Taslağı geçtiğimiz aylarda kamuoyunun görüşüne sunulan Veri Sorumluları Sicili Hakkında Yönetmelik ("Sicil Yönetmeliği") 30 Aralık 2017'de Resmi Gazete'de yayımlanarak 1 Ocak 2018 tarihi itibariyle yürürlüğe girmiştir. 

Sicil Yönetmeliği, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen tüm gerçek veya tüzel kişileri (veri sorumlularını) ilgilendirmekte ve 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun ("Kanun") kapsamında öngörülen şekilde veri sorumluları sicilinin ("Sicil") kurulmasına ve gerçek ve tüzel kişilerin Sicil'e kayıt olma yükümlülüklerine ilişkin usul ve esasları düzenlemektedir. Kanun'da, Sicil'e kayıt yükümlülüğüne aykırı hareket edenler hakkında 20.000 ila 1.000.000 Türk Lirası idari para cezası öngörüldüğünden Sicil Yönetmeliği'nin anlaşılması ve gereklerinin yerine getirilmesi büyük önem arz etmektedir.

A. Sicile Kayıt Yükümlülüğü

Sicil Yönetmeliği uyarınca, veri sorumluları, kişisel veri işlemeye başlamadan önce, Kişisel Verileri Koruma Kurumu ("Kurum") Başkanlığı tarafından oluşturulacak, idare edilecek ve Kişisel Verileri Koruma Kurulu ("Kurul") tarafından gözetimi yapılacak olan Sicil'e kaydolmakla yükümlüdürler. Kayıt yükümlülüğü, Sicil Yönetmeliği'nde sayılan bilgilerin veri sorumluları sicil bilgi sistemine ("VERBİS") yüklenmesi ile yerine getirilmiş olacaktır. Bu bilgiler, (i) veri sorumlusu, temsilcisi ve irtibat kişisine ait bilgileri, (ii) kişisel verileri işleme amacını, (iii) veri konusu kişi grupları ve veri kategorilerini, (iv) verilerin aktarılabileceği alıcı veya alıcı grupları, (v) yabancı ülkelere aktarılabilecek kişisel verileri, (vi) kişisel verilen korunmasına ilişkin alınmış olunan tedbirleri ve (vii) kişisel verilerin azami muhafaza süresini içermektedir. 

Şu anki durumda, Kanun'da da sayılmış olan ve kişisel veri işlemenin suçun önlenmesi ve soruşturulmasıyla ilgili olması veya ilgili kişi tarafından alenileştirilmiş olması gibi dar kapsamlı birkaç istisnai hal dışında, Sicil'e olma kayıt yükümlülüğü, kişisel veri işleyen tüm gerçek ve tüzel kişiler için mevcut gözükmektedir. Ancak, Sicil Yönetmeliği, Kurul'a; kişisel verilerin niteliğini, sayısını, işlenme amacını, işlendiği faaliyet alanını, üçüncü kişilere aktarılma durumunu, muhafaza edilme süresini, veri konusu kişi grubunu veya veri kategorilerini göz önüne alarak Sicil'e kayıt yükümlülüğüne istisna getirme yetkisi tanımıştır. Kurum'un internet sayfasından yapılan duyuruda da, VERBİS hizmete açılmadan önce Kurul tarafından bu istisnalara ilişkin bir karar alınarak gerekli belirlemenin yapılacağı belirtilmiştir. 

Yine Kurum'un duyurmuş olduğu üzere, an itibariyle VERBİS hizmete alınmamış ve Sicil'e kayıt yükümlülüğüne tabi gerçek ve tüzel kişilerin kapsamı netleşmemiş olduğundan, Sicil Yönetmeliği yürürlüğe girmiş olsa da, Sicil'e kaydolma yükümlülüğü henüz başlamamıştır. Bu yükümlülüğün başlayacağı tarih de Kurum tarafından ayrıca ilan edilecektir. Ancak özellikle sık ve yoğun şekilde kişisel veri işleyen kişiler bakımından, Kurul'un duyurusunu beklemeksizin gerekli hazırlıklara şimdiden başlanması önem taşımaktadır. 

