Veri Sorumlularına Yeni Yıl Hediyesi!

Veri sorumlularının Kişisel Verilerin Korunması Kanunu’ndan (KVKK) kaynaklanan bir yükümlülükleri de Veri Sorumluları Siciline (VERBİS) kaydolmak. Yeni yılın sonuna yaklaşırken veri sorumlularının gündeminde son kayıt tarihi 31 Aralık 2019 olan VERBİS başvuruları vardı. Oldukça kapsamlı ve zaman alan bir süreci içeren VERBİS başvuruları için son tarih, bugün yayınlanan Kurul kararı ile ertelendi!

Kurul, yayınladığı kararında VERBİS kayıt süreci aşamalarına ilişkin olarak veri sorumluların yaşadığı sorunlara değinerek, yalnızca VERBİS başvuru formlarının Kurum’a iletilmesi suretiyle VERBİS kayıt yükümlülüğünün yerine getirilmiş sayılmadığını bir kez daha hatırlattı. Bu kapsamda sürecin iki aşamalı olduğunu ve veri sorumlularının öncelikle oluşturdukları VERBİS başvuru formunu Kurum’a iletmeleri gerektiğini, daha sonra ise VERBİS’e giriş yaparak veri işleme bildirimini gerçekleştirmeleri gerektiğini hatırlatmak isteriz.

VERBİS kayıt süresinin uzatılmasının ardında, veri işleme faaliyetlerinde şeffaflık, disiplin ve hesap verilebilirlik gibi amaçların layıkıyla yerine getirilebilmesi saikinin yattığı anlaşılıyor. Öyle ki Kurul birçok veri işleme bildirimini incelediğini ve bunlarda ciddi yanlışlıklar ve mevzuata aykırılıklar tespit ettiğini açıkladı. Kurul’a göre yapılan bildirimlerde; kişisel veriler, işleme amaçları, alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yurtdışına veri aktarımı ve saklama süreleri gibi unsurlar da kendi içinde örtüşmüyor.

Bu kapsamda eksikliklerin giderilmesi için veri sorumlularına tanınan ek süreler ile VERBİS’e yeni kayıt tarihleri aşağıdaki tablodaki şekilde belirlendi:

Veri Sorumluları Erteleme Sonrası Kayıt için Son Tarih
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları;   Yurtdışında yerleşik veri sorumluları 30 Haziran 2020
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 30 Eylül 2020
Kamu kurum ve kuruluşu veri sorumluları 31 Aralık 2020

VERBİS kayıt sürelerinin ikinci kez uzatıldığı dikkate alındığında, KVKK’da öngörülen yaptırımlar ile karşılaşmamak adına veri sorumlularının yeni kayıt sürelerine riayet etmeleri ve kayıt işlemlerini Kurum tarafından sağlanan detaylı kılavuzlar ışığında gerçekleştirmelerinin önem arz ettiği kanaatindeyiz. Bu uzatma kararı ile birlikte Kurul’un da vurguladığı bir hususa parmak basmak gerekiyor. VERBİS, şeffaflığın sağlanması, kişisel verilerin korunması alanında bir kültürün oluşturulması ve disiplinin sağlanması noktalarında önemli bir araç olmakla birlikte, veri sorumlularının VERBİS’e kayıt olmuş olmaları ve veri işleme bildiriminde bulunmaları KVKK’ya uyum yükümlülüğünün tamamen yerine getirildiği anlamına gelmiyor. Bu kapsamda veri sorumlularının VERBİS dışında, KVKK’dan kaynaklanan diğer yükümlülüklerini de ifa etmeleri gerekiyor.

Kişisel Verilen Korunması Mevzuatında Yapılan Son Değişiklikler

28 Nisan 2019 tarihinde yayınlanan Resmi Gazete ile i) “Veri Sorumluları Sicili Hakkında Yönetmelik”, ii) “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik”[1] ve iii) “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ”’de bazı değişiklikler yapılmıştır.

Mevzuat değişikliklerine ek olarak, yine aynı tarihte, Kişisel Verileri Koruma Kurumu (“Kurum”) resmi web sitesinde “Kişisel Veri İşleme Envanteri Hazırlama Rehberi” yayınlanmıştır. Yazımızda bu rehbere ilişkin olarak da hazırlanmış olan kısa bilgilendirmeyi bulabilirsiniz.                                                                                                                                                        

VERİ SORUMLULARI SİCİLİ (“SİCİL”) HAKKINDA YÖNETMELİK’TE YAPILAN DEĞİŞİKLİKLER

– Yönetmeliğin tanımları düzenleyen ilgili maddesinde yapılan değişiklikler neticesinde irtibat kişisi ile kişisel veri işleme envanteri tanımına birtakım eklemeler yapılmış olup; bu eklemeler ile;

