Open menu
02Mayıs2019

Kişisel Verileri Koruma Kurumu Tarafından Yeni Düzenlemeler Açıklandı

Kişisel Verileri Koruma Kurumu Tarafından Yeni Düzenlemeler Açıklandı

28 Nisan 2019 tarihli ve 30758 sayılı Resmî Gazete’ de kişisel verilerin korunması hukuku mevzuatıyla doğrudan ilgili bazı tadil metinleri yayımlanmıştır. Söz konusu değişiklikler kişisel verilerin silinmesi/yok edilmesi/anonim hale getirilmesi, VERBİS ve Aydınlatma Yükümlülüğü ile ilgili mevzuatlarda yapılmış olup değişiklik yapılan mevzuatlar sırasıyla şu şekildedir:

  • Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
  • Veri Sorumluları Sicili Hakkında Yönetmelik
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ

Yukarıda sayılı mevzuatlarda yapılan değişiklikler ile işbu değişikliklere yönelik yorumlarımız şu şekildedir:

1. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Madde No.

Metnin Eski Hali

Metnin Yeni Hali

Md. 4/1

e) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.

e) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.

Md. 7/4

Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.

Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.

Md. 12

İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

İlgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

Yukarıdaki tabloda, ilgili Yönetmelik’te yapılan değişiklik ve eklemeler “metnin yeni hali” sütununda altı çizili olarak belirtilmiştir. Yönetmelik’in 4.maddesinde yapılan değişiklikten, kişisel veri işleme envanteri hazırlanırken bundan böyle, veri işlemenin hukuki sebebi ve işlenen verinin azami muhafaza süresinin de veri envanteri içerisinde yer alması gerektiği sonucu çıkmaktadır. Mevzuat değişikliklerinin getirildiği aynı gün 28 Nisan 2019’da Kişisel Verileri Koruma Kurumu’nun web-sitesinde “Kişisel Veri Envanteri Hazırlama Rehberi” ile “Kişisel Veri İşleme Envanteri Örneği” de yayımlanmıştır. Bilindiği üzere Kişisel Verileri Koruma Kanunu’na (“Kanun”) uyum sürecinde veri sorumlularının hazırlaması gereken kişisel veri işleme envanteri ile ilgili detayları içeren Rehber ve Örnek Envantere buradan ulaşabilirsiniz.

Yönetmelikte yapılan bir diğer değişiklik ise, Kanun’un “ilgili kişinin hakları” başlıklı 11.maddesinin Yönetmelik’in 12.maddesi kapsamına dahil edilmesiyle mevzuatlar arasında birlik sağlanmasından ibarettir. Zira, Kanun’un 11.maddesinde de ilgili kişinin veri sorumlusuna başvurarak kişisel verilerin silinmesini veya yok edilmesini isteme hakkı düzenlenmiştir.

2. Veri Sorumluları Sicili Hakkında Yönetmelik

Madde No.

Metnin Eski Hali

Metnin Yeni Hali

Md. 4/1 (ç)

İrtibat kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişiyi ifade eder.

İrtibat kişisi: Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi ifade eder.

Md. 4/1 (h)

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.

Md. 4/1 (p)

Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını bu Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade eder.

Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını bu Yönetmeliğin 11 inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade eder.

Md. 5/1 (ç)

Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.

Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.

Md. 5/1 (ğ)

Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel verilerin işlendikleri amaç için gerekli olan azami süre; Kanunun 7 nci maddesinde belirtilen veri sorumlularının silme, yok etme veya anonim hale getirme yükümlülüklerinin yerine getirilmesinde esas alınır.

Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi; Kanunun 7 nci maddesinde belirtilen veri sorumlularının silme, yok etme veya anonim hale getirme yükümlülüklerinin yerine getirilmesinde esas alınır.

Md. 7/2 (a)

Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisinin adı, adresi ve alınmış olması halinde KEP adresi,

Veri sorumlusu, varsa veri sorumlusu temsilcisi, adresi ve alınmış olması halinde KEP adresi,

Md. 11/4

Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar.

Türkiye’de yerleşik olan veri sorumluları ile Türkiye’de yerleşik olmayan veri sorumluları adına veri sorumlusu temsilcileri, Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir.

Md. 11/5

Kamu kurum ve kuruluşlarında irtibat kişisi, üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.

Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.

Md. 13/1

Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kuruma bildirir.

Veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.

Md. 16 (ğ)

-

Veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi.

İlgili Yönetmelik’te yapılan değişiklikler arasında önem teşkil eden m. 5/1(ç) düzenlemesi ile sicile kayıt olmakla yükümlü tutulan veri sorumlularının kişisel veri işleme envanteri hazırlamalarının zorunlu olduğu belirtilmiştir. Sicile (VERBİS) kayıt olmakla yükümlü tutulan veri sorumlularının kayıt sürelerine ilişkin önceden hazırlamış olduğumuz makalemize buradan ulaşabilirsiniz.

Yönetmelik’in 16.maddesine eklenen ğ bendi ile ise, “veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi” göz önünde bulundurularak Kişisel Verilerin Korunması Kurul’unun sicile kayıt yükümlülüğüne istisna getirebileceği düzenlenmiştir. Yapılan bu düzenleme ile Yönetmelik ve Kurum’un yayımladığı Sicile kayıt istisnaları arasında birlik sağlanmıştır. Kurum tarafından duyurulan VERBİS’e kaydolmaktan istisna tutulan veri sorumlularına buradan ulaşabilirsiniz.

3. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ

Madde No.

Metnin Eski Hali

Metnin Yeni Hali

Md. 3/1 (f)

Veri kayıt sistemi: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder.

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

Md. 3/1 (ğ)

Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı Resmî Gazete’de yayınlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade eder.

Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11 inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade eder.

Md. 5/1 (c)

Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.

Mülga

İlgili Yönetmelik’in 3/1 (f) maddesinde veri kayıt sisteminin tanımında yapılan değişiklik ile ilgili sair kişisel verilerin korunması mevzuatında yer alan “veri kayıt sistemi” tanımı ile birlik sağlanmıştır. 5/1(c) maddesinin mülga edilmesi neticesinde, örneğin: bir veri sorumlusu tüzel kişinin, kişisel veri işleyen her bir iş departmanı için ayrı ayrı aydınlatma yükümlülüğünü yerine getirmesi zorunluluğu kaldırılmış olup uygulamaya yönelik kolaylık sağlanmıştır.

Yazar CottGroup Hukuk ve Mevzuat Ekibi, Kategori Kişisel Verilerin Korunması Mevzuatı

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

    CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

    Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

    CottGroup® üye şirketlerine ulaşmak için tıklayınız.

About The Author

/en/legislation/item/new-regulations-have-been-announced-by-the-protection-of-personal-data-institution

Diğer Mevzuatlar