Categories
BİLGİ NOTLARI

 

 

 

 

 

 

 

 

28.04.2019 tarihli ve 30758 sayılı Resmi Gazete ile Kişisel Verilerin Korunması Mevzuatı’nda uygulamadaki tartışmalı hususları önemli ölçüde netleştiren aşağıdaki değişiklikler yapılmıştır:

  • Veri sorumlusu aydınlatma yükümlülüğünün, sadece veri sorumlusu tüzel kişilik tarafından yerine getirilmesi gerekmektedir.
  • Veri kayıt sistemine kayıtlarda, kişisel verilerin işlendiği ortam yerine kişisel veri işleme faaliyetlerinin esas alınması gerekmektedir.
  • Gerçek kişi veri sorumlusu, Kurum ile iletişimin sağlanması amacıyla irtibat kişisi bildirebilecektir.
  • Veri sorumlusunun Türkiye’de yerleşik olmaması (yabancı) halinde, veri sorumlusu temsilcisi tarafından irtibat kişisinin Kişisel Verileri Koruma Kurumuna bildirilmesi gerekmektedir.
  • Bir gerçek kişi ancak bir veri sorumlusunun irtibat kişisi olarak Kişisel Verileri Koruma Kurumuna bildirilebilecektir.
  • Kişisel veri işleme envanterinde hukuki sebep ve kişisel verilerin muhafaza edilmesi gereken azami sürenin belirtilmesi gerekmekte olup bu değişiklik ile Avrupa Birliği uygulamalarına yaklaşılmıştır.
  • Kişisel Veri İşleme Envanteri’nin, sicile açıklanacak bilgilerin esasını oluşturması gerekmektedir.
  • Veri sorumluları siciline kayıtlı bilgilerde meydana gelen değişikliklerin, değişiklik tarihinden itibaren yedi gün içinde bildirilmesi gerekmektedir.

Ayrıntılı bilgiye bilgilendirme bültenimizden ulaşabilirsiniz.

 

BİLGİLENDİRME BÜLTENİ

28.04.2019 tarihli ve 30758 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Mevzuatı’nda bir takım değişiklikler yapılmış olup sizleri ilgilendiren mahiyette olan önemli hükümler aşağıda dikkatinize sunulmuştur.

İşbu bilgilendirme bülteni ile ele alınacak değişikliklerin yer aldığı mevzuat başlıkları aşağıdaki gibidir:

  1. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
  2. Veri Sorumluları Sicili Hakkında Yönetmelik
  3. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

 

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ (“Tebliğ”)

 

  • Veri sorumlusu aydınlatma yükümlülüğüne dair tartışmalı hususlar netleştirildi.

Tebliğ’in “Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.” hükmünü içeren 5’inci maddesinin (c) bendi yürürlükten kaldırılmıştır.

Bahse konu değişiklik, veri sorumlusuna bağlı her bir birimin (insan kaynakları, bilgi teknolojileri, pazarlama vb.) ayrı ayrı aydınlatma yükümlülüğünün bulunmadığı hususunu açıklığa kavuşturmuş ve sadece veri sorumlusu tüzel kişiliğin aydınlatma yükümlülüğü bulunduğu görüşüne dayanak sağlamıştır.

 

  • Veri kayıt sistemi tanımı genişletildi.

Tebliğ’in “Veri Kayıt Sistemi” başlıklı 3 (1) (f) bendi  “Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı” hükmünü içermekteydi.

Bahse konu hüküm “Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini” şeklinde değiştirilmiştir. Bu değişiklik ile öncelikle Kişisel Verilerin Korunması Kanunu ve Tebliğ arasında tanımlar açısından anlam bütünlüğü sağlanmıştır.  Bunun yanı sıra, anlam karışıklığı yaratan ve dar bir kavram olan  “ortam” ifadesi terk edilerek “yapılandırılma” şart olmak kaydıyla her fiili kapsayan (elde edilme, kaydedilme, depolanma, muhafaza edilme, değiştirilme, yeniden düzenlenme, açıklanma, aktarılma, devralınma, elde edilebilir hale getirilme, sınıflandırma, kullanılmasının engellenmesi) işleme ifadesi ile tanım genişletilmiştir.

 

VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK (“VSS Yönetmelik”)

 

  • İrtibat kişisi özelinde uygulamada karşılaşılan sorunlar çözüme kavuşturulmuştur.

