Kişisel verilerin korunması alanının takipçileri tarafından merakla beklenen ve ilk olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda öngörülmüş olan Veri Sorumluları Siciline ilişkin kapsamlı düzenlemelere yer veren Veri Sorumluları Sicili Hakkında Yönetmelik”  30 Aralık 2017 tarihinde 30286 sayılı Resmi Gazete’de yayınlandı. Yönetmeliğin yürürlüğe giriş tarihi ise 1 Ocak 2018 olarak belirlendi.

Öncelikle belirtmek gerekir ki Veri Sorumluları Sicili kavramı söz konusu Yönetmelikten önce 6698 sayılı Kanun’da zaten yer almaktaydı. Kanun’un 16. maddesine göre; Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.” Böylece Kanun maddesiyle hem Kişisel Verilerin Korunması Kurulu’na Veri Sorumluları Sicili tutulması, hem de kişisel verileri işleyen gerçek ve tüzel kişilere sicile kayıt olma bakımından yükümlülük getirilmiştir.

Kanun’un aynı maddesinin 2. fıkrasında bu zorunluluğa Kurul tarafından istisna getirilebileceğine ve 3. fıkrasında da Veri Sorumluları Siciline kayıt başvurusunun hangi hususları içermesi gerektiğine yer verilmiştir. Son olarak Kanun, aynı maddenin 5. fıkrasıyla Veri Sorumluları Siciline ilişkin diğer usul ve esasların yönetmelikle düzenleneceğini belirterek bugün inceleme konumuz olan Yönetmelik’in çıkarılacağına dair ipucu vermiştir.

Veri Sorumluları Sicili’ne kayıt yükümlülüğünün öneminin anlaşılması adına Kanun’da öngörülmüş olan yaptırımlara da değinmek gerekir. Kanun’un ‘Kabahatler’ başlıklı 18. maddesinde; Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verileceği düzenlenmiştir. Görüldüğü gibi bu miktar oldukça yüksek olup; bu konuda dikkatli olunması gerekmektedir.

Kanun’da konuyla ilgili son olarak Kurul’un görev ve yetkileri başlıklı 22. maddesinde Veri Sorumluları Sicilinin tutulmasını sağlamak Kurul’un; Başkanlığın oluşum ve görevleri başlıklı 25. maddesinde ise Veri Sorumluları Sicilini tutmak Başkanlığın görevleri arasında sayılmıştır.

Böylece 6698 sayılı Kanun ile Veri Sorumluları Sicilinin tutulması, sicile kayıt yükümlülüğü, sicile kayıt yükümlülüğüne aykırı hareket etmenin yaptırımı gibi hususlar yüzeysel olarak düzenlenmiş olmakla beraber bu konuya geniş ve kapsamlı bir biçimde yer verilmemiş; sicile ilişkin diğer usul ve esasların Yönetmelik ile belirleneceği öngörülmüştür.

Bahsedilen Yönetmelik yukarıda belirttiğim gibi 30 Aralık 2017 tarihinde yayınlanmış olup; aşağıda konuyla ilgili diğer çalışmalarımda da olduğu gibi başlıklar halinde yönetmelikle getirilen yeni düzenlemeler ve kavramlar ile yapılan değişiklikler ve dikkat edilmesi gereken hususları belirtip, değerlendirmede bulunacağım.

Amaç, Kapsam ve Dayanak

Yönetmeliğin amacı Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamaktır. Böylece sicilin nasıl oluşturulacağı, Başkanlık tarafından nasıl tutulacağı veya kayıt yükümlülüğü altında bulunanlar tarafından başvurunun nasıl yapılacağı gibi akıllara gelen birçok sorunun cevabının bu Yönetmelikte yer alması gerekir. Bununla beraber Yönetmelikte belirlenmemiş olan hususlarda 6698 sayılı Kanun’un esas alınması ve ona göre hareket edilmesi gerekir.

Yönetmeliğin kimleri ilgilendirdiğine gelince, elbette kişisel verilerin korunması alanında akademik çalışmalar yapan veya uyumluluk süreçleri yöneten birçok kişiyi ilgilendirmekle beraber esas olarak söz konusu sicile kayıt olma yükümlülüğü altında bulunan kişiler açısından önem arz etmektedir. Yönetmeliğin 2. maddesinde; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişilerin kapsam dahilinde olduğu belirtilerek veri sorumlularından bahsedilmiştir. Zira sicile kayıt olma yükümlülüğü veri sorumlularına aittir.

Yönetmeliğin oluşturulması ve yayınlanmasının dayanağını ise 6698 sayılı Kanun’un Veri Sorumluları Sicili ile ilgili maddeleri ve özellikle 16. maddesinin 5. fıkrası oluşturmaktadır.

Tanımlar

Yönetmeliğin ‘Tanımlar’ başlıklı 4. maddesinde kişisel verilerin korunması alanına ilişkin olarak getirilen yeni kavramlar veya daha önce karşılaşmış olmakla birlikte tanımına yer verilmeyen kavramların tanımlandığını görüyoruz. Buna göre;

İrtibat kişisi; “Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişiyi” tanımlamaktadır.

