Kişisel Verileri Koruma Mevzuatında Güncel Değişiklikler: 17 Mayıs ve 28 Nisan Tarihli Yönetmelik Değişikliklerinin Değerlendirilmesi

I. Giriş

Kişisel Verilerin Koruma Kurumu, 28 Ekim 2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te ve 30 Aralık 2017 tarihli Veri Sorumluları Sicili Hakkında Yönetmelik’te değişiklik yoluna gitmiş ve bu değişikliklere ilişkin yönetmelikler 28 Nisan 2019 tarihli ve 30758 sayılı Resmi Gazete’de yayınlanmıştır. Kişisel veri koruma mevzuatındaki ikinci gelişme ise 17 Mayıs 2019 tarihli ve 30777 sayılı Resmi Gazete’de yayınlanmıştır. Burada Kurum tarafından Kişisel Verileri Koruma Kurumu Disiplin Amirleri Yönetmeliği getirilmiş ve Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik’te ise değişiklik yoluna gidilmiştir.

Bu yazımda söz konusu değişikliklerin neleri ifade ettiğini ve uygulamada ne gibi kolaylıklar veya zorluklar getireceğini ele alacağım.

II. Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik

6698 Sayılı Kişisel Verileri Koruma Kanunu’nun 3. maddesinin 1. fıkrasının (b) bendinde “anonim hale getirme” kavramı tanımlanmış ve 7. maddesinde “kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” düzenlenmiştir. 7. maddenin 3. fıkrasında ise kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esasların yönetmelikle düzenleneceği belirtilmiştir. Ayrıca Yasanın 22. maddesinin 1. fıkrasının (e) bendinde de Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapma görev ve yetkisinde olduğu düzenlenmiştir. Bunun üzerine “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik”, 30224 sayılı ve 28.10.2017 tarihli Resmi Gazete’de yayınlanmış ve 1 Ocak 2018 tarihi itibariyle de yürürlüğe girmiştir.[1]

6698 sayılı Kanunun yürürlüğe girmesiyle beraber uygulamada en çok zorlanılan ve tartışılan konular biri kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi olmuştur. Bunun üzerine söz konusu Yönetmeliğin çıkarılmasıyla akıldaki soru işaretleri bir nebze giderilse de konu üzerindeki tartışmalar yoğun bir şekilde devam etmekteydi.

Yayınlanan Yönetmelik’te Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e ait üç maddede değişiklik yapılmıştır. Değişiklik yapılan maddeler; Yönetmeliğin 4., 7., ve 12. maddeleridir. Bu değişiklikler ayrıntılarıyla aşağıda anlatılacaktır:

A. 4. Maddede Yapılan Değişiklik

Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in “Tanımlar” başlıklı 4. maddesinin 1. fıkrasının (e) bendinde kişisel veri işleme envanteri tanımlanmıştır. Bu maddeye göre kişisel veri envanteri; “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter”dir.

Yayınlanan Yönetmelik’te ise kişisel veri işleme envanteri: “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” olarak tanımlanmıştır.

İki tanım arasındaki farklara baktığımızda yeni yönetmelikte kişisel veri envanteri oluşturulurken “hukuki sebeple” de ilişkilendirmenin gerektiğini ve “gerekli olan azami süre” ibaresi yerine “gerekli olan azami muhafaza edilme süresi” ibaresinin getirildiğini görüyoruz.

Buradan, yayınlanan yönetmelikte her ne kadar değişikliğe gidilmiş olsa da söz konusu tanımdan çok uzaklaşılmamış olup sadece yanlış anlamalara yol açabilecek hususlarda düzeltme ve detaylandırma yoluna gidildiği kanaatimdeyim. Kaldı ki tanımda gerekli olan azami süre ibaresinin “muhafaza” süresi olarak düzenlenmiş olması da bunun en büyük göstergesidir.

B. 7. Maddede Yapılan Değişiklik

Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7. maddesinin 4. fıkrasında silme, yok etme ve anonimleştirme işlemlerinde yöntem düzenlenmiştir. Maddenin eski hali “Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.” şeklinde düzenlenmiştir. Bu maddeden anlaşılması gereken veri sorumlusunun kurul tarafından aksine bir karar alınmadıkça veri sahibinin talebi üzerine veya resen işlediği kişisel verilere ilişkin silme, yok etme veya anonimleştirme yöntemlerinden hangisini kullandığını belirtmesi ve kullandığı yöntemi veri saklama ve imha politikası ile belirlediği politikalarda açıklaması gerektiğidir.

