slider 735 slider 734 slider 733 slider 732 slider 730 slider 729 slider 727 slider 725
  2. Sirküler
  3. Kişisel Verilerin Korunması Kanunu Hakkında Açıklamalar

  Yazdır

Sirküler ( 2019 / 85 ) İstanbul, 26.08.2019

Sayın Müşterilerimiz,

 

Değerli Meslektaşlar,

 

Konu: Kişisel Verilerin Korunması Kanunu Hakkında Açıklamalar

 

Bilindiği üzere 07.04.2016 tarih ve 29677 sayılı Resmi Gazete’de “Kişisel Verilerin Korunması Kanunu” yayımlanarak yürürlüğe girmiştir. Anılan Kanun ile; kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

 

Kanuna ilişkin olarak hazırlanan yönetmelik ise 30.12.2017 tarih ve 30286 sayılı resmi gazetede yayımlanmıştır. Kanun ve Yönetmelikte yapılan düzenlemeler hakkında bazı açıklamalarımız aşağıya alınmıştır. Kanun kapsamındaki tüzel kişilerin ceza ile muhatap olmamaları açısından gerekli çalışmaları ve hazırlıkları yaparak ilgili birime kayıt olmaları gerekmektedir.

 

VERBİS

Veri Sorumluları Sicili, Veri Sorumluları Sicil Bilgi Sistemi'nde (VERBİS) tutulacaktır. VERBİS'e sadece internet üzerinden kayıt yapılabilir. Yazılı olarak kayıt yapılamaz. Tüm sicil işlemleri VERBİS üzerinden gerçekleştirilecektir.

 

Sicil'e Kimler Kayıt Olacak;

Veri sorumlusu olan gerçek veya tüzel kişiler Sicil'e kayıt olmak zorundadır. Ancak kişisel verileri işleme yetkisi kanunlarla verilen ve Kurum tarafından Sicil'e kayıttan muaf tutulanlar Sicil'e kayıt olmak zorunda değildir.

 

Yönetmeliğe göre Kişisel Verileri Koruma Kurulu

Kişisel verinin niteliği

Kişisel verinin sayısı

Kişisel verinin işlenme amacı

Kişisel verinin işlendiği faaliyet alanı

Kişisel verinin üçüncü kişilere aktarılma durumu

Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması

Kişisel verilerin muhafaza edilmesi süresi

Veri konusu kişi grubu veya veri kategorileri

 

kriterlerine göre Sicil'e kayıttan muaf tutulacak veri sorumlularını belirleyebilir. Kurul bu kriterlere göre belirlediği istisnaları uygun usulle kamuoyuna duyurur.

 

Sicil'e kayıt olmak zorunda olmayan ama Sicil'e kayıt olmak isteyen veri sorumluları için yönetmelik açık bir düzenleme yapmamakla birlikte yönetmeliğin geneline bakıldığında kayıt mümkün görülmektedir. Sicil'e kayıt olmak zorunda olmamakla birlikte kayıt olanların Sicil'e bildirdikleri bilgilerdeki kasıtlı bir yanlışlığın müeyyidesi olacaktır.

 

Kurul'un Sicil’e Kayıttan Muaf Tuttuğu İstisnalar;

Kurul'un farklı tarihlerde verdikleri kararlar bir araya getirildiğinde

 

1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.

2. 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.

3. 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden,

20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve

18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.

4. 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.

5. 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar.

6. 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.

7. 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri

8. Arabulucular

9. Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olan gerçek ve tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar

 

VERBİS'e kayıttan istisna tutulmuşlardır. Yani sicile kayıt olmaları gerekmemektedir.

 

Hangi Kişisel Veri İşlemeler Sicil'e Kayıt Olmak Zorunda;

İlke olarak tüm kişisel veri işleme faaliyetlerinin Sicil'e kayıt olması gerekir. Ancak kişisel veri işleme faaliyetleri

Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması

İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi

Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması

Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması

 

durumlarında Sicil'e kaydettirilmesi gerekmez.