Bu tanımdan anlaşıldığı üzere veri sorumlusu, sicile kayıt başvurusu bildirimini yaparken Kanun ve Kanuna dayalı çıkarılacak ikincil düzenlemelerle belirlenmiş olan yükümlülükleriyle ilgili olarak Kurum ile iletişim kurmak üzere bir irtibat kişisi belirleyecektir. Buna Türkiye’de yerleşik bulunan tüzel kişilerin yanında Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcileri de dahildir.

Kayıtlı elektronik posta (KEP) adresi; “Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şeklini” ifade eder. Bu kavram da ilk kez bu Yönetmelikle karşımıza çıkmıştır. Sicilde yer alan bilgiler arasında bulunan KEP adresi, sonraki maddelerde detaylı olarak açıklayacağım üzere Kurul tarafından kamuya açıklanabilecek bilgilerden olup; Kurum tarafından veri sorumlusuyla iletişime geçilmesi amacıyla kullanılır.

Veri kategorisi; “Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfı” anlamına gelir. Veri kategorisi kavramı daha önce 6698 sayılı Kanun’un sicile kayıt başvurusunda bulunması gereken hususlar arasında ve kısaca İmha Yönetmeliği olarak adlandırdığımız Kişisel Verilerin Silinmesi, Yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te kişisel veri envanterinde bulunması gereken parametrelerden biri olarak karşımıza çıkmıştı ancak tanımına yer verilmemişti. Bu nedenle kavramın açıklığa kavuşturulması açısından yerinde bir yenilik olmakla beraber verinin hangi kategoride olduğunun önemine aşağıda ilgili maddeler çerçevesinde değineceğim.

Veri konusu kişi grubu; “Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisini” ifade etmektedir. Bu kavram da daha önce 6698 sayılı Kanun ve İmha Yönetmeliğinde karşımıza çıkmış ancak bu Yönetmelikle açıklığa kavuşturulmuştur.

Yönetmelikle ilk kez karşımıza çıkan kavramlardan biri de Veri sorumluları sicil bilgi sistemi (VERBİS)’dir. Buna göre; “Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemine” veri sorumluları sicil bilgi sistemi adı verilir. Bu noktada veri sorumlularının sicile Başkanlık tarafından oluşturulan bir bilişim sistemi aracılığıyla başvuruda bulunacağı öngörülmüştür. Veri sorumluları sicil bilgi sistemi olarak adlandırılan bu sistem başvurunun yanında veri sorumluları sicili hakkındaki diğer işlemlerde de kullanılacaktır. VERBİS Başkanlık tarafından oluşturulan ve yönetilen bir sistem olarak düzenlenmiştir.

Veri sorumlusu temsilcisi; “Türkiye’de yerleşik olmayan veri sorumlularını bu Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi” tanımlamaktadır. Veri sorumlusu temsilcisi de daha önce 6698 sayılı Kanun’da gördüğümüz ancak bu Yönetmelikle tanımlanan kavramlardan biridir. Veri sorumlusu temsilcisi 6698 sayılı Kanun’da veri sorumlusunun aydınlatma yükümlülüğü başlığıyla ilgili kişilere verilmesi gereken bilgiler arasında sayılmış ve sicile kayıt başvurusunda bulunması gereken bilgiler arasında düzenlenmiştir. Ayrıca Kurulun görev ve yetkileri arasında veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak sayılırken de veri sorumlusu temsilcisinden bahsedilmiştir.

Yönetmelikle beraber söz konusu kavram tanımlanmış ve Türkiye’de yerleşik olmayan tüzel kişiler veri sorumlularının ilgili maddelerde belirtilen yükümlülüklerini yerine getirmek üzere asgari temsil yetkisine sahip olarak atanacak kişinin veri sorumlusu temsilcisi olarak adlandırılacağı belirtilmiştir.

Sicilin Oluşturulması, İdaresi, Gözetimi ve Sicile Erişim

Yönetmeliğin ikinci bölümünde sicilin oluşturulması, idaresi, gözetimi ve sicile erişim ile bu hallerde uyulması gereken ilke, usul ve esaslar düzenlenmiştir.

Yönetmeliğin 5. maddesine göre sicilin oluşturulması, idaresi ve gözetimi hususunda;

- Veri sorumlularının, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorunda olduğu,

- Türkiye’de yerleşik olmayan veri sorumlularının, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorunda olduğu,

- Sicilin tutulmasında ‘kamuya açıklık’ ilkesinin esas olduğu ve Kurul’un bu ilkenin sağlanmasına engel oluşturmayacak biçimde ilkenin kapsam ve istisnalarını belirlemeye yetkili olduğu,

- Sicile kayıt başvurusunda Sicile açıklanacak bilgilerin kişisel veri envanterine dayalı olarak hazırlanması gerektiği,

- Kanun ile veri sorumlularına getirilen aydınlatma yükümlülüğü, ilgili kişilerin başvurularına cevap verilmesi ve ilgili kişiler tarafından verilecek açık rızanın kapsamının belirlenmesinde envantere dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgilerin esas alınması gerektiği,

- Veri sorumlularının Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumlu olduğu ve Sicile kayıt olmakla diğer yükümlülüklerin ortadan kalkmadığı,