Yapılan değişiklikle madde “Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.” şeklinde düzenlenmiş olup sadece dil bilgisi kuralları anlamında bir değişiklik yapılarak “veya” ibaresi eklenmiştir. Böylelikle veri sorumlusunun duruma göre her üç imha etme yöntemini de uygulayabileceği ancak bunu nasıl olacağını açıklaması gerektiği karışıklığa yol açmayacak şekilde açıklanmak istenmiştir.

C. 12. Maddede Yapılan Değişiklik

Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in “Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri” başlıklı 12. maddesinin 1. fıkrası;

“İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.”  şeklinde düzenlenmiştir. Maddenin girişine baktığımızda maddenin Kanunun 13. maddesine dayandırıldığını görmekteyiz. 13. maddede, “Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir” hükmüne yer verilmiştir. Maddeden de anlaşıldığı üzere ilgili kişinin silme, yok etme veya anonimleştirme talebinde bulunması halinde süreleri belirmede kurul da yetkilidir.

Yapılan değişiklikle maddede yer alan “13. maddesine istinaden” ibaresi “11. ve 13. maddelerine istinaden” şeklinde düzenlenmiştir. Böylelikle süreler hakkında ilgili kişinin talebi halinde sadece 13. maddeye değil “Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri” başlıklı 11. maddeye de atıfta bulunulmuştur. Kanunun 11. maddesinde verileri silme, yok etme veya anonimleştirme işlemleri sürekli gerçekleştirileceği ve ciddi bir zaman ve emek gerektireceğinden periyodik bir sürece bağlanmıştır. Buna göre veri sorumlularının veri saklama ve imha politikasında belirtmesi gereken periyodik imha süresi altı ayı geçemeyecektir. 12. maddede yapılan değişiklikle ilgili kişinin silme, yok etme veya anonimleştirme talebi olması durumunda veri sorumlusunun 30 günlük talebi karşılama süresine ek olarak periyodik imha süresinin dikkate alınması gerektiği vurgulanmıştır.

III. Veri Sorumluları Sicili Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik

6698 Sayılı Kişisel Verileri Koruma Kanunu’nun 16. maddesinin 2. fıkrasında “VERBİS” olarak adlandırılan Veri Sorumluları Sicili’ne kayıt yaptırma yükümlülüğü düzenlenmiştir. Maddenin 5. fıkrasında ise veri sorumluları siciline ilişkin düğer usul ve esasların yönetmelikle düzenleneceği belirtilmiştir. Bunun üzerine “Veri Sorumluları Sicili Hakkında Yönetmelik”, 30 Aralık 2017 tarihinde 30286 sayılı Resmi Gazete’de yayınlanmış ve 1 Ocak 2018 tarihi itibariyle de yürürlüğe girmiştir[2].

Yayınlanan yönetmelikte Veri Sorumluları Sicili Hakkında Yönetmelik’e ait 6 maddede değişiklik yapılmıştır. Değişiklik yapılan maddeler; Yönetmeliğin 4., 5., 7., 11., 13., ve 16. maddeleridir. Bu değişiklikler ayrıntılarıyla aşağıda anlatılacaktır:

A. 4. Maddede Yapılan Değişiklik

Veri Sorumluları Sicili Hakkın Yönetmelik’in “Tanımlar” başlıklı 4. maddesinin 1. fıkrasının (ç), (h) ve (p) bentleri değiştirilmiştir. Birinci fıkranın (ç) bendinde irtibat kişisinin tanımı yapılmıştır. Yönetmelikte yapılan tanıma göre “İrtibat kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişiyi,” ifade etmektedir. Söz konusu değişiklikle (ç) bendi “İrtibat kişisi: Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi,” şeklinde düzenlenmiştir. Değişikliğe bakıldığında yönetmeliğin ilk halinde irtibat kişisinin sadece tüzel kişiliklerde yer alabileceği şeklinde bir algı oluşturulduğu ancak değiştirilen haliyle tüzel kişilere ek olarak veri sorumlularının gerçek kişiler de olabileceği belirtilmiştir. Kanaatime göre maddenin bu şekilde düzenlenmesi daha önce atlanan bir hususun düzeltilmesini sağlamıştır.