       (a) Mevzuattan doğan yükümlülükleri bakımından Kurum ile iletişimi sağlayacak olan irtibat kişisinin;

              (i) Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu;

              (ii) Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için ise veri sorumlusu temsilcisi tarafından Sicil’e kayıt esnasında bildirileceği;

         (b) Kişisel Veri İşleme Envanterinde;

(i) Kişisel verileri işleme faaliyetlerine, kişisel veri işleme amaçlarına, veri kategorisine, aktarılan alıcı grubuna, yabancı ülkelere aktarımı yapılan kişisel verilere ve veri güvenliğine ilişkin alınan tedbirlere ek olarak veri işleme faaliyetinin hukuki sebebine ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza etme süresine yer verilmesi gerektiği düzenlenmiştir.[2]

– Kişisel Veri İşleme Envanteri’nin Sicile kayıtla yükümlü veri sorumluları tarafından hazırlanması kanuni bir yükümlülük haline getirilmiştir.

– Sicil’de yer alan ve kamuya açıklanacak olan bilgiler kapsamından irtibat kişisine ilişkin bilgiler çıkarılmıştır.

– Sicil’de yer alan kayıt bilgilerinde meydana gelen değişikliklerin, değişikliğin meydana geldiği tarihten itibaren 7 (yedi) gün içerisinde Kurum’a bildirileceği düzenlenmiştir.

– Kişisel Verileri Koruma Kurulu’nun (“Kurul”) Sicil’e kayıt yükümlülüğüne istina getirirken değerlendireceği kriterlere Kurul’un daha önceki kararıyla da paralel olarak veri sorumlusunun yıllık çalışan sayısı ile yıllık mali bilanço toplamı bilgisi eklenmiştir.

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ’DE YAPILAN DEĞİŞİKLİK

– Veri sorumlusunun farklı birimlerinde farklı amaçlarla işlenen kişisel veriler bakımından, her bir birim için aydınlatma yükümlülüğünün ayrı ayrı yerine getirilmesi gerekliliğini düzenleyen ilgili madde yürürlükten kaldırılmıştır.

– Veri Kayıt Sistemi değişiklik öncesi “Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam” olarak tanımlanırken, değişiklik ile birlikte “Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” olarak tanımlanmıştır.

KİŞİSEL VERİ İŞLEME ENVANTERİ HAZIRLAMA REHBERİ

Yayınlanan Rehber’de, Sicil’e kayıt yükümlülüğü olan veri sorumlularının;

– Kişisel verileri işleme faaliyetlerini,

– Kişisel veri işleme amaçlarını ve hukuki sebebi,

– Veri kategorisini,

– Kişisel verilerin aktarıldığı alıcı grubunu,

– Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza etme süresini,

– Yabancı ülkelere aktarımı yapılan kişisel verileri,

– Veri güvenliğine ilişkin alınan idari ve teknik tedbirleri

içeren Kişisel Veri İşleme Envanteri hazırlamakla yükümlü olduğu ve Kişisel Veri İşleme Envanteri ile VERBİS’in birbirinden farklı kavramlar olduğu ancak Kişisel Veri İşleme Envanteri’nin VERBİS’e kayıt esnasında kaynak olarak kullanılacağı düzenlenmiştir.

SONUÇ

Kanun’a uyumluluk kapsamında mevzuatta meydana gelen değişiklikleri yakından takip etmenin ve bu değişiklikler ışığında, prosedürleriniz ve politikalarınızda gerekli güncellemeleri yapmanın siz veri sorumlusu şirketler için önemini vurgulamak isteriz


[1] Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te mevzuatın uygulanma esaslarını etkilemeyecek derecede şekli değişiklikler yapılmıştır.

[2] Kişisel Veri İşleme Envanteri tanımında yapılan bu değişiklik çerçevesinde; tüm mevzuatta yer alan bu tanım güncellenmiştir. 

Kayıt Tarihleri Belli Olmuşken Sicile Kayıt Detaylarını Hatırlayalım

Geçtiğimiz günlerde sıcağı sıcağına yayınladığımız yazımız ile Kişisel Verileri Koruma Kurulu’nun (“Kurul”), uzun bir bekleyişin ardından Veri Sorumluları Sicili’ne (“Sicil”) kayıt tarihlerini belirleyip ilan ettiğinden, ayrıca aynı gün yayınlanan iki kararla bazı veri sorumlularının Sicile kayıt yükümlülüğünden müstesna tutulduğundan bahsetmiştik. Bu yazımızda da kayıt tarihlerinin de belli olmasıyla birlikte herkesin aklındaki ortak sorunun cevaplarına değineceğiz; Sicile kayıtla ilgili nelere dikkat edilmeli?

Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) genel esaslarına yer verilen Sicil, Veri Sorumluları Sicili Hakkında Yönetmelik’le (“Yönetmelik”) ayrıntılı şekilde düzenleniyor. Yönetmelik hükümlerinde özellikle dikkat edilmesi gereken konular ise Sicile ilişkin ilke ve esaslar, kayıt işlemi, verilerin azami muhafaza süresi ile irtibat kişisi ve veri sorumlusu temsilcisi alt başlıklarında düzenleniyor.

Sicile İlişkin İlke ve Esaslar

Kurul, Sicile ilişkin ilke, usul ve esaslar başlığı altında öncelikle veri sorumlularının veri işleme faaliyetlerine başlamadan önce Sicile kayıt yükümlülüklerini  tekrar ediyor. Bu noktada bu temel düzenlemenin, Sicilin faaliyetine başlamasından ve Kurul’un halihazırda yayınladığı ilk kayıt takvimi sürelerinin sona ermesinden sonra hayata geçeceğini hatırlatmakta fayda var.

Sicil kamuya açık bir şekilde tutuluyor olacak. Bu sayede kişisel verileri işlenecek ilgili kişiler, Sicil üzerinden veri sorumlularının bilgilerine erişebilecek, ayrıca hangi verilerinin ne kadar süre ile işleneceğine dair bilgi sahibi olabilecekler.

Sicile ilişkin ilkeler noktasında belki de en önemli husus Sicil ile veri envanterinin birbirleri ile olan bağlantısı. Zira Yönetmelik hükmüne göre Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanacak. Öte yandan veri sorumlularının Kanun’dan doğan yükümlülüklerinin çerçevesinin belirlenmesinde de veri envanterine dayalı olarak Sicile bildirilip yayınlanan bilgiler esas alınacak. Bu kapsamda aydınlatma yükümlüğünün, ilgili kişilerin başvurularına verilecek yanıtların ve ilgili kişilerden alınacak açık rızaların kapsamlarının belirlenmesinde Sicilde yayınlanan bilgiler önem arz edecek. Dolayısıyla Sicile kayıt öncesinde veri envanterinin sürece uygun şekilde hazırlanmış olması dikkat edilmesi gereken hususlardan.

Daha önceden Sicile kayıt yükümlülüğüne tabi olmadığı halde kayıt yükümlüsü haline gelen veri sorumlularının kayıt yükümlüsü haline geldikleri tarihten itibaren otuz gün içerisinde kayıt yükümlülüklerini yerine getirmeleri gerekeceğini de hatırlatalım.

Sicile Kayıtta Verilecek Bilgiler

Sicile Kayıt İşlemi

Sicile kayıt işlemi ve sonrasında Sicil üzerinde veri sorumlularınca gerçekleştirilecek tüm işlemler, internet üzerinden erişim sağlanabilecek bir bilişim ağı olan VERBİS üzerinden yapılacak.

Sicile kayıt başvurusunda bulunacak veri sorumlularının VERBİS üzerinden, veri envanteri ile de paralellik arz edecek şekilde aşağıdaki asgari bilgileri iletmeleri gerekiyor:

  • Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin başvuru formunda yer alan bilgiler,
  • Kişisel verilerin hangi amaçlarla işleneceği,
  • Veri konusu kişi grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin veri sorumluları tarafından alınan tedbirler,
  • Kişisel verilerin azami muhafaza edilme süresi.

Azami Muhafaza Süreleri

Yönetmelikte düzenlenen en önemli konulardan biri de kişisel verilerin ne kadar süre ile muhafaza edileceği belirlenirken dikkate alınacak kriterler. Kanun’un belirlediği genel ilkelerde de belirtildiği üzere kişisel veriler, ilgili mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre boyunca veri sorumluları tarafından muhafaza edilebiliyor.

Düzenlemeye göre veri sorumluları tarafından verilerin hangi sürelerle işleneceğine ilişkin bilgiler ilgili veri kategorileri de eşleştirilerek Sicile bildirilecek. Veri sorumlusu tarafından Sicile bildirilen işleme amaçlarına dayalı muhafaza süreleri ile mevzuattaki süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza süresi öngörülmüşse bu süre, yoksa bunlardan en uzun süre esas alınarak veri kategorisi için süre bildirimi yapılması gerekiyor. Kişisel verilerin işlendikleri amaç için gerekli azami muhafaza süreleri belirlenirken Kurulca aşağıdaki hususların dikkate alınması gerektiği düzenlenmiş:

  • İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
  • Kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
  • Veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak devam edeceği süre,
  • İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
  • Belirlenecek olan azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına elverişli olup olmadığı,
  • Veri sorumlusunun hukuki yükümlülüğü gereği kişisel verileri saklamak zorunda olduğu süre,
  • Veri sorumlusu tarafından kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen azami zamanaşımı süresi.

