MAKALE

28.04.2019 TARİHLİ KİŞİSEL VERİLERİ KORUMA MEVZUATINDAKİ DEĞİŞİKLİKLER

Abone Ol

A. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİKTE DEĞİŞİKLİK YAPILMASINA DAİR YÖNETMELİK

- Veri sorumluları; kişisel veri envanteri oluştururken, bu verileri hangi hukuki sebeple işlediklerini de envanterde belirteceklerdir (4/e). Örnek vermek gerekirse, bir e-ticaret sitesi mesafeli satış sözleşmesinin kurulabilmesi için müşterilerinin kişisel verilerini işliyorsa, bunun (sözleşmenin kurulması, ifası) envanterde belirtilmesi gerekir.

- Yönetmeliğin 7/4 maddesi; “Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür” şeklinde iken, yapılan değişiklikle; “Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür” olarak düzenlenmiştir. Zira 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7 inci maddesi gereği; “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir”. Yönetmeliğin 7/4 maddesi, “veya” kelimesi eklenmek suretiyle, Kanunun ilgili maddesiyle uyumlu hale getirilmiştir.

Maddenin ilk halinde veri sorumlusu bu işlemlerin (silme, yok etme, anonim hale getirme) üçünü de uygulamak ve bunları politika ve prosedürlerinde açıklamakla yükümlüymüş gibi bir sonuç çıkmakta idi. Yapılan değişiklik neticesinde, veri sorumlusu bu işlemlerden hangisini uyguladıysa onunla ilgili yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlü olacaktır.

- Yönetmeliğin 12 nci maddesi; kişisel verilerin, ilgili kişinin talep etmesi durumunda silinme ve yok edilme sürelerini düzenlemektedir. Değişiklikten önce bu hüküm yalnızca Kişisel Verilerin Korunması Kanunu’nun 13 üncü (Veri Sorumlusuna Başvuru) maddesine atıf yapmakta iken değişiklikle birlikte Kanunun 11 inci (İlgili Kişinin Hakları) maddesine de atıf yapılmıştır.

B. AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞDE DEĞİŞİKLİK YAPILMASINA DAİR TEBLİĞ

- Tebliğin 3/f maddesinde yer alan veri kayıt sistemi değişiklikten önce; “Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam” olarak tanımlanmakta idi. Bilindiği üzere; bilgisayar bazlı gerçekleştirilen her türlü veri kayıt işleminin tam ya da kısmi otomatik kayıt sistemi olarak nitelendirilmesi mümkündür. Bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen veri kayıt sistemi ise, analog olarak; özellikle kağıt üzerinde kayıt altına alınıp işlenen verileri işaret etmektedir[1]. Değişiklikten sonra veri kayıt sistemi; otomatik olan/otomatik olmayan ayrımı kaldırılarak, “Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” olarak tanımlanmıştır.

Değişiklik neticesinde otomatik olsun olmasın, kişisel verilerin belli kriterlere dayanarak işlendiği her kayıt sistemi, veri kayıt sistemidir.

- Veri sorumlusu temsilcisinin tanımlandığı 3/ğ maddesinde temsil yetkisinin dayandığı konulara ilişkin değişiklikten önce “Veri Sorumluları Sicili Hakkında Yönetmelik”in 11/2 maddesine atıf yapılmışken, değişiklikle aynı yönetmeliğin 11/3 maddesine atıf yapılmıştır. 11/2 nci maddeye yapılan atfın sehven yapıldığı kanaatindeyiz, zira ilgili maddede herhangi bir konu bulunmamaktadır. 11/3 üncü maddede ise; veri sorumlusu temsilcisi atama kararının asgari olarak kapsayacağı hususlar yer almaktadır. Yapılan değişiklik sonucunda; temsil yetkisinin içerdiği konularla ilgili olarak, Yönetmeliğin veri sorumlusu temsilcisinin atama kararının kapsaması gereken asgari hususları belirleyen (11/3) maddesine atıf yapılması yerinde olmuştur.

- Tebliğin yürürlükten kaldırılan 5/1-c maddesi şu şekildedir:

“Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir”. Bu hükmün kaldırılmasıyla birlikte; kişisel verileri veri sorumlusunun farklı birimleri tarafından farklı amaçlarla işlenen bir A kişisine, her bir birimin ayrı ayrı aydınlatma metni imzalatmasına ihtiyaç kalmamıştır. Hangi birimin hangi amaçla hangi verileri işleyeceğini sarih olarak ihtiva eden tek bir aydınlatma metninin yeterli olacağı kanaatindeyiz.

C. VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİKTE DEĞİŞİKLİK YAPILMASINA DAİR YÖNETMELİK

- Yönetmeliğin 4/1-ç maddesinde yer alan “İrtibat kişisi” tanımı değişmiştir. Bu revize neticesinde irtibat kişisinin görevi hususunda bir değişiklik yapılmamıştır. Ancak bundan böyle Türkiye’de yerleşik olsun veya olmasın gerçek kişi veri sorumluları da tıpkı tüzel kişiler gibi irtibat kişisi atamak zorundadır. İrtibat kişisinin sicile kayıt sırasında kim tarafından bildirileceği konusunda ise; Türkiye’de yerleşik veri sorumlularının kendileri tarafından, Türkiye’de yerleşik olmayan veri sorumlularında veri sorumlusu temsilcisi tarafından bildirileceği ayrımı netleştirilmiştir.