 

Sicil'e kayıt olması gereken herhangi bir kişisel veri işleme faaliyeti bulunmayan ya da Kurulca istisna tutulan veri sorumlularının Sicil'e kayıt olması gerekmemektedir.

 

Sicil'e Ne Zaman Kayıt Olunması Gerekir;

Sicil'e kişisel veriler işlenmeye başlanmadan kayıt olunması esastır. Yeni kurulan bir kurum ya da kuruluş Sicil'e kayıttan muaf tutulmamışsa herhangi bir kişisel veri işlemi yapmadan önce Sicil'e kayıt olmalıdır. Sicil'e zaten kayıtlı olan ancak yeni bir iş süreci için kişisel veri işlemeye başlayacak olan veri sorumlusu da yeni durumu Sicil'e kaydettirmek zorundadır.

 

Yapılan faaliyet gereği ya da Kurul'un sonradan Sicil'e kayıt yükümlülüğü getirdiği veri sorumluları, Sicil'e kayıt yükümlüsü oldukları günü müteakip 30 gün içerisinde Sicil'e kaydolmak zorundadır.

 

Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her durumda otuz günü geçmemek üzere ek süre verebilir.

 

Sicil'e kayıt olmak için verilen 30 günlük süreden sonra yapılacak ek süre başvurularında fiili, teknik ya da hukuki imkansızlığın gerçekleştiği gün çok önemlidir. Ek süre verilebilmesi için imkansızlığın 30 günlük süre içerisinde ortaya çıkmış olması gerekir. Kurum'a başvurunun da sorunun ortaya çıktığı tarihten sonraki yedi gün içerisinde yapılması gerekir. Sorunun devam ettiği sürenin 30 günlük süreye eklenmesi yani Kurum tarafından en az o kadar gün süre verilmesi gerekir. Kurum'un vereceği ek süre 30 günlük normal sürenin bitiminde başlar. Yani her durumda Sicil'e kayıt yükümlülüğünün 60 gün içinde yerine getirilmesi gerekir.

 

Sorunun Kurum'un verebileceği en uzun süre olan 30 gün içerisinde giderilememesi ve veri sorumlusunun bu durumun oluşmasında ya da sürmesinde kusurunun bulunmaması durumunda Kurum'un veri sorumlusuna idari para cezası vermesi mümkün değildir.

 

Sicil kayıt belirlenen veri sorumluları için 1.10.2018 tarihinde başlayacaktır. Kanun'un geçici maddesinde tarihin ve sürenin Kurum tarafından belirleneceği ve ilan edileceği yazmaktadır. Kurum internet sitesinden kayıtların başlama tarihi ve süresi ilan edildi. Kayıtlar ilan edilen tarihten sonra ve belirlenen süre içerisinde yapılmalıdır.

 

Veri sorumlularının niteliğine göre sicile kayıt başlangıç ve bitiş tarihleri:

 

Veri Sorumlusu

Başlangıç Tarihi

Bitiş Tarihi

Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den fazla olan veri sorumluları

1.10.2018

30.9.2019

Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları

1.10.2018

30.9.2019

Yıllık çalışan sayısı 50'den ve yıllık mali bilanço toplamı 25 milyon TL'den düşük olan ancak ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları

1.1.2019

31.3.2020

Kamu kurum ve kuruluşları

1.4.2019

30.6.2019

 

Kayıt Olmamanın Cezası Var Mı?

Sicil'e kayıt olmak zorunda olan veri sorumlusunun kayıt olmaması durumunda ya da kaydın yönetmelikte belirlenen şartları sağlamaması durumunda yirmi bin (20.000) TL'den bir milyon (1.000.000) TL'ye kadar idari para cezası verilir.

 

Bu durumlar arasında Sicile kaydın zamanında yapılmaması, kişisel veri işleme faaliyetlerinin eksik ya da yanlış bildirilmesi, olan değişikliklerin zamanında bildirilmemesi gibi durumlar sayılabilir.

