KVK Kanunu kapsamında, Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı Mayıs başında; Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı ise Mayıs sonunda, Kişisel Verilerin Korunması Kurulu’nun resmi sitesinde duyuruldu.
Bildiğiniz üzere Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun’un geçici 1.maddesinin 4.fıkrasında ise, Kanun’un yayımından itibaren 1 yıl içerisinde Kanun’daki yönetmeliklerin yürürlüğe konulacağı belirtilmiştir.
Bu yönetmelikler:
- Kanun’un m. 7/3 hükmündeki; kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esasları belirleyen yönetmelik,
- Kanun’un m. 16/5 hükmündeki; Veri Sorumluları Siciline (“Sicil”) ilişkin usul ve esasları düzenleyen yönetmelik,
- Kanun’un m. 23/7 hükmündeki; Kişisel Verilerin Korunması Kurulu’nun (“Kurul”) çalışma usul ve esasları ile kararların yazımı ve diğer hususları düzenleyen yönetmelik,
- Kanun’un m.25/5 hükmündeki; Kişisel Verileri Koruma Kurumu’nun (“Kurum”) teklifi üzerine Bakanlar Kurulu kararıyla yürürlüğe konulacak, hizmet birimleri ile bu birimlerin çalışma usul ve esasları,Kanun’da belirtilen faaliyet alanı, görev ve yetkilerine ilişkin yönetmelik,
- Kanun’un m.30/7 hükmüyle değişik 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname’nin 47/6 hükmündeki; kişisel sağlık verilerinin işlenmesi, güvenliği ve ilgili diğer hususlara ilişkin olan yönetmelik (“Sağlık Verisi Yönetmeliği”) olmak üzere 5 yönetmelikten müteşekkildir.
Sağlık Verisi Yönetmeliği, 20 Ekim 2016’da yayımlanarak yürürlüğe girdi. Çoğunlukla iç işleyişe ilişkin olan Kurul’un çalışma usul ve esaslarını düzenleyen yönetmelik ile hizmet birimlerinin görev ve yetkilerine ilişkin yönetmelik çalışmaları Kurulca tamamlansa da henüz yayımlanmadı. Ayrıca, Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı Mayıs başında, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı ise Mayıs sonunda Kurul’un resmi sitesinde (www.kvkk.gov.tr) duyuruldu.
Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı
Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı’nda (“Sicil Yönetmeliği”) öncelikle tanımlar maddesi dikkat çekmekte olup irtibat kişisi, Kişisel Veri İşleme Envanteri (“Envanter”), Kişisel Veri Saklama Ve İmha Politikası (“Politika”), Veri Sicil Bilgi Sistemi (“VERBİS”) ve yurt dışında yerleşik veri sorumlularının atayacağı temsilci gibi kavramlar ilk kez tanımlanmıştır.
Sicile Kayıt Yükümlülüğü
Sicil Yönetmeliği uyarınca veri sorumluları, kişisel veri işlemeden önce Sicile kaydolmalıdır. Sicil Yönetmeliği’nin yürürlüğe girmesini müteakip, mevcut veri sorumluları Kurul’un belirleyeceği sürede kayıt yükümlülüklerini gerçekleştirecektir.
Veri Sorumlularının Sicile Kayıtta Sunması Gereken Bilgiler
- Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri,
- Kurul’un belirleyeceği başvuru formundaki bilgiler,
- Kişisel veri işleme amaçları, veri konusu kişi grupları ve veri kategorileri,
- Kişisel verilerin aktarılabileceği alıcı/alıcı grupları ile yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Veri güvenliğine ilişkin öngörülen ve Kurul’un belirlediği kriterlere göre alınan tedbirler,
- Kişisel verilerin işlendikleri amaç için gerekli azami süre.
