileceği değerlendirilirken, pazara giriş yapacakların erişemedikleri veriyi elinde tutan teşebbüsün ciddi bir rekabetçi güç barındırdığı hususuna yer veriliyor.

İspat yükü noktasında ise rekabete aykırı olup olmadığı kesin olarak tespit edilemeyen riskli davranışların kimi hallerde yasak olarak kabul edilmesi (Tip 1 hatasının Tip 2 hatasına tercih edilmesi) yönünde bir eğilim gözleniyor. Özellikle güçlü şebeke etkisinin ve yüksek giriş engellerinin olduğu yoğunlaşmış dijital piyasalarda bir davranışın rekabete aykırı olup olmadığı noktasında ispat yükünün incelenen taraf üzerinde bırakılması, riskli davranışın rekabet yanlısı olduğunun bu teşebbüs tarafından ispat edilmesi gerektiği görüşü ifade ediliyor.

Rekabet hukuku ile regülasyon arasındaki ilişkinin ikame edilebilirlik göstermediğinin değerlendirildiği raporda regülasyonun, rekabet hukukunu tamamlar şekilde denkleme dahil edilmesi gerektiği yönünde görüşler bildiriliyor.

Çok taraflı platformlar bakımından rekabet hukukunun uygulanması

Raporda pazar gücüne sahip çok taraflı platformların belirli davranışlarının daha sıkı incelemeye tabi tutulması öneriliyor. MFN (Most Favored Nation – En Çok Kayrılan Müşteri) hükümlerinin çok taraflı platformlar tarafından uygulanması durumunda daha katı bir yaklaşım benimsenmesinin tavsiye edildiği raporda, özellikle hâkim durumdaki platformların yatırımlarının karşılığını almak için sözleşmelerinde yer alacak MFN gibi kısıtların minimal düzeyde olması gerektiği tavsiye ediliyor. Bu noktada platform kullanıcıları bakımından adeta bir düzenleyici otorite olarak hareket edip platform içi regülasyonlar kuran çok taraflı platformların bu düzenlemelerinde rekabeti kısıtlayabilecek hükümlerden mümkün olduğunca kaçınmaları yönünde görüş bildiriliyor.

Öte yandan bu tür teşebbüslerin aynı anda birden çok platform kullanımını (multi-homing) ve platformlar arası geçişi kısıtlayıcı davranışlarda bulunmaktan kaçınması gerektiği ifade ediliyor. Özellikle kullanıcıların bir platformdaki verilerini başka bir platforma taşıyabilmesine (data portability) imkan tanınması, ayrıca bahse konu teşebbüs nezdindeki bu verilerin başka platformda da kullanılabilir vaziyette olması (data interoperability) gibi hususların önemine vurgu yapılıyor. Bu noktada kişisel verilerin korunmasına yönelik regülasyonların önemi ve bunlarca üstlenilecek rol, raporun veriye ilişkin bölümünde ayrıntılandırılmak üzere burada da dile getiriliyor.

Veri kavramının dijital piyasalar bakımından önemi ve rekabet hukuku bakımından incelenmesi

Günden güne veri kullanımının dijital piyasalarda rekabetçi güç elde etme bakımından öneminin arttığı tartışmasız. Raporda da veri kullanımının ve verinin iktisadi boyutunun önemine bu şekilde dikkat çekilirken işlenen verinin niteliğinin de önemli bir parametre olduğu vurgulanıyor. Bu doğrultuda verinin ve rekabetin tesisi için veriye erişimin öneminin tespitinde ilgili piyasanın özelliklerinin, verinin niteliğinin ve ne şekilde kullanıldığının dikkate alınması gerektiği belirtiliyor.

Veriye erişimin tesis edilmesi noktasında AB veri koruma düzenlemesi GDPR’ın (General Data Protection Regulation) veri taşınmasına yönelik kuralının önemine dikkat çekilmekle birlikte söz konusu hükmün nasıl yorumlanacağı noktasında bir netlik olmamasının olumsuz yönleri de değerlendiriliyor. GDPR’ın ilgili hükmü kişiye belirli bir platform nezdindeki verilerini bir başka platforma taşıma konusunda bir hak tanımışken bu hakkın nasıl kullanılacağı ve söz konusu verinin ne nitelikte olacağı (aynı verinin başka platformda kullanılabilir/çalışabilir durumda olması – data interoperability) hususu net değil. Bu bakımdan raporda hâkim durumdaki dijital platformların bağımlılık yaratıcı uygulamalarının önüne geçecek olan veri taşınabilirliği bakımından daha açık ve katı bir yaklaşım benimsenebileceği, hatta bu sorunların önüne sektör spesifik bir regülasyon ile geçilebileceği görüşleri sunuluyor.