- Yönetmeliğin aşağıda incelemede bulunacağım istisnaları belirten 16. maddesine dayalı olarak Kurul tarafından Sicile kayıtla yükümlü tutulmayan veri sorumluları için, Kanun kapsamındaki diğer yükümlülüklerin ortadan kalkmadığı,

- Sicile ilişkin işlemlerin, veri sorumluları tarafından VERBİS üzerinden gerçekleştirileceği,

- Kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin, veri sorumlularının kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüklerinin yerine getirilmesinde esas alınacağı

ilke, usul ve esasları belirtilmiştir. Böylece veri sorumlularının ve Türkiye’de yerleşik olmayan tüzel kişilerin de temsilci aracılığıyla Sicile kayıt olma zorunluluğunun Kanun’dan sonra tekrar altı çizilmiştir. Kamuya açıklık ilkesine aykırılık oluşturacak şekilde düzenleme yapılmasına izin verilmeyerek, Sicilin kamuya açık biçimde tutulmasının önemine değinilmiştir.

Sicile kayıt başvurusunda açıklanacak bilgilerin kişisel veri envanterine uyumlu olunması gerektiği ve veri sorumlularına getirilen diğer yükümlülüklerinin kapsamının belirlenmesinde bu bilgilerin esas alınacağı kişisel veri envanterinin önemini ortaya koymaktadır. Bu noktada Sicile kayıt ve Sicile ilişkin diğer işlemlerde sorun yaşamamak adına kişisel veri envanterinin doğru, kapsamlı ve veri sorumlularının kendilerine özgü yapıları dikkate alınarak çeşitli parametreleri içerecek biçimde oluşturulması gerekir. Aksi takdirde Kanun’a tam olarak uyumlu hale gelinmesinden bahsedilemeyeceği gibi envanterin doğru tutulamamasından dolayı ileriki aşamalarda birtakım problemlerle de karşılaşılabilecektir. Bu yüzden veri sorumlularının ve özellikle şirketlerin Kanun’a uyumluluk süreçlerinde dikkatli olması gerektiği hususunun altını önemle çiziyorum.

Veri sorumlularının Sicilde bulunan bilgilerden sorumlu olmasından anlaşılması gereken; veri sorumlularının kayıt başvurusunda doğru ve eksiksiz bilgi vermesi, ayrıca yeni bir durumun ortaya çıkması, var olan durumun değişmesi veya ortadan kalkması hallerinin bildirilmesi gerekliliğidir. Bu bildirimlerin de Sicil ile ilgili işlemlerin yürütülmesinde kullanılacak olan VERBİS sistemi üzerinden yapılacağı 5. maddeden anlaşılmakla birlikte; bu durum daha sonraki maddelerde açıkça belirtilmiştir

‘Yönetmeliğin sicilin oluşturulması, idaresi ve gözetimi’ başlıklı 6. maddesinde sicilin oluşturulması ve idaresi Başkanlığa; gözetimi ise Kurul’a bırakılmıştır. Buna göre; Başkanlık tarafından oluşturulacak Sicilin oluşturulması, idaresi, güncel biçimde tutulması ve muhafaza edilmesi amacıyla VERBİS’in kurulması ve işletilmesi için gerekli her türlü idari ve teknik tedbirleri alma yükümlülüğü Başkanlığa aittir. Sicilin oluşturulmasından ve idaresinden sorumlu hizmet birimi ise Veri Yönetimi Dairesi Başkanlığıdır. Buna göre Başkanlık tarafından kurulup işletilecek olan VERBİS’in amacı sicilin idaresini sağlayabilmektir. Bununla beraber Veri Yönetimi Daire Başkanlığı’nın sorumlu hizmet birimi olduğu belirtilmiştir. Söz konusu birimden daha önce bahsedilmese de, Kanun’un 25. maddesinde Başkanlığın, Kanun ile kendisine verilmiş görevleri daire başkanlıkları şeklinde teşkilatlanan hizmet birimleri aracılığıyla yerine getireceği ifade edilmişti. Bu yüzden yeniliklerin Kanun’a paralel olarak getirilmesi ve Kanun’da daha önce belirtilmiş olan hususların açıklığa kavuşturulmasının yanında Sicilin oluşturulması ve idaresinden hangi birimin sorumlu olduğunun Sicil Yönetmeliğinde belirlenmesini önemli ve yerinde buluyorum.

Sicilin oluşturulması ve idaresinden sonraki adım ise gözetimi olarak öngörülmüş ve bu gözetimin gerçekleştirilmesi yükümlülüğü Kurul’a yüklenmiştir. Gözetimin gerçekleştirilme usulü de aynı fıkrada açıklanmıştır. Buna göre kapsamı Kurul tarafından belirlenecek ve Veri Yönetimi Dairesi Başkanlığı tarafından üçer aylık dönemler halinde hazırlanacak olan faaliyet raporlarıyla gözetim yapılacaktır. Sicil gözetiminin yapılması sicilin güncel biçimde tutulması ve muhafaza edilmesi açısından önemlidir. Zira Sicil doğru bir biçimde oluşturulup idare edilse dahi oluşturulduğu şekilde devam etmesi mümkün değildir. Mevcut durumun sürekli olarak değişmesi söz konusudur ve bu sebeple de Sicilin güncel bir biçimde tutulması için belirli periyodlar halinde gözden geçirilmesi gerekir. Örneğin Sicile kayıt başvurusunda belirtilmesi gereken hususlardan olan; kişisel veri envanterindeki veri kategorilerinde yenilikler olması veya kişisel verilerin aktarılabileceği alıcı gruplarına yenisinin eklenmesi gibi değişikliklerin, Sicilde güncel olarak bulunması adına gözetimin doğru ve düzenli bir biçimde gerçekleştirilmesi önem arz eder.