- Yönetmeliğin 4/1-h maddesinde yer alan “Kişisel veri işleme envanteri” tanımı, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te yapılan değişikliğe paraleldir. Burada da kişisel veri envanterinin tanımına “hukuki sebep” eklenmiştir. Veri sorumluları; kişisel veri envanteri oluştururken, bu verileri hangi hukuki sebeple işlediklerini de envanterde belirteceklerdir.

Değişiklikten önce envanterde bulunması gereken bilgiler arasında yer alan “kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre” ifadesi, “kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi” olarak değiştirilmiştir.

- Yönetmeliğin 4/1-p maddesinde yer alan “Veri sorumlusu temsilcisi” tanımında yapılan değişiklik, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 3/ğ maddesinde yapılan değişikliğe paraleldir. Değişiklikten önce “Veri Sorumluları Sicili Hakkında Yönetmelik”in 11/2 maddesine atıf yapılmışken, değişiklikle aynı yönetmeliğin 11/3 maddesine atıf yapılmıştır. 11/2 nci maddeye yapılan atfın sehven yapıldığı kanaatindeyiz, zira ilgili maddede herhangi bir konu bulunmamaktadır. 11/3 üncü maddede ise; veri sorumlusu temsilcisi atama kararının asgari olarak kapsayacağı hususlar yer almaktadır. Yapılan değişiklik sonucunda; temsil yetkisinin içerdiği konularla ilgili olarak, Yönetmeliğin veri sorumlusu temsilcisinin atama kararının kapsaması gereken asgari hususları belirleyen (11/3) maddesine atıf yapılması yerinde olmuştur.

- Yönetmeliğin 5/1-ç maddesi, değişiklikten önce “Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır” şeklinde idi. Değişiklikten sonra hükme; “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür” cümlesi eklenmek suretiyle, veri sorumlularının kişisel veri işleme envanteri hazırlama yükümlülüğünün bulunduğu, tartışmaya mahal vermeyecek şekilde netleştirilmiştir.

- Yönetmeliğin 5/1-ğ maddesinde yapılan değişiklikten önce; “Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel verilerin işlendikleri amaç için gerekli olan azami süre; Kanunun 7 nci maddesinde belirtilen veri sorumlularının silme, yok etme veya anonim hale getirme yükümlülüklerinin yerine getirilmesinde esas alınır” şeklinde olan hüküm; “Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi; Kanunun 7 nci maddesinde belirtilen veri sorumlularının silme, yok etme veya anonim hale getirme yükümlülüklerinin yerine getirilmesinde esas alınır” olarak değiştirilmiştir.

- Yönetmeliğin, veri sorumluları sicilinde yer alan bilgilerden kamuya açıklanabilecek olanları düzenlediği 7/2 maddesinin a bendi; “Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisinin adı, adresi ve alınmış olması halinde KEP adresi” iken, “Veri sorumlusu, varsa veri sorumlusu temsilcisi, adresi ve alınmış olması halinde KEP adresi” olarak değiştirilmiştir. Yapılan değişiklik neticesinde veri sorumluları sicilinde; veri sorumlusu ve veri sorumlusu temsilcisinin bilgileri kamuya açık olmaya devam ederken, irtibat kişilerinin bilgileri kamuya açık olmayacaktır.

- Yönetmeliğin 11/4 maddesinde yapılan değişiklik ile; Türkiye’de yerleşik olsun veya olmasın gerçek kişi veri sorumluları da tıpkı tüzel kişiler gibi irtibat kişisi atamak zorundadır. İrtibat kişisinin sicile kayıt sırasında kim tarafından bildirileceği konusunda; Türkiye’de yerleşik veri sorumlularının kendileri tarafından, Türkiye’de yerleşik olmayan veri sorumlularında veri sorumlusu temsilcisi tarafından bildirileceği hususu netleştirilmiştir. (Yönetmeliğin 4/1-ç maddesinde yapılan değişiklik ile paraleldir.)

Madde hükmünde yer alan “İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir” cümlesi korunurken, “İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar” ifadesi kaldırılmıştır.

- Yönetmeliğin 11/5 maddesinde; kamu kurum ve kuruluşlarında atanacak irtibat kişisinin vasıfları belirlenmiştir. Yapılan değişiklikle, irtibat kişisini belirleyecek olan üst düzey yöneticinin “koordinasyonu sağlayacak” olması şartı eklenmiştir:

“Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir”.

- Yönetmeliğin 13 üncü maddesi; kayıt bilgilerindeki değişikliklerin VERBİS’e bildirilme süresini düzenlemiştir. Değişiklikten önce bildirim süresinin başlangıcı belirlenmemişken, değişiklik sonrası “Veri sorumluları Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir” denilerek değişikliklerin Kuruma bildirim süresinin başlangıcını belirlemiştir.

- Yönetmeliğin 16/1 maddesi, Kişisel Verileri Koruma Kurulunun sicile kayıt muafiyetine ilişkin kriterlerini düzenlemiştir. Yapılan değişiklikle, bu kriterlere “Veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi” eklenmiştir. Kişisel Verilerin Korunması Kanunu’nun 16 ncı maddesinde yer alan “…işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir” hükmü ve Kurulun 18.08.2018 tarihli Resmi Gazete’de yayımlanan 19.07.2018 tarih ve 2018/87 sayılı kararına uygun bir değişiklik yapılmıştır[2].

Av. Melike EMİRMAHMUTOĞLU

---------------------------------

[1] ÇEKİN, Mesut Serdar, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, İstanbul, 2018, s. 22-23.

[2]“…02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına…” (http://www.resmigazete.gov.tr/eskiler/2018/08/20180818-6.pdf - Erişim tarihi 15.05.2019)