Sicil Yönetmeliği uyarınca veri sorumluları, Sicile ilk kayıtta ve kayıtlı kaldığı sürece her yıl Sicil ücreti ödeyecektir. Sicil Yönetmeliği m.5’te ticaret sicilinin aleniliğine benzer şekilde Sicilin kamuya açık tutulacağı ve tüm veri sorumlularının Sicile kaydolacağı belirtilmiştir. Burada hususiyetle Türkiye’de yerleşik olmayan veri sorumlularının da Sicile kaydolma zorunluluğu bulunduğunun altı çizilmelidir. Böylece, Türkiye’de yerleşik olmayan veri sorumlularına da veri işleme olanağı verileceği, ancak bu kişileri Sicile kaydederek söz konusu kişilerin Kurul’un gözetiminde tutulacağı ve söz konusu veri sorumlularının da idari yaptırımlara maruz kalabileceği hususları netleştirilmiştir.
Sicile açıklanacak bilgiler; Envantere dayanılarak ve VERBİS’teki başlıklar kullanılarak VERBİS üzerinden Sicile iletilmelidir. Sicil Yönetmeliği’nde de belirtildiği üzere veri sorumluları şirketlerine özgü ve iş süreçlerine bağlı gerçekleştirdikleri kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek bir Envanter oluşturmalıdır. Öte yandan, Sicil Yönetmeliği m.9/5’te kişisel verilerin saklanması için gerekli azami süreleri belirlemek ve Envanterdeki bilgilerle uyumunu takip etmek üzere bir Politika hazırlanması gerektiği belirtilmiştir.
Sicil Yönetmeliği ile düzenlenen sorumluluk maddesinde ise tüzel kişilerde veri sorumlusunun tüzel kişiliğin kendisi olduğunu belirtilmiştir. Bununla birlikte tüzel kişiliğin temsile yetkili organının Kanun’daki yükümlülüklerin yerine getirilebilmesi için görevlendirme yapabileceği; ancak Kanun’dan doğan sorumluluklarda yetkili organın bir veya birden fazla üyesine ya da tüzel kişilik içinde veya dışında herhangi bir kişiye sorumlulukların devredilemeyeceği hükme bağlanmıştır. Türk Ticaret Kanunu’nun (TTK) m.375’te yönetim kurulu üyelerinin vazgeçilemez ve devredilemez görev ve yetkileri düzenlenmiştir. TTK m.367’de de anonim ortaklık esas sözleşmesine konulacak bir hüküm gereğince, yönetim yetkisinin “kısmen veya tamamen bir veya birkaç yönetim kurulu üyesine veya üçüncü kişiye devredilmesine” olanak tanınmıştır. Sicil Yönetmeliği’nin söz konusu maddesi ile adeta TTK m.375’e bir fıkra eklenmek istenmektedir. Oysa usulüne uygun şekilde yönetim yetkisinin yönetim kurulu üyelerinden birine veya bir üçüncü kişiye devrinde artık yetkinin devredildiği konuda diğer yönetim kurulu üyelerinin herhangi bir sorumluluğu söz konusu olamaz. Zira genel bir hukuki prensip olarak “sorumluluk”, “yetkinin” bir sonucudur.
TTK uyarınca yönetim kurulu üyelerinin üst gözetim görev ve yetkisi dikkate alındığında, sorumluluğun bu kapsamda devam ettiği bir gerçektir. Bu itibarla Sicil Yönetmeliği uyarınca yönetim kuruluna sorumluluğun kül hâlinde yüklenmesine ve şirketlerin iç yönergeleriyle belirleyeceği kişilere devredilmemesine dair bir düzenlemenin TTK ile bağdaşmadığı açıktır. Kaldı ki böyle bir düzenlemeyle, uygulamada ve yabancı yatırımcıların ülkemizde yapacakları yatırımlarda ciddi olumsuzluklar gündeme gelebilecektir.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı (“Silme, Yok Etme veya Anonim Hâle Getirme Yönetmeliği”) ise 15 maddeden müteşekkil olup her ne kadar hukuki bir metin ise de daha ziyade teknik konulara değinen ve bilgi teknolojileri temalı düzenlemelerden ibarettir.
Politika hazırlanırken; kişisel verilerin kayıt ortamları, kullanılan hukuki ve teknik terimlerin tanımları, kişisel verilerin saklanmasını ve imhasını gerektiren sebeplere ilişkin izahat, hukuka aykırı erişime ve işleme faaliyetlerine karşı alınan teknik ve idari tedbirler, saklama ve imha süreçlerinde yer alanların isimleri ve sorumlulukları, saklama ve imha süre tablosu ve periyodik imha sürelerine ilişkin bilgiler yer alacaktır.
