Madde 16

Şeffaflık ilkesi kişisel verilerin korunması hukukunun temel esaslarından birini teşkil etmektedir. Veri işleme faaliyetinin hukuki dayanağı, amacı ve bu süreçte kullanılan araçların herkes için anlaşılır kılınması, ilgili tüm taraflara işlemlerin hukuka uygunluğunu bizzat denetleme imkânı tanımaktadır. KVKK md. 16/2/c.1 uyarınca kişisel veri işleyen gerçek ve tüzel kişiler, işleme faaliyetine başlamadan evvel Veri Sorumluları Siciline kayıt yaptırmakla mükelleftir. Aynı maddenin ilk fıkrası çerçevesinde sicilin kamuya açıklık ilkesine uygun olarak tutulması öngörülmektedir.

Sicile kayıt usulüne ilişkin temel ilkeler, 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede neşredilen Veri Sorumluları Sicili Hakkında Yönetmelik md. 5 ile belirlenmiştir. Bu ilkeler sicilin tesisi, idaresi ve gözetimi bakımından belirleyici nitelik taşımaktadır.

Veri sorumluları ancak Sicile kaydolduktan sonra veri işleme faaliyetine başlayabilmektedir. Bu husus KVKK md. 16/2/c.1 ve Yönetmelik md. 8/1 hükümlerinde sarahaten vurgulanmaktadır. Bu çerçevede maddi ve şekli hukuka uygunluk şeklinde bir ayrım yapmak isabetli olacaktır. Kanun ikinci bölümde kişisel verilerin işlenmesi başlığı altında hukuka uygun işleme şartlarını, yani maddi hukuka uygunluk sebeplerini düzenlemektedir. Md. 16'da getirilen kayıt yükümlülüğü ise şekli hukuka uygunluk şartı olarak telakki edilmelidir.

Sicile kayıt yükümlülüğünün istisnaları hem Kanunda hem de Yönetmelikte öngörülmüştür. Bununla birlikte kayıt yükümlülüğünden muaf tutulan veri sorumlusunun maddi hukuka uygunluk şartlarından da muaf olacağını iddia etmek mümkün değildir. Dolayısıyla Kurulun kayıt yükümlülüğüne istisna getirmesi, veri sorumlularını kişisel verilerin korunmasına ilişkin diğer mükellefiyetlerinden kurtarmamaktadır.

Veri sorumlusunun merkezinin Türkiye'de bulunmaması halinde bu kişilerin öncelikle bir veri sorumlusu temsilcisi tayin etmeleri gerekmektedir. Yönetmelik md. 4/1/p uyarınca veri sorumlusu temsilcisi, Türkiye'de yerleşik olmayan veri sorumlularını temsile yetkili olup Türkiye'de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişi olarak tanımlanmaktadır.

Temsilcinin yetkileri şu şekilde belirlenmiştir: Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme, Kurumca yöneltilen talepleri veri sorumlusuna iletme, ilgili kişilerin başvurularını veri sorumlusu adına alma ve cevapları iletme ile Sicile ilişkin iş ve işlemleri ifa etme.

Yönetmelik md. 5/1/c hükmü, KVKK md. 16/1'e muvafık şekilde Veri Sorumluları Sicilinin kamuya açık olduğunu tasrih etmektedir. Kamuya açıklık ilkesi Kurula arz edilen her türlü bilgiyi kapsamamakta olup hangi bilgilerin kamuya açık tutulacağı, hangilerinin ifşa edilmeyeceği hususunda Kurula takdir yetkisi tanınmaktadır.

Sicilde kayıtlı bilgilere herkesin erişebilmesi, veri işleme faaliyetinin hukuka uygunluğu konusunda genel bir denetim imkânı sağlamaktadır. Bu suretle bir yandan ilgili kişiler, diğer yandan yetkili merci olarak Kurul veri işleme faaliyetlerini gözetim altına alabilecek; bu denetim ihtimalini nazara alan veri sorumluları da mükellefiyetlerini daha itinalı yerine getirmeye sevk edilecektir.