 

Kurul idari para cezasının miktarını aykırılığın önemine, veri sorumlusunun özelliklerine göre objektif olarak belirler.

 

Nasıl Kayıt Olunacak?

Türkiye'de yerleşik olan veri sorumluları doğrudan, Türkiye'de yerleşik olmayan veri sorumluları ise yetkilendirecekleri temsilcisi vasıtasıyla Sicil'e kayıt olur.

 

Türkiye'de yerleşik olan veri sorumluları ilgili mevzuatlarına uygun şekilde tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirecekler. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca ilgili organın sorumluluğunu ortadan kaldırmaz.

 

Türkiye'de yerleşik olmayan veri sorumluları ise yetkili organı veya kişisi tarafından alınacak kararla temsilci atarlar. Atama kararında

  • Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme
  • Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme
  • Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme
  • Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme
  • Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma

 

Hususlarının bulunması gerekir. Atama kararının tasdikli örneği kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kurum'a sunulmalıdır.

 

İrtibat Kişisi Kimdir?

İrtibat kişisi Kanun'da tanımlanmamıştır. Yönetmelikte tanımların yapıldığı 4'ncü maddede

 

“Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi olarak tanımlanırken irtibat kişisinin yükümlülüklerinin düzenlendiği 11'nci maddenin 4'üncü fıkrasında

Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar.”

 

Düzenlemesi yapılmıştır.

 

Tanım ile düzenleme arasında bir aykırılığın bulunması durumunda tanımı da kapsayan ama daha özel olan Madde 11/4'ün uygulanması gerekir.

 

Buna göre sadece Türkiye'de yerleşik olan veri sorumluları irtibat kişisi bildirmek zorundadır. Ancak Verbis ile ilgili yapılan sunumda Türkiye'de yerleşik olmayan kişilerin temsilcilerinin de irtibat kişisi bildirmesi gerekiyor.

 

İrtibat kişisi gerçek bir kişidir. Veri sorumlusu bünyesinde bir bölüm ya da e-posta adresi, telefon numarası olamaz.

 

İrtibat kişisi ve veri sorumlusu ilişkisi bire bir şeklindedir. Yani her veri sorumlusu bir irtibat kişisi bildirebilir ve her irtibat kişisi sadece bir veri sorumlusunun irtibat kişisi olabilir. Örneğin bir şirketler grubunun her şirketi farklı bir irtibat kişisi bildirmek zorundadır.

 

İlgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlayacaktır. İrtibat kişisinin değişmesi durumunda Sicil'deki bilgilerde değişiklik yapılması gerekeceğinden yedi gün içinde Sicil'deki bilgilerin güncellenmesi gerekir. İrtibat kişisi bilgisinin yanlış olması durumunda da idari para cezası uygulanır.

 

İrtibat kişisi Avrupa Birliği mevzuatındaki Kişisel Verileri Koruma Görevlisi (Data Protection Officer) değildir. İrtibat kişisinin Avrupa Birliği mevzuatındaki sorumluluk ve yükümlülükleri gibi sorumluluk ve yükümlülükleri yoktur. Hatta Kurul açısından irtibat kişisi muhatap olmadığından irtibat kişisinin sorumlu tutulduğu iletişimi sağlama görevinin yerine getirilmemesinden dolayı da veri sorumlusunu cezalandırılamaz.

 

Sicil'e Hangi Bilgiler Bildirilecek?

Sicil'e kayıt olunurken ya da sonraki değişikliklerde

Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler

Kişisel verilerin hangi amaçla işleneceği

Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar

Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları

Yabancı ülkelere aktarımı öngörülen kişisel veriler

Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi

bilgilerinin Sicil'e bildirilmesi gerekir. Her ne kadar yönetmelikte bildirilecek bilgiler arasında sayılmasa da Kayıtlı Elektronik Posta (KEP) adresinin de bildirilmesi gerekir. Çünkü kamuyla paylaşılacak sicil bilgileri arasında KEP de sayılmaktadır.