Verinin rakiplerle paylaşılması açısından ise bir bilgi değişimi riskinin gündeme gelebileceği değerlendiriliyor. Bunun yanında bahse konu veri paylaşımının, pazardaki rakiplerin kendi verilerini yaratma güdüsünü azaltabileceği, bu nedenlerle veri paylaşımının bazı hallerde rekabeti olumsuz etkileyen sonuçlara yol açabileceği ifade ediliyor. Öte yandan verinin adil, makul ve ayrımcı olmayan (fair, reasonable and non-discriminatory – FRAND) koşullar dışındaki şartlarla sunulması durumunda da bir sömürücü kötüye kullanma riskiyle karşılaşılabileceği görüşü sunuluyor.

ABİHA’nın 102. maddesi uyarınca hâkim durumdaki teşebbüsün nezdindeki verileri paylaşma yükümlülüğü konusunda yapılan değerlendirmede bahse konu verinin vazgeçilmez olup olmadığı üzerinde duruluyor. Buna göre teşebbüslerin ABİHA’nın 102. maddesine dayanarak hâkim durumdaki teşebbüsten veri paylaşımı talep etmeleri durumunda verinin vazgeçilmez nitelikte olup olmadığının, verinin niteliğiyle paralel olarak farklı veri gruplarının ayrıştırılarak verilmesinin mümkün olup olmadığının incelenmesi tavsiye ediliyor. Bu noktada yerel rekabet otoritelerinin yapacakları değerlendirmelerde netlik olmadığı hallerde, verinin paylaşımına hükmederek piyasaya doğrudan müdahale etmektense çekingen davranmalarının daha doğru olacağı yönünde yorumlarda bulunuluyor. Bununla birlikte bu konuyu da düzenleyen bir sektör spesifik regülasyona ihtiyaç olabileceği belirtiliyor.

Dijital piyasaları ilgilendiren birleşme ve devralma işlemlerinin incelenmesi

Bu başlık altında yapılan en önemli değerlendirmeler AB’nin mevcut birleşme ve devralma kontrol eşiklerinin yeterli olup olmadığına yönelik. Avrupa’daki devralmaların bildirimi için öngörülen ciro eşiklerinin önemli sayılabilecek işlemleri gözden kaçırabildiği husus bir süredir rekabet hukuku çevrelerinin en çok tartışılan konularından. Biz de daha önce burada “İşlem Tutarı Esasına Dayalı Birleşme ve Devralma Bildirimi Yükümlülüğü: Cermenler Neler Söylüyor?” başlıklı yazımızda söz konusu hususa değinmiş ve Almanya ile Avusturya’nın kanunlarında yaşanan değişimlere ve yeni bildirim eşiklerine ilişkin değerlendirmelerimizi paylaşmıştık.

Raporda da AB üye devletlerinin mevcut eşiklerin yanında işlem tutarına dayalı eşikler belirliyor olması değerlendirmeye tabi tutuluyor ve AB’nin de bu tip yeni bir sisteme ihtiyacı olup olmadığı tartışılıyor. Ancak Almanya ve Avusturya’nın tanıştırdığı işlem tutarı sisteminin henüz çok yeni olduğu ve gözlenebilir sonuçlarının henüz ortaya çıkmadığı belirtilerek Avrupa için yeni bir birleşme ve devralma kontrolü rejiminin gerekli olmadığı kanaati bildiriliyor. Komisyon tarafından söz konusu sistemlerin çıkaracağı sonuçların yakından gözleneceği ifade edilmekle birlikte, ilerleyen dönemlerde üye devletlerin benimsedikleri bu yeni sistemler nedeniyle sistematik bir boşluk oluşması durumunda AB Birleşme Regülasyonu’nun revize edilebileceğine ilişkin görüşler paylaşılıyor.



[1] Trustbusting in the 21st Century, Special Report: Competition, The Economist, 17.11.2018, s. 6.

[2] Avrupa Komisyonu, Competition Policy for the Digital Era, http://ec.europa.eu/competition/publications/reports/kd0419345enn.pdf (Erişim tarihi: 8.4.2019)

Kayıt Tarihleri Belli Olmuşken Sicile Kayıt Detaylarını Hatırlayalım

Geçtiğimiz günlerde sıcağı sıcağına yayınladığımız yazımız ile Kişisel Verileri Koruma Kurulu’nun (“Kurul”), uzun bir bekleyişin ardından Veri Sorumluları Sicili’ne (“Sicil”) kayıt tarihlerini belirleyip ilan ettiğinden, ayrıca aynı gün yayınlanan iki kararla bazı veri sorumlularının Sicile kayıt yükümlülüğünden müstesna tutulduğundan bahsetmiştik. Bu yazımızda da kayıt tarihlerinin de belli olmasıyla birlikte herkesin aklındaki ortak sorunun cevaplarına değineceğiz; Sicile kayıtla ilgili nelere dikkat edilmeli?

Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) genel esaslarına yer verilen Sicil, Veri Sorumluları Sicili Hakkında Yönetmelik’le (“Yönetmelik”) ayrıntılı şekilde düzenleniyor. Yönetmelik hükümlerinde özellikle dikkat edilmesi gereken konular ise Sicile ilişkin ilke ve esaslar, kayıt işlemi, verilerin azami muhafaza süresi ile irtibat kişisi ve veri sorumlusu temsilcisi alt başlıklarında düzenleniyor.

Sicile İlişkin İlke ve Esaslar

Kurul, Sicile ilişkin ilke, usul ve esaslar başlığı altında öncelikle veri sorumlularının veri işleme faaliyetlerine başlamadan önce Sicile kayıt yükümlülüklerini  tekrar ediyor. Bu noktada bu temel düzenlemenin, Sicilin faaliyetine başlamasından ve Kurul’un halihazırda yayınladığı ilk kayıt takvimi sürelerinin sona ermesinden sonra hayata geçeceğini hatırlatmakta fayda var.

Sicil kamuya açık bir şekilde tutuluyor olacak. Bu sayede kişisel verileri işlenecek ilgili kişiler, Sicil üzerinden veri sorumlularının bilgilerine erişebilecek, ayrıca hangi verilerinin ne kadar süre ile işleneceğine dair bilgi sahibi olabilecekler.

Sicile ilişkin ilkeler noktasında belki de en önemli husus Sicil ile veri envanterinin birbirleri ile olan bağlantısı. Zira Yönetmelik hükmüne göre Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanacak. Öte yandan veri sorumlularının Kanun’dan doğan yükümlülüklerinin çerçevesinin belirlenmesinde de veri envanterine dayalı olarak Sicile bildirilip yayınlanan bilgiler esas alınacak. Bu kapsamda aydınlatma yükümlüğünün, ilgili kişilerin başvurularına verilecek yanıtların ve ilgili kişilerden alınacak açık rızaların kapsamlarının belirlenmesinde Sicilde yayınlanan bilgiler önem arz edecek. Dolayısıyla Sicile kayıt öncesinde veri envanterinin sürece uygun şekilde hazırlanmış olması dikkat edilmesi gereken hususlardan.

Daha önceden Sicile kayıt yükümlülüğüne tabi olmadığı halde kayıt yükümlüsü haline gelen veri sorumlularının kayıt yükümlüsü haline geldikleri tarihten itibaren otuz gün içerisinde kayıt yükümlülüklerini yerine getirmeleri gerekeceğini de hatırlatalım.

Sicile Kayıtta Verilecek Bilgiler

Sicile Kayıt İşlemi

Sicile kayıt işlemi ve sonrasında Sicil üzerinde veri sorumlularınca gerçekleştirilecek tüm işlemler, internet üzerinden erişim sağlanabilecek bir bilişim ağı olan VERBİS üzerinden yapılacak.

Sicile kayıt başvurusunda bulunacak veri sorumlularının VERBİS üzerinden, veri envanteri ile de paralellik arz edecek şekilde aşağıdaki asgari bilgileri iletmeleri gerekiyor:

  • Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin başvuru formunda yer alan bilgiler,
  • Kişisel verilerin hangi amaçlarla işleneceği,
  • Veri konusu kişi grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin veri sorumluları tarafından alınan tedbirler,
  • Kişisel verilerin azami muhafaza edilme süresi.