Buradaki en önemli husus veri sorumlularına öngörülen periyodik imha yükümlülüğüdür.
maddede de, söz konusu Politikayı hazırlayanların ilk periyodik imha işleminde, henüz Politika hazırlamamış olanlarınsa Sicile kayıt yükümlülüğünün ortaya çıktığı tarihi takip eden otuz gün içerisinde kişisel verileri sileceği, yok edeceği veya anonim hale getireceği belirtilmiş olup periyodik imha sürelerinin faaliyet alanı ve sektörel özellikler gözetilerek Kurulca belirleneceği ancak bu sürelerin 90 günden fazla olamayacağı belirtilmiştir. Silmenin imkânsızlığı sorunsalı ise m. 8/3 hükmüyle giderilmiş ve bazı Avrupa ülkelerinde de rastlanan silinmiş sayılma müessesi düzenlenmiştir.
Görüldüğü üzere, her iki taslak yönetmelikte de veri sorumlularına yönetmeliklerin yürürlüğe girmesinden itibaren birtakım yükümlülükler getirilmektedir. Her ne kadar söz konusu metinler henüz taslak olsa da, şirketlerin söz konusu çalışmaların sonucunda ilgili yönetmeliklerce yapılması zorunlu Envanter ve Politika başta olmak üzere, ilgili mevzuata uyum kapsamında kişisel verilerin korunması hususunda bir an evvel çalışmaya başlamaları gerekmektedir.
Türkiye’de yerleşik olmayan veri sorumlularına da veri işleme olanağı verileceği, ancak Sicile kaydederek söz konusu kişilerin Kurul’un gözetiminde tutulacağı ve söz konusu veri sorumlularının da idari yaptırımlara maruz kalabileceği hususları netleştirilmiştir.
Sicil yönetmeliğindeki bazı kavramlar
Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı 5 Mayıs 2017 tarihinde Kişisel Verileri Koruma Kurulu tarafından internet sitesi üzerinden (kvkk.gov.tr) kamuoyunun bilgisine sunulmuştur.
- İrtibat kişisi
Türkiye’de yerleşik olan veri sorumluları ile yurt dışında yerleşik olan ve tüzel kişi veri sorumlusu temsilcisi atayan veri sorumluları Sicile kayıt ve diğer işlemler için bir irtibat kişisi atamakla yükümlüdür.
- VERBİS
Veri sorumlularının Sicile başvuru ve Sicille ilgili diğer işlemlerde kullanacakları ve internet üzerinden erişilebilen bilişim sistemine VERBİS denmektedir.
- Kişisel veri işleme envanteri
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirdikleri kişisel veri işleme faaliyetlerini, amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirilerek oluşturdukları ve detaylandırdıkları envanteri ifade etmektedir.
- Kişisel veri saklama ve imha politikası
Sicile kayıt yükümlülüğü olan veri sorumluları, kişisel veri işleme amaçlarının gerektirdiği azami veri işleme sürelerini belirlemek için dayanak olan bir politika düzenlemekle yükümlüdür.
- Temsilci
Yurt dışında yerleşik veri sorumlularının,Türkiye’de yerleşik olan bir tüzel kişiyi ya da Türk vatandaşı bir gerçek kişiyi temsilci olarak atamaları gerekmektedir.
Silme, yok etme veya anonim hale getirme yönetmeliğindeki bazı kavramlar
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı
- Silme
Silme, tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
- Silinmiş sayılma
Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise; Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi, Başka herhangi bir kurum, kuruluş ve/ veya kişinin erişimine kapalı olması, Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması kaydıyla kişisel veriler silinmiş sayılacaktır.
- Yok etme
Yok etme, bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesidir.
- Periyodik imha
Periyodik imha, Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
- Anonim hâle getirme
Anonim hâle getirme, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Av. Lerzan Nalbantoğlu/Deloitte Times