Sicile Kayıt Yükümlülüğü

5.3.1. Kayıt Yükümlülüğünün Başlangıcı

Yönetmeliğin “Kayıt yükümlülüğünün başlangıcı” başlıklı 8. maddesi uyarınca; “veri sorumlularının, kişisel veri işleme faaliyetine başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorunda oldukları” düzenlenmiştir. Ancak başta kayıt yükümlülüğü altında olmayan ve sonradan Sicile kayıt yükümlüsü haline gelen veri sorumlularının, yükümlülük altına girmelerini takip eden otuz gün içerisinde Sicile kaydolmaları gerekmektedir (Yönetmelik, m. 8/2).

Yönetmeliğin 8. maddesinin üçüncü fıkrasında kayıt yükümlülüğü altında bulunan veri sorumlularına Kurum tarafından bir ek süre verilebileceği düzenlenmiştir. Buna göre veri sorumluları; “herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle Sicile kayıt yükümlülüğünün yerine getirilememesi halinde, bu imkânsızlığın ortaya çıkmasından itibaren en geç yedi iş günü içerisinde Kuruma yazılı olarak başvurup gerekçesini belirterek kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Bu durumda Kurum tarafından başvuru incelenerek, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere veri sorumlusuna ek süre verebilir.”

5.3.2. Kayıt Yükümlülüğü Kapsamında İletilecek Bilgiler

Yönetmeliğin “Kayıt yükümlülüğü kapsamında iletilecek bilgiler” başlıklı 9. maddesinde veri sorumlusu tarafından yapılacak Sicile kayıt başvurusunda hangi bilgilerin bulunması gerektiği düzenlenmiştir. Buna göre Sicile yapılacak başvuruda aşağıdaki bilgilerin bulunması gereklidir:

i. “Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,

145

iii. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

iv. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

v. Yabancı ülkelere aktarımı öngörülen kişisel veriler,

vi. Kanunun 12. maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,

vii. Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.”

Bu düzenleme, Sicile kayıt başvurusunda bulunması gereken bilgilerin sayıldığı Kanunun 16. maddesinin üçüncü fıkrasındaki düzenlemeyle birkaç küçük farklılık dışında oldukça benzerdir.

Kayıt yükümlülüğü kapsamında iletilecek bilgilerin düzenlendiği Yönetmeliğin 9. maddesinin dördüncü fıkrasında “Sicile açıklanacak kişisel verilerin mevzuatta belirtilen ya da işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgilerin de kişisel veri kategorileri ile eşleştirilerek Sicile bildirilmesi gerektiği” düzenlenmiştir. Buna göre kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken aşağıdaki hususlara dikkat edilmesi gerekmektedir;

i. “İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre

ii. İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre

iii. İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre

iv. İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre

v. Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı

146

vi. Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre

vii. Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi”

Veri sorumlularına yol gösterici olacak bu düzenlemeyle çeşitli verilerin muhafaza sürelerine ilişkin kanunlarda genellikle bilgi bulunmamasının neden olduğu belirsizliği ortadan kaldırmaya yardımcı olacak kriterler belirlenmiştir. Ek olarak Yönetmeliğin m. 9/5 hükmü uyarınca veri sorumlularının, kişisel verilerin azami muhafaza edilme sürelerinin kişisel veri işleme envanterinde yazılı bilgilerle uyumlu olup olmadığını ve azami sürenin aşılıp aşılmadığını takip edebilmeleri için kişisel verileri saklama ile imha politikası hazırlamaları ve bu politikaların uygulanmasını temin etmeleri gerekmektedir. Bu hüküm uyarınca Sicile kayıt yükümlülüğü bulunan veri sorumlularının kişisel veri saklama ile imha politikaları hazırlamak yükümlülüğü olduğu anlaşılmaktadır.

5.3.3. Kayıt Başvurusu

Yönetmeliğin 10. maddesi uyarınca; Yönetmeliğin 9. maddesinde sayılan ve bir önceki başlık altında listelediğimiz Sicile yapılacak başvuruda bulunması gereken bilgilerin Veri Sorumluları Sicil Bilgi Sistemi’ne diğer adıyla VERBİS’e yüklenmesi ile birlikte veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmiş sayılacağı düzenlenmiştir.

5.3.4. Veri Sorumlusu, Veri Sorumlusu Temsilcisi ve İrtibat Kişisinin Yükümlülükleri

Sicile kayıt yükümlülüğünün kim tarafından, nasıl yerine getirileceği ve bu yükümlülük kapsamındaki hukuki sorumluluğun kimin üzerinde olduğuna ilişkin olarak Yönetmeliğin 11. maddesinde birtakım önemli düzenlemeler yapılmıştır. Yönetmeliğin m. 11/1 hükmü uyarınca; “Tüzel kişilerde veri sorumlusu tüzel

kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil

147

ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir.” denilerek bu soruların önemli bir kısmına cevap getirilmiştir. Bu

düzenlemeler ışığında örneğin bir anonim şirket için şirketi temsil ve ilzama yetkili organ olan Yönetim Kurulu yükümlülük altında olacakken, limited şirketler için ise müdür veya müdürler kurulu yükümlülük altında olacaktır.

