Veri Sorumluları Sicili’nin (“Sicil”) oluşturulması ve Sicil’e yapılacak kayıtlara ilişkin usul ve esasların belirlenmesi amacıyla Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı (“Taslak Yönetmelik”) Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayımladı. Taslak Yönetmelik’e ilişkin görüş ve öneriler 20 Mayıs 2017 tarihine kadar Kurum’a iletilmiştir.
7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile birlikte, kişisel verileri işleyen gerçek ve tüzel kişilere kişisel verilerin korunması konusunda önemli yükümlülükler getirilmiştir. Bu yükümlülüklerden biri de Kanun’un 16. maddesi uyarınca kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından oluşturulacak olan Sicil’e kaydolma yükümlülüğüdür. Yine aynı maddede Sicil’e ilişkin usul ve esasların yönetmelikle düzenleneceği belirtilmiştir.
Taslak Yönetmelik, kişisel verilerin yönetilmesinden sorumlu olan gerçek ve tüzel kişilerin (“Veri Sorumlusu”) kaydolması gereken Sicil’n oluşturulması ile Sicil’e yapılması gereken başvuru ve kayıtlara ilişkin usul ve esasları düzenlemektedir.
Taslak Yönetmelik uyarınca Veri Sorumluları, kişisel veri işlemeye başlamadan önce Sicil’e kayıt yükümlülüklerini yerine getirmek zorunda olacak ve kayıt yükümlülüğü altında bulunmayanlar veya sonradan kayıt yükümlüsü haline gelen veri sorumluları ise yükümlülük altına girmelerini müteakip 30 gün içerisinde Sicil’e kaydolmakla mükellef olacaklardır. Bunun yanı sıra Taslak Yönetmelik ile Kurul’un kişisel verinin niteliği, sayısı, işlenme amacı gibi kriterleri göz önünde bulundurarak Kurul’un kayıt yükümlülüğüne istisna getirebileceği düzenlenmiştir.
Sicil’e kayıt ve Sicil ile ilgili diğer işlemlerde kullanılmak üzere Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulacak ve yönetilecek ve ayırca internet üzerinden erişilebilen Veri Sicil Bilgi Sistemi (“VERBİS”) oluşturulacaktır.
Kurum’a bildirilmesi zorunda olan bilgilerin Veri Sorumlusu tarafından VERBİS’e yüklenmesi ile kayıt yükümlülüğü yerine getirilmiş sayılacaktır. Sicil’e kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında ise 20.000 Türk lirasından 1.000.000 Türk lirasına kadar para cezası uygulanacaktır.
Taslak Yönetmelikte tüzel kişilerde Veri Sorumlusunun tüzel kişiliğin kendisi olduğu belirtilmiştir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki Veri Sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilecektir. Türkiye’de yerleşik olmayan Veri Sorumlularının ise Türkiye’de yerleşik tüzel kişi veya Türkiye Cumhuriyeti vatandaşı gerçek kişi temsilci, diğer bir deyişle “veri sorumlusu temsilcisi”, tayin etme ve ayrıca Sicil’e kayıt yükümlülüğü bulunmaktadır.
Veri Sorumlu temsilcisi, Kurul veya Kurum tarafından Veri Sorumlusuna yöneltilen taleplere Veri Sorumlusu adına cevap verme, tebligatları teslim alma gibi konularda veri sorumlusunu temsile yetkili olacaktır. Veri sorumlusu temsilcisinin tüzel kişi olması halinde ise, Sicil kapsamındaki yükümlülükleriyle ilgili olarak Kurul tarafından yapılacak iletişimlerde irtibata geçilmek üzere “irtibat kişisi” atanması gerekmektedir.
Diğer yandan, veri sorumlularının gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini, kişisel veri işleme amaçları, veri kategorisini, aktarılan alıcı grubu ve veri konusu kişi grubunu içeren “kişisel veri envanteri” hazırlaması gerekmektedir. Zira, Taslak Yönetmelik’te, Sicil başvurularında Sicil’e açıklanacak bilgilerin kişisel veri envanterine dayalı olarak hazırlanacağı açıkça belirtilmiştir. Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirlemek için “kişisel veri saklama ve imha politikası” hazırlaması gerektiği ise ayrıca Taslak Yönetmelik’te düzenlenmiştir.
Taslak Yönetmelik’in tam metnine bu linkten ulaşabilirsiniz.