İrtibat Kişisi ve Veri Sorumlusu Temsilcisi

Bilindiği üzere tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir ve veri sorumlusu sıfatından doğan yükümlülükler bu tüzel kişiliği temsil ve ilzama yetkili organ ya da kişilerce yerine getirilir. Bu sorumluluk baki kalmak kaydıyla pek çok sicil tipinde olduğu gibi Veri Sorumluları Sicilinde de irtibat kişisi kavramının düzenlendiğini görüyoruz. İrtibat kişisi, Türkiye’de yerleşik tüzel kişi veri sorumluları tarafından belirlenip Kurum ile kurulacak iletişim için Sicile kayıt esnasında bildirilen gerçek kişidir. Bu noktada irtibat kişisinin veri sorumlusunun hiçbir surette temsile yetkili olmadığını belirtmekte fayda var. İrtibat kişisinin tek görevi ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusundaki iletişimin sağlanmasıdır.

Türkiye’de yerleşik olmayan veri sorumlularının da Sicile kaydolacağı, Sicil nezdinde çeşitli işlemler yürüteceği düşünüldüğünde, Yönetmelik ile bu kimselerin temsil sorununa ilişkin bir çözüm getiriliyor; veri sorumlusu temsilcisi. Veri sorumlusu temsilcileri, Türkiye’de yerleşik olmayan veri sorumlularının Sicil nezdindeki işlemleri yürütebilmeleri adına yetkilendirdikleri Türkiye Cumhuriyeti vatandaşı gerçek kişiler ya da Türkiye’de yerleşik tüzel kişilerdir. Veri sorumlusu temsilcisinin, çoğunluğu veri sorumlusunun iletişim sorunlarını gidermek üzerine kurulmuş çeşitli görevleri bulunuyor:

  • Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yapılan tebligat ve yazışmaları veri sorumlusu adına tebellüğ veya kabul etmek,
  • Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna; veri sorumlusundan gelecek cevapları da Kurum’a iletmek,
  • Kurulca ayrı bir düzenleme yapılmamışsa, ilgili kişi başvurularını veri sorumlusu adına almak ve veri sorumlusuna iletmek,
  • Kurulca ayrı bir düzenleme yapılmamışsa, başvurular üzerine veri sorumlusunun cevabını ilgili kişilere iletmek,
  • Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapmak.

Son olarak hatırlatmakta fayda var; Sicile kayıt ve bildirim yükümlülüğüne tam olarak riayet edilmesi, Sicile yapılan bildirimlerin gerçeği tam olarak yansıtması ve yanıltıcı bilgi içermemesi çok önemli. Aksi takdirde veri sorumlularının yirmi bin TL ile bir milyon TL arasında bir idari para cezası ile karşılaşmaları mümkün.

Kimler VERBİS’e kayıt yükümlülüğünün dışında tutuluyor?

Bildiğiniz üzere, 2016 yılında yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen tüm veri sorumluları için, veri işleme faaliyetine başlamadan önce Veri Sorumluları Siciline (“VERBİS”) kaydolma yükümlülüğü getirilmişti. Aynı kanun ile sicile kayıt yükümlülüğünün uygulanmayacağı bazı istisnai haller düzenlenirken, Kişisel Verileri Koruma Kurumu’na (“KVKK”) da ayrıca istisna getirme yetkisi verilmişti.

Bu doğrultuda KVKK’nın, VERBİS’e kaydolma yükümlülüğünden istisna tutulacak veri sorumlularını belirleyen kararı 15 Mayıs 2018 tarihinde Resmi Gazete’de yayımlandı. Karara göre aşağıda belirtilenler, veri işleme faaliyetleri açısından açıklığı temin etmek amacıyla getirilen kayıt yükümlülüğünden istisna tutuluyor:

  • Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
  • Noterlik Kanunu uyarınca faaliyet gösteren noterler,
  • Dernekler Kanunu’na göre kurulmuş derneklerden, Vakıflar Kanunu’na göre kurulmuş vakıflardan ve Sendikalar ve Toplu İş Sözleşmesi Kanunu’na göre kurulmuş sendikalardan yalnızca söz konusu mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  • Siyasi Partiler Kanunu’na göre kurulmuş siyasi partiler,
  • Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
  • Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.