 

Bildirilecek bilgilerden kişisel verilerin işlenme amaçları, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları ve yabancı ülkelere aktarımı öngörülen kişisel veriler bilgileri Kişisel Verileri İşleme Envanteri'ne dayalı olarak hazırlanmalıdır.

 

Veri sorumlusunun

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek

Kişisel verilere hukuka aykırı olarak erişilmesini önlemek

Kişisel verilerin muhafazasını sağlamak

 

amacıyla uygun güvenlik düzeyini temin etmeye yönelik ve Kurul tarafından belirlenen kriterlere göre aldığı gerekli her türlü teknik ve idari tedbirler de Sicil'e bildirilir.

 

Veri Sorumlusunun Durumunda Değişiklik Olursa Ne Yapılacak?

Veri sorumlusunun kişisel verileri işleme faaliyetlerinde değişiklik olacaksa ya da bildirilen bilgilerin güncellenmesi gerekiyorsa güncelleme yedi gün içinde yapılmalıdır.

Kişisel veri işlemeye başlamadan önce Sicil'e kayıt gerektiğinden kişisel veri işleme faaliyetlerindeki değişiklikler hayata geçmeden Sicil değişikliğinin yapılması gerekir.

Yedi günlük süre mevcut olan bilgilerdeki değişiklikler için geçerlidir. Örneğin veri sorumlusunun adresinin değişmesi, irtibat kişisinin değişmesi, veri sorumlusunun faaliyetine son vermesi, alınan güvenlik tedbirleri gibi.

 

Sicil’den Silinme Nasıl Olacak?

Veri sorumlusunun Sicil’e kayıt olmasını gerektiren şartlar ortadan kalkarsa (kişisel veri işleme faaliyetinin sona ermesi, Kurul tarafında muafiyet tanınması, mevzuat sonrası muaf tutulması gibi), veri sorumlusu sicilin silinmesi için Kurum'a başvurabilir.

 

Başvuru kabul edilirse kayıtlar üzerinde değişiklik yapabilme hakkı olmayan farklı bir yapıya geçirilerek Sicil'den silinir.

 

Silinen kayıtların kamuya açık olup olmadığı ile ilgili bir düzenleme yönetmelikte yapılmamakla birlikte ilgili kişilerin haklarını kullanabilmeleri için kamuya açık olması gerekir.

 

Veri Sorumlusu İle İletişim Nasıl Olacak?

Türkiye’de yerleşik tüzel ve gerçek kişiler için, Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden, Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi üzerinden gerçekleştirilir.

 

Sicile Kayıt Ücretli Mi?

Sicil’e kayıt ücretsiz olup, bir defalık ya da yıllık ücret adı altında herhangi bir ödeme yapılmamaktadır.

 

Bahse konu Yönetmelik metnine aşağıda yer verilmiştir.

 

Saygılarımızla.

 

ULUSAL BAĞIMSIZ DENETİM VE

YEMİNLİ MALİ MÜŞAVİRLİK A.Ş.

 

Registered Firm of US PCAOB “Public Company Accounting Oversight Board”

Member of Russell Bedford International – a global network of independent professional services firms

 

 

30 Aralık 2017 CUMARTESİ

Resmî Gazete

Sayı : 30286

 

VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK

 

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

Amaç

MADDE 1 – (1) Bu Yönetmeliğin amacı, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamaktır.

Kapsam

MADDE 2 – (1) Bu Yönetmelik, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişileri kapsar.

Dayanak

MADDE 3 – (1) Bu Yönetmelik, 6698 sayılı Kanunun 16 ncı maddesinin beşinci fıkrası ile 22 nci maddesinin birinci fıkrasının (d) ve (e) bentlerine dayanılarak hazırlanmıştır.