Yönetmeliğin 7. maddesinin “kamuya açıklık” ilkesinin bir uzantısı olarak düzenlendiğini söylemek mümkündür. Maddeyle Başkanlık tarafından, Sicilde yer alan güncel bilgilerin Kurul kararları ile belirlenecek olan yöntemle kamuya açıklanacağı belirtildikten sonra hangi bilgilerin açıklanacağı tek tek sayılmıştır. Kamuya açıklanacak olan bilgilere baktığımızda Kanun’un 16. maddesinde sayılan Sicile kayıt başvurusunda bulunması gereken hususlarla büyük ölçüde benzerlik olduğunu görüyoruz. Yönetmelikte bunlara ek olarak KEP adresi ve sicile kayıt tarihi ile kaydın sona erdiği tarihin de açıklanacağı hüküm altına alınmıştır.

Kamuya açıklık ilkesi, kamu görevlileri tarafından aksi kanunlarda öngörülmedikçe görevlerin gizli yapılmaması, görevlerin yerine getirilirken şeffaf ve aleni olunması anlamına gelir. KVKK’nın ve Kişisel Verileri Koruma Hukukunun temel ilkesi, kayıt altına alınan, işlenen ve aktarılan kişisel verilerin üzerinde, bu verilerin gerçek sahibi olan gerçek kişinin hakimiyetinin olması, bu verilerin geleceğini belirleme hakkının bu kişide olmasıdır. Ancak bunun olabilmesi için öncelikle söz konusu verilerin kim tarafından kaydedildiğinin, işlendiğinin ve aktarıldığının belirlenmesi gerekir. Ülkemizde henüz bu anlamda bir kurumsal kültür bulunmadığı için söz konusu Sicilin bu bilgilerle oluşturulması ve bunun kamuya açık olması ilkesi benimsenmiştir. Oysa söz konusu sicil bu mevzuatın örnek alındığı AB tüzüğü GDPR tarafından 2106 yılında bir zorunluluk olmaktan çıkarılmıştır. Ülkemiz henüz bu anlamda olgunlaşmadığından Sicil tutulmasını ve Sicilin içerdiği bilgilerin kamuya açık halde bulundurulmasını yerinde ve olumlu bir düzenleme olarak değerlendiriyorum.

Kayıt Yükümlülüğünün Başlangıcı, VERBİS’e Girilecek Bilgiler, Kayıt Başvurusu,

Kaydın Yenilenmesi ve Silinmesi

Yönetmeliğin ‘Kayıt yükümlülüğünün başlangıcı’ başlıklı 8. maddesinde veri sorumlularının sicile kayıt yükümlülüklerini yerine getirmek için hangi sürelerle bağlı oldukları düzenlenmiştir. Buna göre ilk olarak kayıt yükümlülüğü altında bulunan veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır. Kayıt yükümlülüğü altında bulunmayıp, daha sonra kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerinden itibaren otuz gün içerisinde Sicile kaydolmalıdır. Bu aşamada kayıt başlangıcı için esas alınan zaman kişisel verilerin işlenme anıdır.

Maddenin 3. fıkrasında herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüğünü yerine getirmeyen veri sorumlularının ne yapacağı açıklığa kavuşturulmuştur. Maddeye göre bu hallerde veri sorumluları söz konusu imkansızlığın ortaya çıktığı tarihten itibaren en geç yedi iş günü içerisinde Kuruma yazılı olarak gerekçesini belirtmek şartıyla Kurumdan ek süre talep edebilir. Kurum da bir defayla sınırlı olmak üzere en fazla otuz gün ek süre verebilecektir. Bu noktada ek süre talep edebilecek olan veri sorumlularının başlangıçta olmayıp daha sonradan yükümlü hale gelenleri kapsayıp kapsamadığı açıkça belirtilmemiş olsa da ben her iki durumda da ek süre talep etme imkanından faydalanılabileceğini düşünüyorum.