VSS Yönetmelik’in “İrtibat Kişisi” başlıklı 4 (1) (ç) bendi “Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişiyi,” hükmünü içermekteydi.

Bahse konu hüküm Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi” şeklinde değiştirilmiştir.

Söz konusu değişiklik ile öncelikle irtibat kişisi tanımına gerçek kişi veri sorumlusu eklenmiştir. Ayrıca, irtibat kişisinin belirlenmesinde yerli ve yabancı ayrımı netleştirilmiş olup veri sorumlusunun Türkiye’de yerleşik olmaması (yabancı) halinde, veri sorumlusu temsilcisi tarafından irtibat kişisinin bildirilmesi öngörülmüştür. Böylece, yabancılarda temsilci ile irtibat kişisi arasındaki fark netleştirilmiştir.

Bununla birlikte, bir gerçek kişi ancak bir veri sorumlusunun irtibat kişisi olabilir hususuna da madde metninde veri sorumluları için tekil ifade kullanılarak mevzuat dayanağı sağlanmıştır.

 

  • Kişisel veri işleme envanterinde yapılan değişiklik ile Avrupa Birliği uygulamalarına yaklaşılmıştır.

VSS Yönetmelik’in “Kişisel Veri İşleme Envanteri” başlıklı 4 (1) (h) bendi “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri” hükmünü içermekteydi.

Bahse konu hüküm, “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” şeklinde değiştirilmiştir.

Kişisel Verileri Koruma Kurumu’nun ilk yayımladığı örnek kişisel veri işleme envanterlerinde “hukuki sebep” bulunmaktaydı; ancak, bu husus VSS Yönetmelik’inde yer almadığından bahse konu hususa dair mevzuat dayanağı sağlanamamaktaydı. Bu değişiklik ile Avrupa Birliği uygulamalarına uyum sağlamak adına önemli bir adım atılmıştır. Her ne kadar, uygulamada hazırlanan envanterlerde AB uygulamaları üzerinden çalışmalar yürütüldüğünden hukuki sebebe yer verilmekteyse de bu önemli değişiklik ile uygulama ve mevzuat bakımından uyum sağlanmıştır.

Madde metninde belirtilen “azami süre” uygulamada muhafaza süresi olarak kabul görmekte ise de, bu kapsamda kastedilen sürenin “muhafaza süresi” olduğu bu değişiklik ile açığa kavuşturulmuştur.

 

  • Kişisel Veri İşleme Envanteri sicile açıklanacak bilgileri kapsayacak şekilde düzenlenmiştir.

VSS Yönetmelik’in “İlke, usul ve esaslar” başlıklı 5 (1) (ç) maddesi “ç) Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.” hükmünü içermekteydi.

Bahse konu hüküm, “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.” şeklinde değiştirilmiştir.

Söz konusu değişiklik ile Kişisel Veri İşleme Envanteri’nin sicile açıklanacak bilgileri kapsaması gerektiği sonucu ortaya çıkmaktadır. Bir başka deyişle, sicilde açıklanacak bilgilerin dayanağının Kişisel Veri İşleme Envanteri olduğu ve bu bilgilerle uyumlu olması gerektiği kesinleştirilmiştir.

 

  • Sicile kayıtlı bilgilerde meydana gelen değişikliklerin, değişiklik tarihinden itibaren yedi gün içinde bildirilmesi düzenlenmiştir.

VSS Yönetmelik’in “Kayıt Bilgilerinde Değişiklikler” başlıklı 13’üncü maddesi “Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kuruma bildirir.” hükmünü içermekteydi.

Bahse konu hüküm, Veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.” şeklinde değiştirilmiştir.

Söz konusu değişiklik ile sicile kayıtlı bilgilerde meydana gelen değişikliklerin bildirim süresine dair başlangıç netleştirilmiştir. Bu noktada, sicile kayıtlı bilgilerde değişikliğin meydana geldiği tarihten itibaren yedi gün içinde bildirilmesi gerektiği belirtilmiştir.

 

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK (“Yönetmelik”)

Kişisel Veri İşleme Envanteri’ne dair yukarıda yaptığımız yorum ve açıklamalar bahse konu Yönetmelik açısından da geçerlidir. Tanım bütünlüğü bakımından VSS Yönetmelik’teki tanım ile bu Yönetmelik’te yer alan tanım eşleştirilmiştir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.