KİŞİSEL VERİLERİN KORUNMASI MEVZUATINDAKİ DEĞİŞİKLİKLERE İLİŞKİN BİLGİ NOTU


8 Mayıs 2019

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelikte (“İmha Yönetmeliği”) Değişiklik Yapılmasına Dair Yönetmelik, Veri Sorumluları Sicili Hakkında Yönetmelikte (“Sicil Yönetmeliği”) Değişiklik Yapılmasına Dair Yönetmelik ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde (“Aydınlatma Tebliği”) Değişiklik Yapılmasına Dair Tebliğ, Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 28 Nisan 2019 tarihli 30758 sayılı Resmi Gazetede yayınlanarak yürürlüğe girdi.

Yapılan değişikliklerle ikincil mevzuat, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Kişisel Verilerin Korunması Kurulu’nun (“Kurul”) almış olduğu kararlar ile uyumlu hale getirilmiştir.

Ayrıca Kurul, yayınlamış olduğu Kişisel Veri İşleme Envanteri Hazırlama Rehberi (“Rehber”) ile veri sorumlularına, bir kişisel veri envanterinin nasıl hazırlanması gerektiği yönünde yol haritası çizmiştir.

İmha Yönetmeliği, Sicil Yönetmeliği, Aydınlatma Tebliği ve Rehber ile ilgili olarak öne çıkan değişiklikleri aşağıda özet olarak bulabilirsiniz.

1. İmha Yönetmeliği’nde Yapılan Değişiklikler
  • İmha Yönetmeliği’nin 4. maddesinin 1. fıkrasının (e) bendinde yapılan değişiklik ile kişisel veri envanterinin tanımı uygulama ile uyumlu olarak değiştirilmiş ve envanterde “hukuki sebebin” yer alacağına ilişkin ibare maddeye eklenmiştir. Ayrıca Kurul internet sitesinde yayınladığı örnek rehberde1 de bu hususa açıkça yer vermiştir.
  • Kişisel veri envanteri tanımında belirsiz olan “azami süre” kavramı açıklığa kavuşturularak, bu kavram “azami muhafaza süresi” olarak değiştirilmiştir.
2. Sicil Yönetmeliği’nde Yapılan Değişiklikler
  • Sicil Yönetmeliği’nin 4. maddesinin 1. fıkrasının (ç) bendinde belirtilen “irtibat kişisi” tanımına gerçek kişi ibaresi eklenerek, gerçek kişi veri sorumlularının da irtibat kişisi atayacağı belirtilmiştir.
  • Kişisel veri envanterinin tanımı İmha Yönetmeliği’nde olduğu gibi Sicil Yönetmeliği’nde de değiştirilmiştir.
  • Sicil Yönetmeliği’nin 5. maddesinin 1. fıkrasının (ç) bendine “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür” ibaresinin eklenmesiyle, daha önce mevzuatta açıkça yer almayan bu yükümlülük Sicil Yönetmeliği’ne eklenmiş ve Kurul’un önceki kararları ile uyumlu olarak, kişisel veri envanteri hazırlama yükümlülüğü sicile kayıt zorunluluğu bulunan veri sorumlularına yüklenmiştir.
  • Sicil başvurularına ilişkin 5. maddenin 1. fıkrasının (ğ) bendinde yapılan değişiklik ile yukarıda belirtilen İmha Yönetmeliği’nde yapılan değişikliğe paralel olarak, azami süre kavramı azami saklama süresi olarak değiştirilerek açıklığa kavuşturulmuştur.
  • Sicilde yer alan güncel bilgilerin kamuya açıklamasına ilişkin 7. maddenin 1. fıkrasının (a) bendinde yapılan değişiklik doğrultusunda artık irtibat kişisinin bilgileri kamuya açıklanmayacaktır.
  • İrtibat kişisini bildirme yükümlülüğü “Türkiye’de yerleşik olan tüzel kişiler” için geçerliyken, Sicil Yönetmeliği’nin 11. maddesinin 4. fıkrasında yapılan değişiklik ile bu yükümlülük, Türkiye’de yerleşik olan veri sorumluları ve Türkiye’de yerleşik olmayan veri sorumluları adına veri sorumlusu temsilcileri için getirilmiştir. Ayrıca irtibat kişisinin ilgili kişi başvurularının cevaplandırılması konusunda iletişim sağlayacağına ilişkin hüküm Sicil Yönetmeliği’nden çıkarılmıştır.
  • Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülüklerine ilişkin 11. maddenin 5. fıkrasında yapılan değişiklik ile kamu kurum ve kuruluşlarında irtibat kişisini belirleyecek üst düzey yönetici tanımı açıklığa kavuşturulmuş ve irtibat kişisinin koordinasyonu sağlayacak üst düzey yönetici tarafından belirleneceği belirtilmiştir.
  • Sicil Yönetmeliği’nin 13. maddesinde yapılan değişiklik ile sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişikliklerin, değişikliğin meydana geldiği tarihten itibaren 7 (yedi) gün içerisinde Kuruma bildireceği düzenlenmiştir. Bu değişiklikten önce, söz konusu sürenin hangi tarihte başlayacağı belirsiz bırakılmıştı; ancak yapılan değişiklikle birlikte 7 (yedi) günlük sürenin değişikliğin meydana geldiği tarihten itibaren başlayacağı açıklığa kavuşturulmuştur.
  • Sicil Yönetmeliği’nin sicile kayıttan istisna tutulmaya ilişkin 16. maddesine yapılan eklemeyle mevzuat Kurul kararları ile uyumlu hale getirilmiş ve “yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi” 2Kurul’un, sicile kayıttan muaf tutma kriterlerinden biri halini almıştır.
3. Aydınlatma Tebliği’nde Yapılan Değişiklikler
  • Aydınlatma Tebliği’nin 3. maddesinin 1. fıkrasının (f) bendinde yer alan “veri kayıt sistemi” tanımı değiştirilmiştir. Yapılan değişiklikle, veri kayıt sisteminin tanımı KVKK ile uyumlu hale getirilmiş, belirsizliğe yol açan “ortam” ibaresi kaldırılarak “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” olarak değiştirilmiştir.
  • Yapılan değişiklikle birlikte 5. maddenin 1. fıkrasının aşağıdaki (c) bendi yürürlükten kaldırılmıştır:

    “Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.”

    Bu hükmün kaldırılmasıyla, şirketlerin her bir birim özelinde yerine getirmek ile mükellef olduğu aydınlatma yükümlülüğü ortadan kalkmış olup, bu değişiklik ile bir kişi işleyeceği tüm verilere ilişkin aydınlatma yükümlülüğünü tek seferde yerine getirebilecektir.
4. Kişisel Veri İşleme Envanteri Hazırlama Rehberi

Yayınlanan Rehber’de, sicile kayıt yükümlülüğü olan veri sorumlularının aşağıdaki bilgileri içeren Kişisel Veri İşleme Envanteri hazırlamakla yükümlü olduğu belirtilmiştir:

  • Kişisel verileri işleme faaliyetleri,
  • Kişisel veri işleme amaçları ve hukuki sebebi,
  • Veri kategorisi,
  • Kişisel verilerin aktarıldığı alıcı grubu,
  • Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza etme süresi,
  • Yabancı ülkelere aktarımı yapılan kişisel veriler,
  • Veri güvenliğine ilişkin alınan idari ve teknik tedbirler.

Ayrıca Rehber’de, kişisel veri işleme envanteri ile Veri Sorumluları Sicil Bilgi Sistemi’nin (“VERBİS”) birbirinden farklı kavramlar olduğu belirtilmiş olup, kişisel veri işleme envanterinin VERBİS’e kayıt esnasında kullanılan bir kaynak olduğu belirtilmiştir.

Herhangi bir sorunuz olması halinde bizimle iletişime geçebilirsiniz