Ancak süre konusundaki çekincemi belirtmeliyim. Ülkemizde hali hazırda kişisel veri tutan, işleyen ve aktaran binlerce veri sorumlusu bulunmaktadır. Bunlar için bir geçiş hükmünün düzenlenmemesi bana göre son derece sakıncalıdır. Zira her ne kadar 6698 sayılı Kanun ve ilgili Yönetmelikler usulüne uygun olarak ilan edilmiş ve yürürlüğe girmiş olsa da kamuoyu bu konuda yeterince aydınlatılmamıştır. Uygulamadan da bildiğim üzere çok sayıda veri sorumlusu, bırakınız bu konuda yükümlü olduğunu, veri sorumlusu olduğunu dahi bilmemektedir. Dolayısıyla bu konuda öncelikle bir kamuoyu bilincinin oluşturulması gerektiği kanaatindeyim. İkinci olarak Yönetmelik 1 Ocak 2018’de yürürlüğe girdiğine göre ve Yönetmelik otuz günlük bir süre öngördüğüne göre hali hazırda veri tutan ve işleyen veri sorumluları ile bu süreçte veri tutmaya ve işlemeye başlayacak veri sorumluların bu süre içinde Sicile kayıt işlemlerini yapmaları gerekecektir. Söz konusu kaydın ve devamı işlemlerin VERBİS üzerinden yapılacağı düzenlendiğine göre bunun hali hazırda işler olması ve çok sayıdaki başvuruyu kaldırabilecek teknik altyapıyı haiz olması gerekir. Oysa 1 Ocak itibariyle Kurumun sitesinde henüz bu sisteme giriş için bir link verilmemiştir. Dolayısıyla hali hazırda veri tutan ve işleyen veri sorumluları açısından süre konusunda bir düzenleme yapılması veya en azından belli bir süreye kadar bu gerekçeyle idari para cezası verilmemesi gerekir.

Yönetmeliğin ‘Kayıt yükümlülüğü kapsamında iletilecek bilgiler’ başlıklı 9. maddesi oldukça önemlidir ve buna dikkat edilmesi gerekir. İlk olarak maddenin 1. fıkrasında sicile kayıt başvurusunun hangi bilgileri içermesi gerektiği tek tek sayılmıştır. Ancak aynı husus 6698 sayılı Kanun’da zaten sayılmıştı ve birkaç ufak ekleme dışında fıkranın Kanun ile aynı olduğunu görüyoruz. Yönetmelikle veri sorumlusu ve temsilcisinin yanında irtibat kişisine ait bilgilerin de iletilmesi ayrıca bu bilgilerin Kurul tarafından belirlenecek olan başvuru formunda yer alan bilgiler kapsamında olması gerektiği noktasında yenilik bulunmaktadır. Bunun yanında Kanun’da yalnızca verilerin işlendikleri amaç için gerekli olan azami süreden bahsedilirken; Yönetmelikte mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi olmak üzere iki farklı süre öngörülmüştür.

Madde devamında hangi bilgilerin ne şekilde iletileceği tek tek belirtilerek açıklanmıştır. Öncelikle veri sorumlusu, varsa temsilcisi ve irtibat kişisine ait bilgilerin başvuru formuyla doldurulacağı maddeden anlaşılmaktadır. Açıkça belirtilmemiş olsa da başvuru formunun da VERBİS aracılığıyla iletileceğini öngörüyorum. Eğer bunun için başka bir yöntem öngörülüyorsa (yazılı vb.) bunun Yönetmelikte açıkça belirtilmesinin daha iyi olacağını düşünüyorum. Ancak bu başvuru her ne yöntemle olursa olsun Kurulun belirleyeceği başvuru formuna göre yeknesak şekilde yapılacağı belirtilmektedir. Bundan sonra kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları ve yabancı ülkelere aktarımı öngörülen kişisel verilere ilişkin bilgilerin VERBİS üzerinden Sicile iletileceği belirtilmiştir. Bunun yanında veri güvenliğine ilişkin alınan tedbirler de Kanun’un veri güvenliğine ilişkin veri sorumlusunun yükümlülüklerinin düzenlendiği 12. maddesini de kapsayacak biçimde yine VERBİS üzerinden iletilecektir.

Son olarak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi de sicile kayıt başvurusunda bulunması gereken bilgiler arasında yer alır. Bu husus veri sorumluları açısından oldukça önemlidir. Zira veri sorumlusu açısından işlediği kişisel verileri hangi süreyle muhafaza edebileceği büyük önem arz eder. Bu sürelerin tespit edilmesi için ise kişisel veri envanterinde veri kategorilerinin düzgün belirlenmiş olmasının ardından hangi veri kategorisi için hangi mevzuatta ne tür süreler öngörüldüğüne bakılmalıdır. Bu kolay bir süreç olmayıp birçok farklı hususun birlikte değerlendirilmesini gerektirir.

Yönetmeliğin 9. maddesinin 4. fıkrası tam da bu noktada bize rehberlik eder. Fıkra ilk olarak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgilerin veri kategorileri ile eşleştirilerek Sicile bildirilmesi gerekliliğini belirtmiştir. Öyleyse veri sorumlusunun hangi veriyi hangi süreyle muhafaza edeceği, belirlenmesi ve bildirilmesi gereken önemli bir husustur. Ancak veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen sürelerin farklı olması ihtimali mevcuttur. Bu ihtimalde de mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre; yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılacağı düzenlenmiştir. Maddenin bu cümlesinde bir anlam karmaşası olduğunu söylemeliyim. Zira mevzuatta süre yoksa cümle içerisinde geçen ‘bunlardan’ kelimesinden ne anlaşılması gerektiği tam olarak anlaşılamamaktadır. Ben burada kastedilenin; verinin işlenmesinde birden çok amacın olması halinde ve buna bağlı olarak bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza sürelerinin birbirinden farklı olması durumunda, bu süreler arasında en uzun sürenin esas alınması gerektiği olduğunu düşünüyorum. Bu anlam karışıklığının giderilmesi yerinde olacaktır. Kişisel verilerin muhafaza edilme süresi belirlenirken;

- İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,

- İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,

- İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,

- İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,

- Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,

- Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,

- Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,

kriterleri dikkate alınacaktır. Görüldüğü gibi kişisel verilerin muhafaza süresinin belirlenmesi veri sorumluları açısından “olması gerektiği gibi” çok sıkı şartlara bağlanmamıştır. İşlendikleri amaca uygun olması halinde gerekli olan süre boyunca muhafaza edilebileceği belirtilerek veri sorumlularının da menfaati gözetilmiştir. Genel teamül süresinin kabul edilmesi, söz konusu mevzuatın amacının kişisel verilerin işlenmesini önlemek olmadığının en büyük göstergesidir. Zira mevcut düzen bozulmak istenmeyip; esas amaç olarak kişisel verilerin işlenmesini hukuka uygun hale getirmek benimsenmiştir. Hukuka ve dürüstlük kurallarına uygun olması şartıyla veri sorumlularının meşru menfaatinin geçerli olacağı süre boyunca veriyi muhafaza edebilmesi de veri sorumlularının menfaatinin gözetildiğini gösterir. Bununla birlikte veri sorumlusunun işlediği kişisel verileri saklamasına bağlı olarak hukuken risk ve maliyet sorumluluğu mevcutsa; veri sorumlusu bu riskin devam ettiği süre boyunca da işlediği kişisel veriyi saklayabilecektir. Bu durumda da veri sorumluları tarafından işlenen kişisel verilerin oluşabilecek risklere karşı saklanması gerekebileceği gözetilmiş ve veri sorumlusu zor duruma düşürülmek istenmemiştir. Yalnızca bu sürenin doğru bir biçimde hukuka uygun olarak belirlenmesi istenmiştir.

Veri sorumlularının kişisel veri envanterine bağlı olarak Sicile gerekli bilgileri iletmesinin ardından bunun gözetimi ve sürelerin takibi için yapılması gereken de maddenin 6. fıkrasında açıklanmıştır. Buna göre; Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.” Bu fıkranın esas olarak İmha Yönetmeliğine paralellik arz ettiğini söylemek mümkündür. İmha Yönetmeliğinin 5. maddesi de kişisel veri envanterine uyumlu biçimde hazırlanacak olan veri saklama ve imha politikası öngörmüştü. Kişisel verilerin korunması mevzuatında bu şekilde uyum ve bütünlük sağlanmasını olumlu buluyorum.

Maddenin son fıkrası VERBİS de bulunan başlıkların veri kategorilerini tam olarak kapsayamaması halinde, iletilecek bilgilerin ‘Diğer’ başlığı altında iletileceği belirtilmiştir. Zira Sicile, VERBİS de yer alan başlık ve içeriklerin altında bildirim yapılacaktır. Şu aşamada her bir veri kategorisi için ayrı başlıklar öngörülememiş olması olağandır.

Kayıt başvurusu

Yönetmeliğin 10. maddesinde; 9. maddede sayılan ve Sicile iletilmesi gereken bu bilgilerin VERBİS’e yüklenmesiyle kayıt yükümlülüğünün yerine getirilmiş olduğu belirtilmiştir. Öyleyse veri sorumlusu kayıt yükümlülüğünü söz konusu bilgileri VERBİS’e yüklemekle yerine getirmiş olur ve bundan başka bir işlem yapmasına gerek yoktur. Kurul tarafından ek süre verilmiş olan veri sorumluları da bu sürenin sonuna kadar kayıt işlemini tamamlamalıdır. Ancak süre açısından yukarıda belirtmiş olduğum çekincelerim unutulmamalıdır.

Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri

Yönetmeliğin 11. maddesi akıllarda olan birçok soruya açıkça cevap vermesi bakımından önemlidir. Öncelikle veri sorumlusunun tüzel kişiliğin kendisi olduğu bilinmekle beraber Kanun ve yönetmeliklerden kaynaklanan yükümlülüklerin kim tarafından yerine getirileceği ve bu yükümlülüklerden kimin sorumlu tutulacağı akılları karıştırmaktaydı. Maddenin bu hususa açıklık getiren 1. fıkrasına göre; Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir.” Burada yükümlülük altında olanın şirketler açısından Yönetim Kurulu olduğunu açıkça görüyoruz. Zira fıkranın devamında bu görevlendirmenin bir veya birden fazla kişiye yönelik olabileceği de belirtilmiştir. Dolayısıyla Yönetim Kurulu bu konudaki yükümlülüklerin yerine getirilmesi için bir veya birden fazla kişiyi görevlendirebilir. Her ne kadar Yönetmelikte yazmıyorsa da şirketler hukukunun genel ilkeleri ve TTK gereğince bu görevlendirme bir Yönetim Kurulu kararı şeklinde ve yazılı olmalıdır. Böylelikle ileride çıkması olası uyuşmazlıklar açısından ispat kolaylığı da sağlanmış olur.