Azami Muhafaza Süreleri

Yönetmelikte düzenlenen en önemli konulardan biri de kişisel verilerin ne kadar süre ile muhafaza edileceği belirlenirken dikkate alınacak kriterler. Kanun’un belirlediği genel ilkelerde de belirtildiği üzere kişisel veriler, ilgili mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre boyunca veri sorumluları tarafından muhafaza edilebiliyor.

Düzenlemeye göre veri sorumluları tarafından verilerin hangi sürelerle işleneceğine ilişkin bilgiler ilgili veri kategorileri de eşleştirilerek Sicile bildirilecek. Veri sorumlusu tarafından Sicile bildirilen işleme amaçlarına dayalı muhafaza süreleri ile mevzuattaki süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza süresi öngörülmüşse bu süre, yoksa bunlardan en uzun süre esas alınarak veri kategorisi için süre bildirimi yapılması gerekiyor. Kişisel verilerin işlendikleri amaç için gerekli azami muhafaza süreleri belirlenirken Kurulca aşağıdaki hususların dikkate alınması gerektiği düzenlenmiş:

  • İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
  • Kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
  • Veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak devam edeceği süre,
  • İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
  • Belirlenecek olan azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına elverişli olup olmadığı,
  • Veri sorumlusunun hukuki yükümlülüğü gereği kişisel verileri saklamak zorunda olduğu süre,
  • Veri sorumlusu tarafından kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen azami zamanaşımı süresi.

İrtibat Kişisi ve Veri Sorumlusu Temsilcisi

Bilindiği üzere tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir ve veri sorumlusu sıfatından doğan yükümlülükler bu tüzel kişiliği temsil ve ilzama yetkili organ ya da kişilerce yerine getirilir. Bu sorumluluk baki kalmak kaydıyla pek çok sicil tipinde olduğu gibi Veri Sorumluları Sicilinde de irtibat kişisi kavramının düzenlendiğini görüyoruz. İrtibat kişisi, Türkiye’de yerleşik tüzel kişi veri sorumluları tarafından belirlenip Kurum ile kurulacak iletişim için Sicile kayıt esnasında bildirilen gerçek kişidir. Bu noktada irtibat kişisinin veri sorumlusunun hiçbir surette temsile yetkili olmadığını belirtmekte fayda var. İrtibat kişisinin tek görevi ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusundaki iletişimin sağlanmasıdır.

Türkiye’de yerleşik olmayan veri sorumlularının da Sicile kaydolacağı, Sicil nezdinde çeşitli işlemler yürüteceği düşünüldüğünde, Yönetmelik ile bu kimselerin temsil sorununa ilişkin bir çözüm getiriliyor; veri sorumlusu temsilcisi. Veri sorumlusu temsilcileri, Türkiye’de yerleşik olmayan veri sorumlularının Sicil nezdindeki işlemleri yürütebilmeleri adına yetkilendirdikleri Türkiye Cumhuriyeti vatandaşı gerçek kişiler ya da Türkiye’de yerleşik tüzel kişilerdir. Veri sorumlusu temsilcisinin, çoğunluğu veri sorumlusunun iletişim sorunlarını gidermek üzerine kurulmuş çeşitli görevleri bulunuyor:

  • Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yapılan tebligat ve yazışmaları veri sorumlusu adına tebellüğ veya kabul etmek,
  • Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna; veri sorumlusundan gelecek cevapları da Kurum’a iletmek,
  • Kurulca ayrı bir düzenleme yapılmamışsa, ilgili kişi başvurularını veri sorumlusu adına almak ve veri sorumlusuna iletmek,
  • Kurulca ayrı bir düzenleme yapılmamışsa, başvurular üzerine veri sorumlusunun cevabını ilgili kişilere iletmek,
  • Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapmak.

Son olarak hatırlatmakta fayda var; Sicile kayıt ve bildirim yükümlülüğüne tam olarak riayet edilmesi, Sicile yapılan bildirimlerin gerçeği tam olarak yansıtması ve yanıltıcı bilgi içermemesi çok önemli. Aksi takdirde veri sorumlularının yirmi bin TL ile bir milyon TL arasında bir idari para cezası ile karşılaşmaları mümkün.