10 Soruda Veri Sorumluları Siciline Kayıt
2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu son yıllarda sıkça gündeme gelmekte. Nitekim firmalar bu Kanun uyarınca bazı yükümlülükleri yerine getirmek zorundalar. Bu yükümlülüklerden birisi de veri sorumluları siciline kayıt yapılması. Bugünkü yazımızda bu yükümlülük ile ilgili 10 soruya cevap vereceğiz.
1. Veri sorumluları sicili nedir?
Veri sorumluları sicili, veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlusu ise, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.
2. Veri sorumluları siciline kayıttan kimler istisna tutulmuştur?
Kişisel Verileri Koruma Kurulu muhtelif tarihli kararları ile bazı kişileri veri siciline kayıttın istisna tutmuştur. Buna göre;
3. Veri sorumluları siciline kayıt yükümlülüğü süresi ne zaman başlamaktadır?
Yukarıda saydığımız istisnaların dışında kalan veri sorumluları için kayıt süreleri belirlenmiştir. Buna göre 30 Eylül 2019 tarihi birçok firmayı yakından ilgilendiriyor. Sicile kayıt için belirlenen süreler aşağıdaki gibi olacak:
2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu son yıllarda sıkça gündeme gelmekte. Nitekim firmalar bu Kanun uyarınca bazı yükümlülükleri yerine getirmek zorundalar. Bu yükümlülüklerden birisi de veri sorumluları siciline kayıt yapılması. Bugünkü yazımızda bu yükümlülük ile ilgili 10 soruya cevap vereceğiz.
1. Veri sorumluları sicili nedir?
Veri sorumluları sicili, veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlusu ise, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.
2. Veri sorumluları siciline kayıttan kimler istisna tutulmuştur?
Kişisel Verileri Koruma Kurulu muhtelif tarihli kararları ile bazı kişileri veri siciline kayıttın istisna tutmuştur. Buna göre;
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenlerin;
- Noterlerin;
- Dernek, vakıf ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenlerin;
- Siyasi partilerin;
- Avukatların;
- Serbest muhasebeci mali müşavirlerin;
- Yeminli mali müşavirlerin;
- 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin;
- Arabulucuların,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların
3. Veri sorumluları siciline kayıt yükümlülüğü süresi ne zaman başlamaktadır?
Yukarıda saydığımız istisnaların dışında kalan veri sorumluları için kayıt süreleri belirlenmiştir. Buna göre 30 Eylül 2019 tarihi birçok firmayı yakından ilgilendiriyor. Sicile kayıt için belirlenen süreler aşağıdaki gibi olacak:
Buna göre, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumlularının ve yurtdışında yerleşik veri sorumlularının 2019 Eylül ayı sonuna kadar sicil kayıtlarını yapmaları gerekiyor.
Ayrıca, veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.
4. Kişisel veri hazırlama envanteri nedir?
Veri sorumlularının sicile kayıt için dikkat etmeleri ve hazırlamaları gereken en önemli belge kişisel veri hazırlama envanteridir. Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.
Kişisel veri işleme envanteri ise; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade etmektedir.
5. Veri siciline kayıtta irtibat kişisi kim olacaktır?
Veri sorumluları veri sicili işlemleri için bir irtibat kişisi atamalıdır. İrtibat kişisi ise, Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve Yönetmelikte belirtilen yükümlülükleriyle ilgili olarak, Kişisel Verileri Koruma Kurumu ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi ifade etmektedir.
Türkiye’de yerleşik olan veri sorumluları ile Türkiye’de yerleşik olmayan veri sorumluları adına veri sorumlusu temsilcileri, Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir.
Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.
6. Veri saklama ve imha politikası nedir?
Veri sorumluları sicili uygulaması kapsamında dikkat edilmesi gereken bir diğer husus ise veri saklama ve imha politikası hazırlanmasıdır. Kişisel veri saklama ve imha politikası, veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı ifade etmektedir.
Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.
7. Sicile yapılan kayıt başvurusu hangi bilgileri içermelidir?
a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
e) Kişisel Verilerin Korunması Kanunu’nun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
8. Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi nasıl belirlenir?
Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;
a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,
dikkate alınır.
9. Veri sorumlusuyla iletişim nasıl sağlanacaktır?
Kişisel Verilerin Korunması Kanunu’nun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla kurulacak her türlü iletişim;
a) Türkiye’de yerleşik tüzel kişiler için, Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden ilgili tüzel kişi,
b) Türkiye’de yerleşik gerçek kişiler için, Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden ilgili gerçek kişi,
c) Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi,
vasıtasıyla gerçekleştirilir.
10. Veri sorumluları siciline kayıt olma yükümlülüğünü yerine getirmemenin yaptırımı nedir?
Kanun uyarınca, belirtilen süreler içerisinde Veri Sorumluları Siciline kayıt olması gerektiği halde bu yükümlülüğünü yerine getirmeyen veri sorumlularına 20.000-1.000.000 TL arasında idari para cezası uygulanacaktır.
Ayrıca, veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.
4. Kişisel veri hazırlama envanteri nedir?
Veri sorumlularının sicile kayıt için dikkat etmeleri ve hazırlamaları gereken en önemli belge kişisel veri hazırlama envanteridir. Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.
Kişisel veri işleme envanteri ise; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade etmektedir.
5. Veri siciline kayıtta irtibat kişisi kim olacaktır?
Veri sorumluları veri sicili işlemleri için bir irtibat kişisi atamalıdır. İrtibat kişisi ise, Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve Yönetmelikte belirtilen yükümlülükleriyle ilgili olarak, Kişisel Verileri Koruma Kurumu ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi ifade etmektedir.
Türkiye’de yerleşik olan veri sorumluları ile Türkiye’de yerleşik olmayan veri sorumluları adına veri sorumlusu temsilcileri, Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir.
Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.
6. Veri saklama ve imha politikası nedir?
Veri sorumluları sicili uygulaması kapsamında dikkat edilmesi gereken bir diğer husus ise veri saklama ve imha politikası hazırlanmasıdır. Kişisel veri saklama ve imha politikası, veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı ifade etmektedir.
Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.
7. Sicile yapılan kayıt başvurusu hangi bilgileri içermelidir?
a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
e) Kişisel Verilerin Korunması Kanunu’nun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
8. Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi nasıl belirlenir?
Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;
a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,
dikkate alınır.
9. Veri sorumlusuyla iletişim nasıl sağlanacaktır?
Kişisel Verilerin Korunması Kanunu’nun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla kurulacak her türlü iletişim;
a) Türkiye’de yerleşik tüzel kişiler için, Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden ilgili tüzel kişi,
b) Türkiye’de yerleşik gerçek kişiler için, Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden ilgili gerçek kişi,
c) Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi,
vasıtasıyla gerçekleştirilir.
10. Veri sorumluları siciline kayıt olma yükümlülüğünü yerine getirmemenin yaptırımı nedir?
Kanun uyarınca, belirtilen süreler içerisinde Veri Sorumluları Siciline kayıt olması gerektiği halde bu yükümlülüğünü yerine getirmeyen veri sorumlularına 20.000-1.000.000 TL arasında idari para cezası uygulanacaktır.