Türkiye’de yerleşik olmayan veri sorumlularının yükümlülükleri yerine getirmek üzere asgari düzeyde yetkili olacak veri sorumlusu temsilcisinin atanacağını belirtmiştim. Bu veri sorumlusu temsilcisinin atanmasına ilişkin yetkili organ veya kişi tarafından alınacak atama kararının madde devamında belirlenen asgari hususları taşıması şartıyla tasdikli örneğinin, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kurul’a sunulması gerekmektedir.

Maddenin 4. ve 5. fıkrasında da irtibat kişisinin yeri net bir şekilde ortaya konmuştur. Zira irtibat kişisinin veri sorumlusu temsilcisiyle karıştırılması mümkündür. Bu noktada irtibat kişisinin temsile yetkili olmadığı, yalnızca ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlamak üzere belirlenecek kişi olduğu açıklanarak bu konudaki sorular cevap bulmuştur.

İletişimin sağlanması, kayıt bilgilerinde değişiklikler ve sicil kaydının silinmesi

Yönetmeliğin 12. maddesinde Kurul ile veri sorumlusu arasında sağlanacak olan iletişimin hangi kanallar vasıtasıyla gerçekleştirileceği düzenlenmiştir. Buna göre; Kurul, Türkiye’de yerleşik olan tüzel ve gerçek kişiler için Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden ilgili tüzel veya gerçek kişi üzerinden; Türkiye’de yerleşik olmayan veri sorumluları için ise Sicile bildirilen veri sorumlusu temsilcisi aracılığıyla iletişim kuracaktır.

Sicilde kayıtlı bilgilerin güncel olması gerektiği, veri sorumlularının bilgilerin güncel tutulmasından sorumlu olmasının yanında Kurul’un da söz konusu bilgilerin güncelliğini sağlamakla yükümlü olduğunu yukarıda belirttim. Bunun sağlanması için kayıtlı bilgilerde değişiklik olması halinde, meydana gelen değişiklikler, VERBİS üzerinden yedi gün içerisinde Kuruma bildirilmelidir.

Sicil kaydının silinmesine baktığımızda veri sorumlusunun, sicil kaydının silinmesine ilişkin olarak da yine VERBİS üzerinden Kuruma başvurması gerektiği Yönetmeliğin 14. maddesiyle hüküm altına alınmıştır. Sicil kaydının silinmesini gerektiren haller; kayıt yükümlülüğünü gerektiren faaliyetin sona ermesi veya ortadan kalkması olarak açıklanmıştır. Silinmiş olan kayıtlara istendiğinde erişilebilecek ancak bu kayıtlar üzerinde değişiklik yapılamayacaktır.

Kayıt Yükümlülüğünün İstisnaları

Yönetmeliğin 15. maddesinde veri sorumlusunun Sicile kayıt etmekle yükümlü bulunmadığı faaliyetler sayılmıştır:

- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması

CMK’ya göre bir suçun işlenmesi üzerine soruşturma yürütmekle görevli olan savcılıkların ve onun yardımcısı olan kolluk güçlerinin, şüphelilerin ya da bilgi aldıkları üçüncü kişilerin kişisel verilerini tutmaları halinde (ki bu hali hazırda söz konusu olmaktadır, bu verilerin kaydedilmemesi ve/veya işlenmemesi halinde suç soruşturması yapılamaz) Sicile kayıt olmaları gerekmez. Benzer şekilde önleyici kolluk görevi yapan polisin aldığı ihbarlardaki kişisel verileri tutması görevinin bir gereğidir. Polisin bu veriler için veri sorumlusu olarak Sicile kayıt yaptırması gerekmez.

- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi

Kişinin kendisine ait bir fotoğrafı ya da görüştüğü kişilerin kayıtlarını sosyal medyada paylaşarak alenileştirmesi halinde, artık bu verilerin işlenmesi için Sicile kayıt zorunluluğu bulunmaz.

- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

Sosyal Güvenlik Kurumu, Bankacılık Denetleme ve Düzenleme Kurumu, Mali Suçları Araştırma Kurulu, Barolar ve diğer meslek odaları tarafından tutulan kişisel veriler bu kapsamdadır.

- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Maliye Bakanlığı tarafından vergi mükelleflerinin kaydedilen ve işlenen kişisel verileri bu kapsamdadır.

Bu durumların varlığı halinde, veri işleme faaliyetlerinin bildirilmesine gerek yoktur.

Veri sorumlularının Sicile kayıt ettirmekle yükümlü olmadığı faaliyetlerin yanında Kurul bazı hallerde veri sorumlularına istisna getirebilecektir. Bu istisnaları getirirken göz önüne alacağı kriterler Yönetmeliğin 16. maddesinde tek tek sayılmıştır. Buna göre; kişisel verinin niteliği, sayısı, işlenme amacı, işlendiği faaliyet alanı, üçüncü kişilere aktarılma durumu, işleme faaliyetinin kanunlardan kaynaklanması, muhafaza edilme süresi ve veri konusu kişi grubu veya veri kategorileri kriterlerini dikkate alacak olan Kurul’un veri sorumluları için istisna getirebilme konusunda takdir yetkisi vardır.

İdari yaptırım

Yönetmeliğin “İdari yaptırım” başlıklı 17. maddesinde; “Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde yer alan idari para cezası uygulanır.” şeklinde Kanun’a atıf yapılmıştır. Kanun’un ilgili maddesinde öngörülen ceza ise başlangıçta da belirttiğim gibi 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasıdır.

Ana başlıklar ve sonuç

- Yönetmelik, Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek amacıyla, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişileri kapsayacak şekilde oluşturulmuştur.

- Yönetmeliğin temel dayanağını 6698 sayılı Kanun’un ilgili hükümleri ve özellikle 16. maddesinin 5. fıkrası oluşturur.

- Yönetmelikle; irtibat kişisi, kayıtlı elektronik posta adresi, veri kategorisi, veri konusu kişi grubu, veri sorumluları sicil bilgi sistemi ve veri sorumlusu temsilcisi kavramları ilk kez tanımlanmıştır.

- Yönetmeliğin 5. maddesinde sicil oluşturulurken uyulacak ilkeler sayılmış, Türkiye’de yerleşik olmayan veri sorumlularının da temsilci aracılığıyla kaydolacağı, kamuya açıklık ilkesi ve bilgilerin envanterle uyumlu olması gerektiği gibi hususların altı çizilmiştir. Ayrıca Sicile ilişkin bütün işlemlerin VERBİS üzerinden gerçekleştirileceği ve işlendikleri amaç için gerekli olan azami sürenin İmha Yönetmeliği kapsamındaki yükümlülüklerde esas alınacağı noktalarına dikkat edilmelidir.

- Yönetmeliğin 6. maddesine göre; Sicilin oluşturulması ve idaresinden Başkanlığın hizmet birimi olan Veri Yönetimi Dairesi Başkanlığı sorumludur. Sicilin gözetimi yükümlülüğü ise Kurul’a aittir.

- Sicilin kamuya açık olarak tutulacağı ve hangi bilgilerin kamuyla paylaşılacağı Yönetmeliğin 7. maddesinde belirtilmiştir.

- Kayıt yükümlülüğünün ne zaman başlayacağını düzenleyen 8. maddeye göre; yükümlü bulunanlar işleme faaliyetine başlamadan önce; sonradan yükümlü hale gelenler otuz gün içinde ve Kurul tarafından kendisine ek süre verilmiş olanlar bu süre tamamlanıncaya kadar kayıt yükümlülüğünün yerine getirmelidir. Ancak hali hazırda veri işleyenler için bir geçiş hükmü öngörülmemesi önemli bir eksikliktir.

- Yönetmeliğin 9. maddesinde Sicile hangi bilgilerin ne şekilde iletileceği düzenlendiğinden oldukça önemlidir. Zira bu, veri sorumlularının kayıt yükümlülüğünü yerine getirirken dikkat etmesi ve başvuru sırasında esas alması gereken hükümdür.

- Nitekim 10. maddenin, 9. maddede belirtilen bilgilerin sisteme yüklenmesiyle yükümlülüğün yerine getirildiğini belirtmesi, 9. maddenin öneminin göstergesidir.

- Yönetmeliğin 11. maddesiyle veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisi kavramlarına açıklık getirilmiş olup; bu kişilerin yükümlülükleri belirtilmiştir. Birtakım sorulara net cevap getirmiş olması bakımından bir diğer önemli madde olduğunu söylemek mümkündür.

- Yönetmeliğin 12. maddesinde Kurum’un veri sorumlusuyla iletişimi; ilgili gerçek veya tüzel kişi veya veri sorumlusu temsilcisi aracılığıyla gerçekleştireceği düzenlenmiştir.

- Kayıt bilgilerinde değişiklikler ve sicil kaydının silinmesi işlemleri Yönetmeliğin 13. ve 14. maddesine göre VERBİS üzerinden yapılacak başvuru ile gerçekleştirilecektir.

- Veri sorumlusu Yönetmeliğin 15. maddesinde sayılmış olan faaliyetleri gerçekleştirse dahi, bu faaliyetleri Sicile kayıt etme veya bildirme yükümlülüğü altında değildir. Burada istisna uygulanacak haller söz konusudur.

- Kesin olarak istisna uygulanacak hallerin yanında, Kurul, 16. maddede sayılan kriterleri göz önüne almak şartıyla kayıt yükümlülüğüne istisna getirebilme yetkisine sahiptir. Bu istisna kararlar uygun bir biçimde kamuya açıklanacaktır.

- Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kanun’un 18. maddesinde öngörülen idari para cezasının geçerli olduğu belirtilerek Kanun ile paralel bir düzenleme yapılmıştır.

- 18. maddede, Yönetmeliğin uygulanması sırasında doğacak tereddütlerin giderilmesi hususunda mevzuat hükümleri çerçevesinde karar vermek üzere Kurul’un yetkili olduğu hüküm altına alınmıştır.

- Yönetmeliğin 19. maddesiyle yürürlük tarihi 1 Ocak 2018 olarak belirlenmiş ve 20. maddesinde Yönetmelik hükümlerini Başkan’ın yürüteceği belirtilmiştir.