Av. Muhittin Ertuğrul ERTÜRK yazdı:
28.04.2019 tarih ve 30758 Sayılı Resmi Gazetede “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik” ve “Veri Sorumluları Sicili Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik” de değişiklikler yapılmıştır. Değişiklik yapılan metinler aşağıda gösterilmiştir. Ayrıca aynı sayıda “Kişisel Veri İşleme Envanteri Hazırlama Rehberi” yayımlanmıştır.
Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (e) bendi aşağıdaki şekilde değiştirilmiştir.
“e) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,”
Aynı Yönetmeliğin 7’nci maddesinin dördüncü fıkrası aşağıdaki şekilde değiştirilmiştir.
“(4) Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.”
Veri Sorumluları Sicili Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik
Veri Sorumluları Sicili Hakkında Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (ç), (h) ve (p) bentleri aşağıdaki şekilde değiştirilmiştir.
“ç) İrtibat kişisi: Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi,”
“h) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,”
“p) Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını bu Yönetmeliğin 11’inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi,”
Aynı Yönetmeliğin 5’inci maddesinin birinci fıkrasının (ç) ve (ğ) bentleri aşağıdaki şekilde değiştirilmiştir.
“ç) Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.”
“ğ) Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi; Kanunun 7’ nci maddesinde belirtilen veri sorumlularının silme, yok etme veya anonim hale getirme yükümlülüklerinin yerine getirilmesinde esas alınır.”
Aynı Yönetmeliğin 7’nci maddesinin ikinci fıkrasının (a) bendi aşağıdaki şekilde değiştirilmiştir.
“a) Veri sorumlusu, varsa veri sorumlusu temsilcisi, adresi ve alınmış olması halinde KEP adresi,”
Aynı Yönetmeliğin 11’inci maddesinin dördüncü ve beşinci fıkraları aşağıdaki şekilde değiştirilmiştir.
“(4) Türkiye’de yerleşik olan veri sorumluları ile Türkiye’de yerleşik olmayan veri sorumluları adına veri sorumlusu temsilcileri, Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir.
(5) Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.”
Aynı Yönetmeliğin 13 üncü maddesi aşağıdaki şekilde değiştirilmiştir.
“Veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.”
Aynı Yönetmeliğin 16’ncı maddesinin birinci fıkrasına aşağıdaki bent eklenmiştir.
“ğ) Veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi.”
Ayrıca “Veri Sorumluları Sicili Hakkında Yönetmelik” ve “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ile içeriği güncellenen kişisel veri işleme envanteri hazırlanırken veri sorumlularının faydalanabilmesi amacıyla 28.04.2019 tarihinde Kurul’un internet sitesinde “Kişisel Veri İşleme Envanteri Hazırlama Rehberi” yayımlanmıştır. Envanterde veri sorumlusunun tüm iş süreçlerinde yer alan tüm faaliyetleri bazında elde ettiği belge, doküman, veri kümesi, kayıtlar gibi kişisel veri içeren tüm fiziksel veya elektronik ortamlarda işlenen kişisel verilerin her biri için ayrı ayrı olmak üzere hangi amaç ve hukuki gerekçelerle işlendiği, aktarım olup olmadığı, aktarım yapılan üçüncü taraflar, saklama süreleri, veri konusu kişi grupları ve alınan güvenlik tedbirleri bilgisini içeren ve çok daha detaylı olarak hazırlanan bir rapor olması gerekirken, VERBİS’te “veri kategorileri” bazında veri sorumlusu tarafından kişisel veri işlenip işlenmediği ve işleniyorsa bu veri kategorilerinin hangi amaçlarla işlendiği, aktarım olup olmadığı, aktarım yapılan alıcı grupları, varsa saklama süresi, ilgili kişiler ve alınan güvenlik tedbirleri konusunda bilgi girişi yapılması gerekmektedir. Envanter, veri sorumlusunun kendi bünyesinde kalacak olup kamuya açık olmayacaktır. Ancak, Kurul tarafından talep edilmesi halinde Envanterin Kurul’a ibraz edilmesi gerekecektir. Envanterin şekli açısından herhangi bir yönlendirme yapılmamıştır. Envanter, office veya Excel dosyası şeklinde veya veri tabanında ilgili dosyalarda tutulabilecektir.