Yönetmelik md. 4/1/h uyarınca kişisel veri işleme envanteri, veri sorumlularının iş süreçleri çerçevesinde gerçekleştirdikleri veri işleme faaliyetlerini işleme amaçları, veri kategorileri, aktarılan alıcı grupları ve veri konusu kişi gruplarıyla irtibatlandırarak oluşturdukları detaylı kayıt olarak tanımlanmaktadır.

Envanterde yer alan bilgiler, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmesinde, ilgili kişinin başvurularının cevaplanmasında ve alınacak açık rızanın kapsamının belirlenmesinde esas teşkil etmektedir. Envanterde sunulan bilgilerin kapsamı işlenen verilerin mahiyet ve kapsamına göre genişletilebilmekte olup Yönetmelikte öngörülen başlıklar asgari düzeyi ifade etmektedir.

Envanterin ne denli detaylandırılması gerektiği hususunda ölçülülük ilkesine göre bir değerlendirme yapmak isabetli olacaktır. İşlenen verilerin niteliği ve kapsamı ile ilgili kişilerin özellikleri, envanterin daha detaylı ya da daha genel tutulmasını gerektirebilecektir.

Yönetmelik md. 9 kapsamında kayıt yükümlülüğü çerçevesinde Sicile bildirilmesi gereken hususlar şu şekilde belirlenmiştir: veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin işlenme amaçları, veri konusu kişi grupları ve bunlara ait veri kategorilerine ilişkin açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen veriler, veri güvenliğine ilişkin alınan tedbirler ve verilerin işlenme amacı için gerekli olan azami muhafaza süresi.

Amaç belirlemesinde fazla genel ve soyut açıklamalar yeterli addedilmemelidir. Bilhassa işlenecek kişisel verinin mahiyeti ve kapsamı kişi hakkında önemli ve mahrem bilgilerin edinilmesine imkan tanıyorsa, amaca ilişkin açıklamanın daha detaylı tutulması gerekmektedir. Her halükarda yalnızca işletme konusunun veya faaliyet alanının belirtilmesi yeterli olmayacaktır.

Uygulamada sıkça rastlanan durumlardan biri, veri sorumlularının kişisel verileri süre sınırı olmaksızın veya bu anlama gelebilecek şekilde yıllar boyu muhafaza etmesidir. Oysa bu verilerin bu denli uzun süre saklanmasını meşru kılacak bir gerekçe her zaman mevcut olmayabilmektedir. Yönetmelik md. 9/4, azami sürenin tayininde dikkate alınması gereken kriterleri şu şekilde belirlemiştir: ilgili veri kategorisinin işlenme amacı ve veri sorumlusunun faaliyet gösterdiği sektördeki genel teamül çerçevesinde gereken süre, veri kategorisinin işlenmesini gerektiren hukuki ilişkinin devam edeceği süre, veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre ve veri sorumlusunun hukuki yükümlülüğü gereği verileri saklamakla mükellef olduğu süre.

KVKK md. 16/2 ve Yönetmelik md. 16, Kurula Sicile kayıt yükümlülüğünden muafiyet kararı verme yetkisi tanımaktadır. Bu düzenleme uygulamada büyük önem arz etmektedir. Veresiye defteri tutan mahalle bakkalının dahi kişisel veri işlediği gözetildiğinde, Kurulun makul kriterler çerçevesinde istisnalar öngörmesi bir yandan hukuk güvenliğini tesis edecek, diğer yandan Kanunun uygulanabilirliğini ve toplumun Kanuna duyduğu güveni artıracaktır.

Kurulun 2018/32, 2018/68 ve 2018/87 sayılı kararları uyarınca şu kategorilerdeki veri sorumluları VERBİS'e kayıt yükümlülüğünden muaf tutulmuştur: herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla veri işleyenler; noterler; faaliyet alanlarıyla sınırlı ve yalnızca kendi çalışanlarına yönelik veri işleyen dernekler, vakıflar ve sendikalar; siyasi partiler; avukatlar; gümrük müşavirleri; arabulucular; serbest muhasebeci mali müşavirler ve yeminli mali müşavirler; yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 100 milyon TL'den az olup ana faaliyet konusu özel nitelikli veri işleme olmayan veri sorumluları; ana faaliyet konusu özel nitelikli veri işleme olup yıllık çalışan sayısı 10'dan az ve yıllık mali bilanço toplamı 10 milyon TL'den az olan veri sorumluları.

Sicile kayıt yükümlülüğü bulunan veri sorumluları, bu yükümlülüğün başlamasından itibaren otuz gün içinde Sicile kayıt yaptırmak zorundadır. Bu süre, hak düşürücü nitelikte olmayıp idari yaptırım uygulanması bakımından önem taşımaktadır.

Kayıt yükümlülüğünün başlangıç anı, Kurulun belirlediği tarihe göre tayin edilmektedir. Yeni kurulan işletmeler bakımından ise faaliyete başlama anı esas alınmaktadır.

Sürenin hesaplanmasında genel hükümler uygulanmakta olup tatil günleri süreye dahil edilmektedir. Ancak sürenin son gününün tatile denk gelmesi halinde, tatili izleyen ilk iş günü sürenin sonu sayılmaktadır.

Sicile kayıt yükümlülüğü bulunan veri sorumluları, Sicile kaydolmadan veri işleyememektedir. Bu yasak, kayıt mekanizmasının etkinliğini güvence altına almayı amaçlamaktadır.

Yasağın ihlali halinde veri işleme faaliyeti hukuka aykırı addedilecek olup idari yaptırım uygulanması gündeme gelmektedir. Ayrıca ilgili kişilerin bu durumda zarara uğraması halinde tazminat talep etme hakları saklıdır.

Ancak Kurulun istisna tanıdığı veri sorumluları bu yasağa tabi bulunmamaktadır. İstisna kapsamındaki veri sorumluları, kayıt yaptırmaksızın veri işleme faaliyetlerini sürdürebilmektedir.

Sicile kayıtta bildirilmesi gereken hususlar Kanunda tahdidi olarak sayılmıştır. Bu kapsamda veri sorumlusu ile temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği ve veri konusu kişi grubu ile veri kategorileri hakkında açıklamalar yer almaktadır.

Ayrıca kişisel verilerin aktarılabileceği alıcı ve alıcı grupları, yabancı ülkelere aktarımı öngörülen veriler ve veri güvenliğine ilişkin alınan tedbirler de bildirime tabidir. Son olarak verilerin işlendikleri amaç için gerekli olan azami süre de beyan edilmektedir.

Bu bilgilerin doğru ve güncel tutulması veri sorumlusunun yükümlülüğündedir. Bilgilerde değişiklik olması halinde güncelleme yapılması gerekmekte olup yanıltıcı beyanlar idari yaptırıma konu edilebilmektedir.

GDPR sisteminde merkezi bir veri sorumluları sicili bulunmamaktadır. Bunun yerine her veri sorumlusu kendi bünyesinde veri işleme faaliyetlerine ilişkin kayıtlar tutmak durumundadır. Bu kayıt tutma yükümlülüğü GDPR md. 30 kapsamında düzenlenmektedir.

KVKK modeli, merkezi ve kamuya açık bir sicil sistemi öngörerek şeffaflığı ön plana çıkarmaktadır. GDPR yaklaşımı ise dağınık bir kayıt sistemini benimsemekte ve denetim otoritesinin talep etmesi halinde bu kayıtların ibraz edilmesini yeterli görmektedir.

Her iki sistemde de amaç hesap verebilirlik ilkesinin hayata geçirilmesidir. Türk modeli kamuoyunun erişimine açık olmak bakımından, GDPR modeli ise esneklik açısından avantajlar sunmaktadır.