Tanımlar

MADDE 4 – (1) Bu Yönetmelikte geçen;

a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

b) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,

c) Başkanlık: Kişisel Verileri Koruma Kurumu Başkanlığını,

ç) İrtibat kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişiyi,

d) Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu,

e) Kayıt: Kayıt yükümlülüğü altında bulunan veri sorumlularının Yönetmelik ile belirlenen usul ve esaslara uygun olarak yaptığı bildirimi,

f) Kayıt yükümlülüğü: Yönetmelik uyarınca gerçekleştirilmesi gereken kayıt ile ilgili yükümlülüğü,

g) Kayıtlı elektronik posta (KEP) adresi: Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şeklini,

ğ) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

h) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

ı) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,

i) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

j) Kurul: Kişisel Verileri Koruma Kurulunu,

k) Kurum: Kurul ve Başkanlıktan oluşan Kişisel Verileri Koruma Kurumunu,

l) Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini,

m) Veri kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını,

n) Veri konusu kişi grubu: Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisini,

o) Veri sorumluları sicil bilgi sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini,

ö) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

p) Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını bu Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi,

ifade eder.

(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar uygulanır.

İKİNCİ BÖLÜM

Sicilin Oluşturulması, İdaresi, Gözetimi ve Sicile Erişim

İlke, usul ve esaslar

MADDE 5 – (1) Sicilin oluşturulması, idaresi ve gözetimi hususunda aşağıdaki ilke, usul ve esaslara uyulur:

a) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorundadır.

b) Türkiye’de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır.

c) Sicil kamuya açık biçimde tutulur. Kurul, kamuya açıklık ilkesinin sağlanması şartıyla, bu ilkenin kapsamı ve istisnalarını belirleme yetkisini haizdir.

ç) Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.

d) Kanunun 10 uncu maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.

e) Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz.

f) Kanunun 28 inci maddesinde belirtilen durumlar saklı kalmak kaydıyla Yönetmeliğin 16 ncı maddesinde belirtilen objektif kriterlere dayalı olarak belirli şartları taşıyan veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmaz.

g) Sicile ilişkin işlemler, veri sorumluları tarafından VERBİS üzerinden gerçekleştirilir.

ğ) Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel verilerin işlendikleri amaç için gerekli olan azami süre; Kanunun 7 nci maddesinde belirtilen veri sorumlularının silme, yok etme veya anonim hale getirme yükümlülüklerinin yerine getirilmesinde esas alınır.

Sicilin oluşturulması, idaresi ve gözetimi

MADDE 6 – (1) Sicil, Başkanlık tarafından oluşturulur. Başkanlık, Sicilin oluşturulması, idaresi, güncel biçimde tutulması ve muhafaza edilmesi amacıyla; VERBİS’in kurulması ve işletilmesi için gerekli teknik ve idari tedbirleri alır.

(2) Sicilin oluşturulmasından ve idaresinden sorumlu hizmet birimi, Veri Yönetimi Dairesi Başkanlığıdır.

(3) Sicilin gözetimi Kurul tarafından gerçekleştirilir. Veri Yönetimi Dairesi Başkanlığı tarafından üç aylık dönemler halinde hazırlanan ve kapsamı Kurul tarafından belirlenecek olan faaliyet raporu Kurula sunulur.

Sicile erişim

MADDE 7 – (1) Başkanlık, Sicilde yer alan güncel bilgileri Kurul kararları uyarınca belirlenecek uygun yöntemlerle kamuya açıklar.

(2) Veri sorumluları sicilinde yer alan bilgilerden aşağıdakiler kamuya açıklanır:

a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisinin adı, adresi ve alınmış olması halinde KEP adresi,

b) Kişisel verilerin hangi amaçlarla işlenebileceği,

c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,

ç) Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,

d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,

e) Sicile kayıt tarihi ile kaydın sona erdiği tarih,

f) Kişisel veri güvenliğine ilişkin alınan tedbirler,

g) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

ÜÇÜNCÜ BÖLÜM

Kayıt Yükümlülüğünün Başlangıcı, VERBİS’e Girilecek Bilgiler, Kayıt Başvurusu,

Kaydın Yenilenmesi ve Silinmesi

Kayıt yükümlülüğünün başlangıcı

MADDE 8 – (1) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır.

(2) Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolurlar.

(3) Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilir.

