7 Nisan 2016’da Kişisel Verilerin Korunması Kanunu (“KVKK”) yürürlüğe girdi. KVKK, daha önce Anayasa’da sadece bir maddede, Türk Ceza Kanunu’nda da birkaç maddede düzenlenmiş olan kişisel verilerin korunması hususunu detaylı bir şekilde düzenleyen hükümler getirdi. Bu hükümlerin arasında, her veri sorumlusunun kendisini Veri Sorumluları Siciline kaydettirmesi gerektiğini belirten bir yükümlülük de bu şekilde yürürlüğe girmiş oldu.
Kişisel verilerin korunması konusunda düzenleyici otorite olan Kişisel Verilerin Korunması Kurulu (“Kurul”), 30 Aralık 2017’de Veri Sorumluları Sicili Yönetmeliği’ni (“Yönetmelik”) yayınlarak Veri Sorumluları Siciline nasıl kayıt olunacağını detaylı bir şekilde açıkladı.
KVKK’da, Veri Sorumluları Siciline kayıt yapılmaması durumunda 20.000 TL ile 1.000.000 TL arasında bir idari para cezası kesileceği öngörülüyor. Bu şekilde bir ceza ile karşılaşılmaması için Yönetmelik hükümlerine uyarak bu sicile kayıt yapılması önem arz ediyor. Bu makalede, Türkiye’deki hemen her işletmeyi ilgilendiren Veri Sorumluları Siciline kayıt olma yükümlülüğünü ve Yönetmelik ile getirilen ek yükümlülükleri kısaca açıklayacağız.
Kimler Kaydolmalı?
KVKK m.16’ya göre kişisel veri işleyen gerçek ve tüzel kişiler, Veri Sorumluları Siciline kayıt yaptırmak zorundalar. Kişisel veri, herhangi bir gerçek kişi ile ilgili her türlü veriyi ifade ediyor. Bu kapsamda, otomatik veya yarı-otomatik yollarla (örneğin bir yazılım aracılığıyla) veya otomatik olmasa da bir veri kayıt sistemi (örneğin elle tutulan bir kayıt defteri veya bir dosyalama sistemi) aracılığı ile kişisel verileri toplayan veya bunlar üzerinde herhangi bir işlem yapan tüm gerçek veya tüzel kişilerin kendilerini Veri Sorumluları Siciline kaydettirmeleri gerekiyor. Kurul’un belirli kriterlere göre bu yükümlülükten istisna tutulacak veri sorumlularını belirleme yetkisi bulunuyor ancak bu makalenin yazım tarihine kadar henüz bu şekilde yayınlanmış bir istisna tutulan veri sorumluları listesi yayınlanmış değil.
Kişisel Veri Envanteri
Yönetmelik uyarınca, Veri Sorumluları Siciline kaydolabilmek için yapılması gereken ilk iş bir kişisel veri envanteri hazırlamak. Kişisel veri envanteri bir veri sorumlusunun, örneğin bir şirketin, elinde bulundurduğu tüm kişisel verileri ve bu veriler ile neler yaptığını gösteren bir envanterden oluşuyor. Kişisel veri envanterini hazırlamak için şirketlerin içerisinde detaylı bir çalışma yapılması, kişisel verilere dokundukları tüm süreçlerin ortaya çıkartılması gerekiyor. Bu süreçler ortaya çıkartıldıktan sonra, envantere aşağıdaki konular ile ilgili bilgilerin girilmesi şart:
- Kişisel verilerin hangi amaçlarla işlenebileceği: örneğin insan kaynakları departmanının işe alım sürecinde, iş başvurusunu değerlendirme amacıyla çalışan adaylarının özgeçmişlerini incelemesi
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri: örneğin insan kaynakları departmanı çalışanların kişisel verilerini topluyor ve işliyor. Bu durumda, veri konusu kişi grubu şirketin çalışanları oluyor. Çalışanlara ilişkin kişisel veri gruplarının her birisi ise veri kategorisini oluşturuyor, örneğin çalışanların iletişim bilgileri kendi başına bir veri kategorisi oluşturuyor.
- Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları: kişisel veriler herhangi bir nedenle üçüncü kişilere aktarılıyorsa, bu kişiler “alıcı” olarak tanımlanıyor. Örneğin, kişisel veriler, şirketin çalıştığı bir bulut bilişim firmasına aktarılıyorsa (şirket içerisinde kullanılan bir müşteri yönetim programını işleten firmalar, vb.), söz konusu bulut bilişim firmasını bu kapsamda “alıcı” olarak kabul etmek gerekiyor.
- Yabancı ülkelere aktarımı öngörülen kişisel veriler: kişisel veriler herhangi bir şekilde yurtdışına aktarılıyorsa, örneğin yukarıda belirtilen bulut bilişim firmasının sunucuları yurtdışındaysa veya şirket yurtdışında bulunan grup şirketine veri aktarıyorsa, bu durumun veri envanterinde belirtilmesi gerekiyor.
- Kişisel veri güvenliğine ilişkin alınan tedbirler: KVKK uyarınca, her veri sorumlusunun elinde tuttuğu verileri güvenli bir şekilde saklamak için tedbirler alması gerekiyor, her veri kategorisi ile ilgili alınan güvenlik tedbirlerinin de veri envanterinde gösterilmesi zorunlu.
- Kişisel verilerin işlendikleri amaç için gerekli olan azami saklama süresi: KVKK uyarınca, veri sorumluları kişisel verileri süresiz bir şekilde ellerinde tutamıyorlar. İlgili kişisel verinin veri sorumlusu tarafından tutulmasını haklı gösterecek bir sebep kalmamışsa söz konusu verinin silinmesi gerekiyor. Bu kapsamda, veri sorumlularının envanterdeki veri kategorilerine bakarak bunlar için azami saklama süreleri öngörmeleri (örneğin bazı çalışan verileri için 10 yıl) ve bu süreleri de veri envanterinde göstermeleri gerekiyor.
İrtibat Kişisi Atama
Yönetmelik, Türkiye’de yerleşik veri sorumlularına, kişisel veriler ile ilgili konularda verisi işlenen kişiler ile veri sorumluları arasındaki iletişimi sağlamak üzere irtibat kişisi atama yükümlülüğü yüklemektedir. İrtibat kişisi, verisi işlenen kişilerden gelen şikayet ve talepleri veri sorumlusuna iletecek, veri sorumlusu da bu şikayet ve talepleri değerlendirdikten sonra cevabını irtibat kişisi aracılığı ile ilgili kişilere verecektir.
VERBİS
Yönetmelik, Veri Sorumluları Sicilinin çevrimiçi (online) bir sistem üzerinde tutulmasını öngörmektedir. Kurulacak bu çevrimiçi sisteme VERBİS (Veri sorumluları sicil bilgi sistemi) adı verilmiştir. Veri sorumluları; kişisel veri envanterleri ve irtibat kişileri ile ilgili bilgileri VERBİS’e yükleyerek Veri Sorumluları Siciline kaydolacaklardır. VERBİS henüz kullanıma açılmamıştır. Veri Sorumluları Siciline kayıt işlemleri VERBİS kullanıma açıldıktan sonra başlayacaktır