Aynı fıkranın devamında tüzel kişiliği temsile yetkili organın, Kanunun kapsamındaki yükümlülüklerini yerine getirirken bir veya birden fazla kişiyi görevlendirebileceği, ancak bu durumda dahi Kanundan kaynaklanan sorumluluklarının ortadan kalkmadığı düzenlenmiştir. Yani örneğin bir anonim şirketin Yönetim Kurulu aldığı bir Yönetim Kurulu kararı ile Kanundan kaynaklı yükümlülüklerin yerine getirilmesi için belirli çalışanları yetkilendirebilecektir, ancak bu yetkilendirmeye rağmen Kanundan kaynaklı sorumluluk, yetkilendirilen kişilerde değil bu örnek kapsamında anonim şirketin Yönetim Kurulunda kendini gösterecektir.

5.3.4.1. Türkiye’de Yerleşik Olmayan Veri Sorumluları Açısından Veri Sorumlusu Temsilcisi Belirleme Yükümlülüğü

Veri sorumlusunun Türkiye’de yerleşik olmaması (merkezinin Türkiye dışında olması) durumunda, veri sorumlusu tarafından bir veri sorumlusu temsilcisi atanması gerekmektedir. Veri sorumlusu temsilcisi, veri sorumlusunun yetkili organı tarafından alınacak bir atama kararıyla belirlenecektir. Bu atama kararının tasdikli bir örneği, Sicile yapılacak kayıt başvurusu esnasında veri sorumlusu temsilcisi tarafından Kuruma ibraz edilecektir. Yönetmeliğin 11. maddesinin üçüncü fıkrası uyarınca veri sorumlusunun yetkili organı tarafından alınan atama kararında, veri sorumlusu temsilcisine asgari olarak aşağıda sayılı olan yetkilerin verilmesi gerekmektedir:

i. “Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme,

ii. Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme,

148

iii. Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanunun 13. maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,

iv. Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13. maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme,

v. Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma.”

Bu yetkilerin veri sorumlusu temsilcisine verilme amacının Kurum ile veri sorumlusu arasındaki iletişimin sağlıklı şekilde, kesintisiz bir biçimde sürdürülmesi ve Kanunun uygulanmasının temin edilmesi olduğu söylenebilir.

5.3.4.2. Türkiye’de Yerleşik Tüzel Kişi Veri Sorumlularının İrtibat Kişisi Atama Yükümlülüğü

Türkiye’de yerleşik tüzel kişi sıfatını haiz veri sorumluları, Sicile kayıt esnasında Sicile işlemek üzere bir irtibat kişisi belirlemek zorundadır. Veri sorumlusu tarafından belirlenen bu irtibat kişisinin bilgileri Sicile işlenir. Burada önem arz eden husus, irtibat kişisinin Kanun ve Yönetmelik hükümlerine göre veri sorumlusunu temsile yetkili olmadığıdır (Yönetmelik, m. 11/4). İrtibat kişisinin temel görevi, ilgili kişilerin veri sorumlusuna ileteceği taleplerin cevaplandırılması konusunda iletişim sağlamasıdır. Bu düzenlemeyle irtibat kişisinin aynı zamanda veri sorumlusu olmadığı, Kanundan kaynaklı yükümlülüklerin veri sorumlusu üzerinde olduğu, irtibat kişisinin Kanun ve Yönetmelik hükümlerine göre veri sorumlusunu temsile etmediğinin altı çizilmiştir.

Yönetmeliğin 11. maddesinin beşinci uyarınca; “Kamu kurum ve

kuruluşlarında irtibat kişisi, üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.” şeklinde bir düzenleme yapılarak irtibat kişisi olarak atanabilecek

149

5.3.5. Kurum ile İletişimin Sağlanması, Kayıt Bilgilerinde Değişiklikler ve Sicil Kaydının Silinmesi

Yönetmeliğin “İletişimin sağlanması” başlıklı 12. maddesi uyarınca; “Kanunun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla kurulacak iletişimin hangi kanallar aracılığıyla yapılacağı düzenlenmiştir. Buna göre Kurum; Türkiye’de yerleşik gerçek veya tüzel kişiler için, Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden ilgili gerçek veya tüzel kişi vasıtasıyla” iletişime geçileceği düzenlenmiştir. Türkiye’de yerleşik olmayan veri sorumluları ile Kurumun kuracağı iletişim, veri sorumlusunun Sicile bildirdiği temsilcisi üzerinden sağlanacaktır.

Yönetmeliğin “Kayıt bilgilerinde değişiklikler” başlıklı 13. maddesi uyarınca; Sicile kaydedilen bilgilerde herhangi bir değişiklik olması durumunda oluşan bu değişikliklerin, VERBİS portalı üzerinden yedi gün içinde Kuruma bildirilmesi gerekmektedir.

Yönetmeliğin “Sicil kaydının silinmesi” başlıklı 14. maddesi uyarınca; Sicil kaydının silinmesinin gerekmesi durumunda veri sorumlusunun bu konuyla ilgili olarak VERBİS üzerinden Kuruma başvurması gerekmektedir. Bu kapsamda veri sorumlusu bünyesinde Sicile kayıt yükümlüğünü gerektiren faaliyetlerin sona ermesi ya da ortadan kalkması durumunda, veri sorumlusunun Sicildeki kaydı silinecektir (Yönetmelik, m. 14/2). Sicildeki bulunan bu kayıtlara, istenildiğinde erişilebilir olmakla birlikte kayıtların üzerinde herhangi bir değişiklik yapılamayacak şekilde tutulacaktır. Son olarak Yönetmeliğin m. 14. maddesinin üçüncü fıkrası uyarınca Sicil kaydının silinmesi halinin, veri sorumlusunun Sicile kayıtlı olduğu dönemdeki yükümlülüklerini ortadan kaldırmayacaktır.

5.4. Sicile Kayıt Yükümlülüğünün Kapsamı ve İstisnaları