KİŞİSEL
VERİLERİN KORUNMASI
Kişisel Verilerin
Korunması Kanunu son zamanlarda sıkça gündeme gelmekte ve belirli firmalar bu
Kanun uyarınca bazı yükümlülükleri yerine getirmek zorundalar. Bu
yükümlülüklerden en önemliside veri sorumluları siciline kayıt yapılması.
Önce Veri sorumluları sicili
nedir ona bakalım
Veri sorumluları sicili, veri sorumlularının kayıt olmak zorunda oldukları ve
veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt
sistemidir. Veri sorumlusu ise, kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.
Veri sorumluları siciline
kayıttan kimler istisna tutulmuştur
Kişisel Verileri Koruma Kurulu muhtelif tarihli kararları ile bazı
kişileri veri siciline kayıttın istisna tutmuştur. Buna göre;
- Herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan
yollarla kişisel veri işleyenlerin;
- Noterlerin;
- Dernek,
vakıf ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun,
faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına
ve bağışçılarına yönelik kişisel veri işleyenlerin;
- Siyasi
partilerin;
- Avukatların;
- Serbest
muhasebeci mali müşavirlerin;
- Yeminli
mali müşavirlerin;
- 4458
sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve
yetkilendirilmiş gümrük müşavirlerinin;
- Arabulucuların,
- Yıllık
çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den
az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu
özel nitelikli kişisel veri işleme olmayanların
Veri Sorumluları Siciline kayıt yükümlülüğünden istisna
tutulduğu açıklamıştır.
Veri sorumluları siciline
kayıt yükümlülüğü süresi ne zaman başlamaktadır?
Yukarıda saydığımız istisnaların dışında kalan veri sorumluları için
kayıt süreleri belirlenmiştir. Buna göre 30 Eylül 2019 tarihi birçok firmayı
yakından ilgilendiriyor. Sicile kayıt için belirlenen süreler aşağıdaki gibi
olacak:
Buna göre, yıllık çalışan sayısı 50’den çok veya yıllık mali
bilanço toplamı 25 milyon TL’den çok olan veri sorumlularının ve yurtdışında
yerleşik veri sorumlularının 2019 Eylül ayı sonuna kadar sicil kayıtlarını
yapmaları gerekiyor.
Ayrıca, veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde
meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren
yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.
Sicile yapılan kayıt
başvurusu hangi bilgileri içermelidir?
a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine
ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru
formunda yer alan bilgiler,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri
hakkındaki açıklamalar,
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
e) Kişisel Verilerin Korunması Kanunu’nun 12 nci maddesinde öngörülen ve Kurul
tarafından belirlenen kriterlere göre alınan tedbirler,
f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli
olan azami muhafaza edilme süresi.
Kişisel verilerin
mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza
edilme süresi nasıl belirlenir?
Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme
süresi belirlenirken;
a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun
faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan
ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun
elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak
geçerli olacağı süre,
ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının
yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde
güncel tutulmasına elverişli olup olmadığı,
e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer
alan kişisel verileri saklamak zorunda olduğu süre,
f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye
bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,dikkate
alınır.
Veri sorumlusuyla
iletişim nasıl sağlanacaktır?
Kişisel Verilerin Korunması Kanunu’nun uygulanmasıyla ilgili olarak Kurum
tarafından veri sorumlusuyla kurulacak her türlü iletişim;
a) Türkiye’de yerleşik tüzel kişiler için, Sicile bildirilen kimlik, adres veya
KEP adresi bilgileri üzerinden ilgili tüzel kişi,
b) Türkiye’de yerleşik gerçek kişiler için, Sicile bildirilen kimlik, adres
veya KEP adresi bilgileri üzerinden ilgili gerçek kişi,
c) Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri
sorumlusu temsilcisi,
vasıtasıyla gerçekleştirilir.
Veri sorumluları
siciline kayıt olma yükümlülüğünü yerine getirmemenin yaptırımı nedir?
Kanun uyarınca, belirtilen süreler içerisinde Veri Sorumluları Siciline
kayıt olması gerektiği halde bu yükümlülüğünü yerine getirmeyen veri
sorumlularına 20.000-1.000.000 TL arasında idari para cezası uygulanacaktır.
MEHMET ALİ MIZIRAK
SMMM-BAĞIMSIZ DENETÇİ
[email protected]