B. Veri Sorumlusu ve Temsilcisi 

Sicil Yönetmeliği'nde de hatırlatıldığı üzere, tüzel kişilerde veri sorumlusu tüzel kişinin kendisidir.

Türkiye'de yerleşik ve özel hukuka tabi tüzel kişilerin (örneğin şirketlerin) veri sorumluluğundan kaynaklanan yükümlülükleri, temsile yetkili organlar (örneğin yönetim kurulları veya müdürler) veya bunların görevlendireceği bir veya birden fazla kişi tarafından yerine getirilecektir. Bu kapsamda, bir sermaye şirketinde genel yetkili temsilciler dışında kişi veya kişilere bu görev verilecekse, iç yönergede buna ilişkin düzenlemeye gidilmesi yerinde olacaktır.

Bunun yanı sıra, Türkiye'de yerleşik tüzel kişilerin, Sicil'e kayıt sırasında bir irtibat kişisi belirlemeleri gerekmektedir. İrtibat kişisi tüzel kişiyi temsile yetkili olmayacak, yalnızca kişisel veri sahiplerinin tüzel kişiye yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlayacaktır. 

Türkiye'de yerleşik olmayan veri sorumlularının ise Türkiye'de yerleşik bir temsilci ataması ve buna ilişkin kararın tasdikli bir örneğini, kayıt başvurusu sırasında Kurum'a sunması gerekmektedir. Anılan karar; (i) Kurum'la yapılacak yazışmaları veri sorumlusu adına tebellüğ veya kabulüne ilişkin yetkiyi, (ii) ilgili kişilerin veri sorumlusuna başvurularını almaya ve iletmeye ilişkin yetkiyi, (iii) Kurum tarafından yapılacak talepleri almaya ve veri sorumlusunun cevaplarını iletmeye ilişkin yetkiyi, ve (iv) veri sorumlusu adına işlemleri Sicil nezdinde gerçekleştirmeye ilişkin yetkiyi içermelidir.

Veri sorumlusuyla iletişim (i) Türkiye'de yerleşik gerçek ve tüzel kişiler için Sicil'e bildirilen kimlik, adres veya KEP adresi üzerinden, (ii) Türkiye'de yerleşik olmayan veri sorumluları içinse Sicil'e bildirilen veri sorumlusu temsilcisi vasıtasıyla yerine getirilir.

C. Kişisel Veri Saklama ve İmha Politikası 

Hatırlatmak isteriz ki, Sicil Yönetmeliği'nin yürürlüğe girdiği tarih olan 1 Ocak 2018, kişisel verilerin silme, yok etme veya anonim hale getirme yöntemleri ile imha edilmesine ve kişisel veri saklama ve imha politikası hazırlanmasına ilişkin usul ve esasları düzenleyen Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'in ("İmha Yönetmeliği") de yürürlük tarihidir. İmha Yönetmeliği'nde belirtildiği üzere, Sicil'e kayıt yükümlülüğüne tabi veri sorumluları, aynı zamanda kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Bu nedenle hangi veri sorumlularının bu yükümlülüğe tabi olacağı, Kurul'un Sicil'e kayıt yükümlülüğüne getireceği istisnaya bağlı olacaktır.

Sicil Yönetmeliği'nde düzenlenmiş olup kişisel veri saklama ve imha politikası bakımından önem arz eden bir konu da, kişisel verilerin azami muhafaza sürelerinin belirlenmesinde göz önünde bulundurulacak kriterlerdir. Buna göre, Sicil'e kaydolma ve kişisel veri saklama ve imha politikası hazırlama yükümlülüğüne tabi olsun veya olmasın tüm veri sorumluları, kişisel verilerin muhafaza edileceği süreleri belirlerken, (i) sektörde genel teamül gereği kabul edilen süreyi, (ii) ilgili hukuki ilişkinin devam edeceği süreyi, (iii) veri işleme ile elde edilecek meşru menfaatin geçerli olacağı süreyi, (iv) veriyi saklamanın yaratacağı risk, maliyet ve sorumlulukların devam edeceği süreyi, (v) sürenin verinin doğru ve güncel tutulmasına elverişli olup olmadığını, (vi) veri saklamaya ilişkin hukuki yükümlülükleri ve (vii) kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresini göz önünde bulundurmalıdır.