Kayıt yükümlülüğü kapsamında iletilecek bilgiler

MADDE 9 – (1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:

a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,

b) Kişisel verilerin hangi amaçla işleneceği,

c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,

e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,

f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.

(2) Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.

(3) Veri sorumluları tarafından birinci fıkranın (e) bendi uyarınca Sicile açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları kapsayacak şekilde VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.

(4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;

a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,

b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,

c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,

ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,

d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,

e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,

f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,

dikkate alınır.

(5) Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.

(6) VERBİS içerisinde belirtilen başlıkların ve içeriklerinin, veri sorumlusunun gerçekleştirdiği faaliyetleri ve Sicile iletmesi gereken bilgileri tam olarak kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS içerisinde bu amaca ilişkin ayrılan “Diğer” başlıklı bölümlere girerek Sicile bildirimini tamamlar.

Kayıt başvurusu

MADDE 10 – (1) Veri sorumluları, 9 uncu maddede belirtilen bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır. 

(2) Kurum tarafından 8 inci maddenin üçüncü fıkrasında belirtildiği üzere kendilerine ek süre verilmiş olan veri sorumluları, bu süre tamamlanmadan kayıt başvurusunu tamamlamak zorundadır.

Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri

MADDE 11 – (1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz.

(2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur.   

(3) Veri sorumlusu temsilcisi atama kararı, asgari olarak aşağıda belirtilen hususları kapsayacak şekilde düzenlenir:

a) Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme,

b) Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme,

c) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,

ç) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme,

d) Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma.

(4) Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar.

(5) Kamu kurum ve kuruluşlarında irtibat kişisi, üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.

İletişimin sağlanması

MADDE 12 – (1) Kanunun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla kurulacak her türlü iletişim;

a) Türkiye’de yerleşik tüzel kişiler için, Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden ilgili tüzel kişi,

b) Türkiye’de yerleşik gerçek kişiler için, Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden ilgili gerçek kişi,

c) Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi,

vasıtasıyla gerçekleştirilir.

Kayıt bilgilerinde değişiklikler

MADDE 13 – (1) Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kuruma bildirir.

Sicil kaydının silinmesi

MADDE 14 – (1) Veri sorumlusu, sicil kaydının silinmesine ilişkin olarak VERBİS üzerinden Kuruma başvurur.

(2) Kayıt yükümlüğünü gerektiren faaliyet sona erer ya da ortadan kalkarsa, sicil kaydı silinir. Bu kayıtlar, istendiğinde erişilebilir olmakla birlikte üzerinde herhangi bir değişiklik yapılamayacak şekilde tutulur.

(3) Sicil kaydının silinmesi veri sorumlusunun Sicile kayıtlı olduğu dönemdeki yükümlülüklerini ortadan kaldırmaz.

DÖRDÜNCÜ BÖLÜM

Kayıt Yükümlülüğünün İstisnaları

İstisna uygulanacak haller

MADDE 15 – (1) Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur:

a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

İstisna kriterleri

MADDE 16 – (1) Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne istisna getirebilir:

a) Kişisel verinin niteliği.

b) Kişisel verinin sayısı.

c) Kişisel verinin işlenme amacı.

ç) Kişisel verinin işlendiği faaliyet alanı.

d) Kişisel verinin üçüncü kişilere aktarılma durumu.

e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.

f) Kişisel verilerin muhafaza edilmesi süresi.

g) Veri konusu kişi grubu veya veri kategorileri.

(2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak kamuya duyurur.

BEŞİNCİ BÖLÜM

Çeşitli ve Son Hükümler

İdari yaptırım

MADDE 17 – (1) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde yer alan idari para cezası uygulanır.

(2) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi eyleminin, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Tereddütlerin giderilmesi

MADDE 18 – (1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.

Yürürlük

MADDE 19 – (1) Bu Yönetmelik 1/1/2018 tarihinde yürürlüğe girer.

Yürütme

MADDE 20 – (1) Bu Yönetmelik hükümlerini Başkan yürütür.