Aynı maddede yapılan bir diğer değişiklik ise 1. fıkranın (h) bendinde yapılmıştır. Bu bentte kişisel veri işleme envanteri tanımlanmış olup Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in Tanımlar başlıklı 4. maddesinin 1. fıkrasının (e) bendinde yapılan değişikliğe paralel bir değişiklik yapılmıştır.

Maddede yapılan son değişiklik (p) bendinde yer alan veri sorumlusu temsilcisinin tanımında yapılmıştır. Yönetmeliğin ilk halinde bu tanım “Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını bu Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi, ifade eder.” şeklinde yapılmıştır. Her ne kadar bu kavrama 6698 sayılı Kanun’da yer verilse de tanımı ilk kez bu yönetmelikte yer almıştır. Yönetmeliğe ilişkin yayınlanan değişikliklere bakıldığında maddenin “Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını bu Yönetmeliğin 11 inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi,” şeklinde değiştirildiği görülmektedir. 11. maddenin 2. fıkrasında veri sorumlusu temsilcisinin atanmasına ilişkin kararın tasdikli örneğinin Kuruma sunulması gerektiği belirtilmiştir. Maddenin üçüncü fıkrasında ise veri sorumlusu temsilcisinin görevleri ve temsile yetkili olduğu konular düzenlenmiştir. Yönetmelik’te maddede yapılan atıfta bariz bir hata yapıldığı ve değişiklikle bunun düzeltildiği açıkça görülmektedir.

B. 5. Maddede Yapılan Değişiklik

Veri Sorumluları Sicili Hakkında Yönetmeliği’n 5. Maddesinin 1. Fıkrasında yer alan (ç) ve (ğ) bentlerinde değişiklik yapılmıştır. Maddenin (ç) bendi “Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.” şeklinde düzenlenerek sicile kayıt başvurusunda açıklanacak bilgilerin kişisel veri envanteri ile uyumlu olması gerektiği belirtilerek kişisel veri envanterinin önemi vurgulanmıştır. Yayınlanan yönetmelikte (ç) bendi “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.”  şeklinde değiştirilmiş olup öncelikle envanter hazırlama yükümlülüğün olduğunu belirterek maddenin yanlış yorumlanmasına engel olunmuştur.

Maddenin (ğ) bendinde ise yine Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 4. maddesinde yapılan değişiklikle paralel bir değişiklik yapılarak “gerekli olan azami süre” yerine “gerekli olan azami muhafaza edilme süresi” ibaresi getirilmiştir. Bu değişiklikle maddenin yanlış yorumlanmasının önüne geçilmek istenmiş ve gereken sürenin saklama (muhafaza etme) süresi olduğu vurgulanmıştır.

C. 7. Maddede Yapılan Değişiklik

Yönetmeliğin 7. maddesi sicile erişimi düzenlemiş olup maddenin 2. fıkrasında veri sorumluları sicilinde yer alan bilgilerin kamuya açıklanması gerektiği vurgulanmıştır. İkinci fıkranın (a) bendinde “Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisinin adı, adresi ve alınmış olması halinde KEP adresi,” nin kamuya açıklanması gerektiği belirtilmiştir. Yapılan değişiklikle fıkra “Veri sorumlusu, varsa veri sorumlusu temsilcisi, adresi ve alınmış olması halinde KEP adresi,” şeklinde değiştirilerek “irtibat kişisinin adı” ibaresi fıkradan çıkarılmıştır.

Kanaatimce irtibat kişisinin kişisel verilerinin doğrudan kamuyla paylaşılmasının yönetmelikle bir zorunluluk olarak düzenlenmiş olması 6698 sayılı Kanun çerçevesinde yapılan düzenlemelerin ve oluşturulmaya çalışılan veri koruma kültürü ile çelişen bir durumdu. Dolayısıyla yapılan değişiklik kişisel verileri koruma hukukunun felsefesiyle uyumlu olmuştur.

D. 11. Maddede Yapılan Değişiklik

Yönetmeliğin 11. maddesinde veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri düzenlenmiştir. Maddenin 4. fıkrasında “Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar.” denilmiştir. Fıkra “Türkiye’de yerleşik olan veri sorumluları ile Türkiye’de yerleşik olmayan veri sorumluları adına veri sorumlusu temsilcileri, Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir.” şeklinde değiştirilerek kimin irtibat kişisi bilgilerini sicile işleyeceği hususu netleştirilmiştir.

Aynı zamanda veri sorumlularının sadece tüzel kişiler olmayacağı da sadece tüzel kişiler ifadesi kullanılmadığından bir kez daha vurgulanmıştır. Ayrıca maddeden “İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar” ibaresi çıkarılmıştır. Bu hususun çıkarılması da kanaatime göre yerinde olmuştur. Nitekim irtibat kişinin bu yükümlülüğü maddenin 2. fıkrasında zaten belirtilmiştir, tekrar edilmesinin lüzumu bulunmamaktadır.

Aynı maddenin 5. fıkrasında ise kamu kurum ve kuruluşlarında irtibat kişisinin kim olduğu belirtilmiştir. Maddeye göre “Kamu kurum ve kuruluşlarında irtibat kişisi, üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.” Değişiklikle birlikte bu fıkra “Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.” şeklinde düzenlenmiştir. Fıkrada yapılan değişiklikle irtibat kişisini kimin atayacağı hususu netleştirilmiştir.

E. 13. Maddede Yapılan Değişiklik

Yönetmeliğin 13. maddesi kayıt bilgilerinde yapılacak değişiklikleri düzenlemektedir. Maddeye göre veri sorumluları, sicile kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri 7 gün içerisinde Kuruma bildirmelidirler. Madde metnin de bu husus tam olarak şu şekilde düzenlenmiştir: “Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kuruma bildirir.” Maddenin bu haliyle Kuruma hangi yedi gün içerisinde bildirimde bulunulması gerektiği hususu net değildir.

28 Nisan 2019 tarihinde yapılan değişiklikle bu madde “Veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.” şeklinde düzenlenerek bildirimin ne zaman yapılması gerektiği konusu netleştirilmiştir. Bu değişikliğe göre veri sorumlusu kayıtlarda oluşan değişiklikleri değişikliğin meydana gelmesinden itibaren yedi gün içerisinde Kuruma bildirmekle yükümlüdür.

F. 16. Maddede Yapılan Değişiklik

Yönetmeliğe ilişkin yapılan son değişiklik ise Yönetmeliğin 16. maddesinde yer alan istisna kriterlerine ilişkindir. Bu maddede kesin olarak uygulanacak istisna hallerinin yanı sıra Kurul’un maddede belirtilen şartları göz önünde bulundurmak şartıyla kayıt yükümlülüğüne istisna getirebilme yetkisinin olduğu belirtilmiştir. Yayınlanan değişiklikle istisna kriterlerine bir yenisi daha eklenmiştir. Bu eklenen bende göre “Veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi.” de Kurul’un istisna getirebilme şartlarından birisi olmuştur. Bu değişiklikle “Sicile Kayıt Yükümlülüğünün Başlama Tarihleri” ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/88 Sayılı Kararı’nda yer alan Verbis’e kayıt olma yükümlülüğü bulunan veri sorumlularının kriterleriyle paralel bir düzenleme oluşturulmuştur. Karara göre Verbis’e “Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları” kayıt olmak zorundadır. Maddeye eklenen fıkrada da çalışan sayısı ve yıllık mali bilanço toplamı bilgisi kriterlere arasına eklenmiş ve verilen kararlarla yönetmelikte yer alan madde uyumlu hale getirilmiştir.

IV. 17 Mayıs 2019 Tarihli Değişiklikler

17 Mayıs 2019 tarihli ve 30777 sayılı Resmi Gazete ile Kişisel Verileri Koruma Kurumu Disiplin Amirleri Yönetmeliği getirilmiş ve Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik’te ise değişiklik yoluna gidilmiştir.

Disiplin Amirleri Yönetmeliği, Kurumun iç işleyişine ilişkin denetleyici düzenlemeler getirmekte olup yedi hüküm ve bir ekten oluşmaktadır. Yönetmelik ile Kurum personelinin disiplin ve üst disiplin amirleri belirlenmektedir. Başkan yardımcısı, başkanlık müşaviri, özel kalem müdürü ve doğrudan kurum başkanına bağlı daire başkanlarının disiplin amiri olarak kurum başkanı ilgili disiplin amiri olarak belirlenmiştir. Öte yandan diğer daire başkanının disiplin amiri başkan yardımcısı ve üst disiplin amiri kurum başkanı olacak iken, dairelerde görevli personellerin disiplin amiri ilgili daire başkanı olarak kararlaştırılmıştır.

Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik’te değişiklik getiren yönetmelik ile ise değişiklik yapılan yönetmeliğin, “Kurulun beş üyesi Türkiye Büyük Millet Meclisi, iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu tarafından seçilir.” şeklinde olan hükmü, Cumhurbaşkanlığı sistemine uygun hale getirilmiştir. Bakanlar Kurulunun söz konusu yetkisi ilgili makamın görev ve yetkilerini yürüten Cumhurbaşkanlığı makamına tanınmış ve hüküm, “Kurulun beş üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaşkanı tarafından seçilir.” şeklinde değiştirilmiştir. Değişiklik ile ayrıca “İkinci Başkanın da bulunmadığı hallerde, Başkan tarafından belirlenen bir üye Başkana vekalet eder.” hükmü, 5. maddeye eklenerek; başkan ve ikinci başkanın bulunmadığı hallerde, belirlenecek bir üyenin başkana vekâlet edeceği düzenlenmektedir. Böylelikle işleyişin aksamaması sağlanmaya çalışılmıştır.

V. Sonuç

Kişisel Verilerin Korunması Kurulu tarafından yapılan ve 28 Nisan 2019 tarihli ve 30758 sayılı Resmi Gazete ile 17 Mayıs 2019 tarihli ve 30777 sayılı Resmi Gazete’de yayımlanan yönetmelik değişikliklerinin değerlendirilmesi sonucu varılan sonuçlar şu şekilde sıralanabilir:

- Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 4. maddesinin 1. fıkrasının (e) bendinde yapılan değişiklikle kişisel veri envanteri tanımı yeniden düzenlenmiş ve envanterin hukuki sebeplere de dayanması gerektiği ve gerekli olan sürenin saklama süresi olduğu belirtilmiştir.

- Aynı yönetmeliğin 7. maddesinin 4. fıkrasında yapılan değişiklikle yönetmelikte yer alan ve karışıklıklara sebep olabilecek dil bilgisi hatası düzeltilerek “veya” ibaresi eklenmiştir.

- Yine yönetmeliğin 12. maddesinde yapılan değişiklikle ilgili kişinin talebi üzerine silme, yok etme veya anonimleştirme işlemlerinde sadece 13. maddeye değil 11. maddeye de dayanılması gerektiği belirtilmiştir.

- Veri Sorumluları Sicili Hakkında Yönetmelik’in 4. maddesinin birinci fıkrasının (ç) bendinde yer alan irtibat kişisi tanımı düzenlenerek gerçek kişi veri sorumlularının var olabileceği konusu netleştirilerek, veri sorumlularının sadece tüzel kişilerden mi oluşacağı soru işareti ortadan kaldırılmıştır.

- 4. maddenin birinci fıkrasının (h) bendinde ise yine kişisel veri envanteri tanımlanmış olup Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 4. maddesinin birinci fıkrasının (e) bendinde yapılan değişikliğin aynısı karışıklığa sebep olmamak adına yazılmıştır.

- 4. maddenin birinci fıkrasının (p) bendinde ise yapılan bir hata düzeltilerek 11. maddenin ikinci fıkrası yerine üçüncü fıkrasına atıf yapılmıştır.

- Yönetmeliğin 5. maddesinin birinci fıkrasının (ç) bendine yeni bir cümle eklenerek öncelikle envanter hazırlama yükümlülüğün olduğunu belirterek maddenin yanlış yorumlanmasına engel olunmuştur.

- Yine 5. maddenin birinci fıkrasının (ğ) bendinde fıkraya “gerekli olan azami muhafaza edilme süresi” ibaresi getirilerek maddenin yanlış yorumlanmasının önüne geçilmek istenmiş ve gereken sürenin saklama (muhafaza etme) süresi olduğu vurgulanmıştır.

- 7. maddenin ikinci fıkrasının (a) bendinden irtibat kişisinin adının kamuya açıklanması hususu çıkarılarak 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun amacına uygun bir düzenleme yapılmıştır.

- Yönetmeliğin 11. maddesinin 4. fıkrasında yine veri sorumlularının sadece tüzel kişiler olmayacağını gösterir nitelikte bir değişiklik yoluna gidilmiş ve fıkradan 2. fıkrada zaten belirtilmiş olan irtibat kişisinin yükümlülüklerine ilişkin ibare çıkarılmıştır.

- 11. maddenin 5. fıkrasında ise kamu kurum ve kuruluşlarında irtibat kişisini kimin belirleyeceği hususu netleştirilmiştir.

- Yönetmeliğin 13. maddesinde Verbis kayıtlarında meydana gelen değişikliklerin değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde Verbis üzerinden Kuruma bildirilmesi gerektiği belirtilmiştir. Burada değişikliğin bildirilmesi süresindeki belirsizlik netleştirilmiştir.

- Veri Sorumluları Sicili Hakkında Yönetmelik’in 16. maddesinde yer alan sicile kayıt istisna kriterlerine bir yenisi daha eklenerek sicile kayıt yaptırmak zorunda olma durumuyla paralel bir kriter daha getirilmiştir.

- Kişisel Verileri Koruma Kurumu Disiplin Amirleri Yönetmeliği getirilerek, kurum iç denetiminde ilgili disiplin ve üst disiplin amirleri belirlenmiştir.

- Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik ile kurul üyelerini, yeni sistemde bulunmayan Bakanlar Kurulu’nun iki üye seçme yetkisi, onun görev ve yetkilerini haiz Cumhurbaşkanı tarafından kullanılacağı hükme bağlanmıştır.

- Son olarak aynı yönetmelikle, başkan ve ikinci başkanın bulunmadığı hallerde başkan tarafından belirlenen bir üyenin başkana vekâlet edeceğine ilişkin düzenleme getirilmiştir.

Doç. Dr. Murat Volkan Dülger*

(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)

---------------------

*   Akademisyen/Avukat.

[1]  Yönetmeliğe ilişkin değerlendirmem için bkz. Murat Volkan Dülger, “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği’n Getirdikleri ve Yönetmelikte Dikkat Edilmesi Gereken Hususlar”, (Çevrimiçi) https://www.academia.edu/34991223/K%C4%B0%C5%9E%C4%B0SEL_VER%C4%B0LER%C4%B0N_S%C4%B0L%C4%B0NMES%C4%B0_YOK_ED%C4%B0LMES%C4%B0_VEYA_ANON%C4%B0M_HALE_GET%C4%B0R%C4%B0LMES%C4%B0_HAKKINDA_Y%C3%96NETMEL%C4%B0K%C4%B0N_GET%C4%B0RD%C4%B0KLER%C4%B0_VE_D%C4%B0KKAT_ED%C4%B0LMES%C4%B0_GEREKEN_HUSUSLAR (18 Mayıs 2019).

[2]  Yönetmeliğe ilişkin değerlendirmem için bkz. Murat Volkan Dülger, “Veri Sorumluları Sicili Hakkında Yönetmeliği’n Getirdikleri ve Yönetmelikte Dikkat Edilmesi Gereken Hususlar”, (Çevrimiçi) https://www.academia.edu/35552517/VER%C4%B0_SORUMLULARI_S%C4%B0C%C4%B0L%C4%B0_HAKKINDA_Y%C3%96NETMEL%C4%B0K%C4%B0N_GET%C4%B0RD%C4%B0KLER%C4%B0_VE_Y%C3%96NETMEL%C4%B0KTE_D%C4%B0KKAT_ED%C4%B0LMES%C4%B0_GEREKEN_HUSUSLAR (18 Mayıs 2019).