“Kişisel Verilerin Korunması Kanunu” 16 ncı maddesinde, “Kişisel Verilerin Korunması Kurulu” tarafından kurulacak “Veri Sorumluları Sicili”ne kaydolma yükümlülüğünden bahsetmekteydi. Bu doğrultuda Kurulun ilk düzenlediği yönetmelik olan “Veri Sorumluları Sicil Yönetmelik Taslağı” kamuoyu görüşüne açılmış bulunmaktadır. Genel hatlarıyla yönetmelik taslağını şöyle özetleyebiliriz:

  • Daha önce yazımda bahsettiğim gibi  Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri sorumlusu ilgili kişilere, işlenen verilerin hangi amaçla aktarılacağı, verilerin toplanmasının hukuki sebebini ve ilgili kişilerin hakları hakkında bilgi vermekle yükümlüdür.
  • Yönetmelik Taslağı’nın 17. maddesinde ise, Kurul’un sicile kayıt istisnalarının belirlenmesinde kullanılabileceği kriterler belirlenmiştir. Buna göre, Kurul, Sicile kayıt yükümlülüğünden istisna tutulacak veri sorumlularının belirlenmesinde şu kriterleri dikkate alacaktır: (i) Kişisel verinin niteliği, (ii) kişisel verinin sayısı, (iii) kişisel verinin işlenme amacı, (iv) kişisel verinin işlendiği faaliyet alanı, (v) kişisel verinin üçüncü kişilere aktarılma durumu, (vi) kişisel veri işleme faaliyetinin kanunlarda Kanun’un 5 inci maddesinin ikinci fıkrasının (a) ve (ç) bentleri ile 6 ncı maddesinin üçüncü fıkrası uyarınca işlenmesi, (vii) kişisel verilerin muhafaza edilmesi süresi, (viii) veri sorumlusunun yıllık cirosu ve (ix) veri sorumlusunun istihdam ettiği çalışan sayısı.
  • Yönetmelik taslağının 5. maddesinde ise Veri Sicil Bilgi Sistemi (“VERBİS”) nden bahsetmektedir. Sicile kayıt olmakla yükümlü olan veri sorumlularının bu sicile başvurusu ve diğer işlemleri bu sistem üzerinden yürütüleceği öngörülmektedir. Bu sicil herkesin erişimine açık olacak ve sicile erişimi olan veri sorumlusunun kişisel verileri hangi amaçlarla işlenebileceği bilgilerinin de bu sicilde yer alması düzenlenmiş. Kişisel  verilerin korunması için önemli düzenleme ise, Başkanlık tarafından toplanan bilgi ve belgelerin paylaşılamayacak olmasıdır.
  • Kayıt yükümlülüğü olan gerçek ve tüzel kişilerin kişisel veri işlemeye başlamadan önce VERBİS’e kayıt olması gerekecek. Sonradan veri sorumlusu olanlar ise yükümlülüğün başladığı tarihten sonra 30 gün içinde kayıt olmak zorundalar. Süresi içinde kaydını tamamlayamayacak olanlar ise Kurul’dan bir defalık ek süre talep edebilecek. Bu sürede de yükümlüğünü yerine getirmeyen veri sorumlusunun kişisel verileri işleme faaliyetini durdurması talep edilecek.
  • Yönetmeliğin 9. maddesinde Sicile yapılan kayıt başvurusunda talep edilen bilgiler sayılmıştır. Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri kapsamında değerlendirilmesi gereken bu bilgiler şunlardır;

Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,

Kişisel verilerin hangi amaçla işleneceği,

Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

Yabancı ülkelere aktarımı öngörülen kişisel veriler,

Kanunun 12. maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,

Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

 

  • Yönetmelik Taslağı’nın 5. maddesinde veri sorumluları; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirilen Kişisel Veri İşleme Envanteri hazırlamakla yükümlü tutulmuştur. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanacaktır.
  • Taslak yurtdışındaki veri sorumluları için Veri Sorumlusu Temsilcisini düzenlemektedir. Temsilcinin yetkisi kurul ve kurumla yazışmalar, sorumluya yapılacak başvuruların iletilmesi ve cevaplarının verilmesi, VERBİS’e ilişkin işlemleri yapmayla sınırlı olacak. Temsilci veri sorumlusunun yetkili organları tarafından atanacak ve belge de kuruma sunulacak.
  • Yönetmelik Taslağı’nın 11. maddesinin son fıkrasında ise, Türkiye’de yerleşik olan tüzel kişilere, Sicile kayıt sırasında bir irtibat kişisi bildirme zorunluluğu getirilmiştir. İrtibat kişisi, sadece iletişim noktası olarak ilgili kişilerin veri sorumlusuna yönelteceği taleplerin hızlı ve etkin olarak cevaplandırılmasını sağlamakla yükümlü olup, veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili olmayacaktır.
  • Yönetmelik taslağında düzenlenen hükümlere göre, Sicile kayıt yükümlülüğü bulunmasına rağmen bu yükümlülüğünü yerine getirmeyen veri sorumluları hakkında 20.000 TL – 1.000.000 TL arasında idari para cezası uygulanması öngörülmüştür.

Posted by Yaprak Sürmeli

Özyeğin Üniversitesi Hukuk Fakültesinden mezun olan Yaprak SÜRMELİ aynı zaman da 'melek' girişimcidir. Bu alanda bir çok eğitim ve sertifika programına katılmış, Türkiye, Japonya, Amerika ve 25 Avrupa ülkesinde patentine sahip olduğu ,ulusal ve uluslararası bir çok başarı ve ödül kazanmış olan PEGGYMATİC adlı teknolojik ürün buluşuna sahiptir.

All Posts Website

Leave a reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir