DRAFT REGULATION REGARDING DATA CONTROLLERS REGISTRY

The Draft Regulation regarding Data Controllers Registry (“Draft Regulation”) which will be kept pursuant to article 16 of Personal Data Protection Code dated 24.03.2016 and numbered 6698, has been published on 05.05.2017.

With this Draft Regulation, the principles regarding the formation, management and supervision of Data Registry Information System (VERBÎS) have been specified. Accordingly, data controllers must register with Data Controllers Registry (“Registry”) before processing of personal data. The transactions which the data controllers will make with the Registry shall be performed via VERBÎS.

The Board of Protection of Personal Data (“Board”) has the right to designate the context of the principle of public access and its exceptions. The supervision of the Registry is performed by the Board.

As per article 7/2 of Draft Regulation, below information recorded within the Registry shall be available to public:

–         The identity of the data controller and if any, its representative,

–         The purposes for which personal data will be processed,

–         The group or groups of persons subject to the data and explanations regarding data categories belonging to these persons,

–         Recipient or groups of recipients to whom personal data may be transferred,

–         Personal data which is envisaged to be transferred abroad,

–         The registration date and the termination date of the validity of the registration.

The Directorate of the Authority of Protection of Personal Data shall not disclose the information and documents having the nature of trade secret which are acquired from data controllers to any real or legal person, except for the requests of authorized institutions and organizations.

As per article 8 of Draft Regulation, data controllers must fulfil their obligation to register with the Registry before processing the personal data. The data controllers who are not obliged to be registered but afterwards became an obligor to be registered, shall be registered with the Registry within 30 days after they become an obligor. The data controllers who cannot complete the registration within the above-mentioned period can demand, for once, additional time from the Board.

According to article 9 of Draft Regulation, the application of registration includes the below information:

–         The information included in the application form to be designated by the Board within the scope of the identity and address of the data controller and if any, its representative,

–         The purposes for which personal data will be processed,

–         The group or groups of persons subject to the data and explanations regarding data categories belonging to these persons,

–         Recipient or groups of recipients to whom personal data may be transferred,

–         Personal data which is envisaged to be transferred abroad,

–         Measures taken as per the criteria to be designated by the Board,

–         The maximum period of time necessitated by the purposes for which personal data is processed.

The legal persons resident in Turkey shall fulfil their data controller obligations through the body which is authorized to represent and bind the legal person. For the legal persons who are not resident in Turkey, the data controller representative has been introduced by article 11 of the Draft Regulation. The authorization of the representative is limited with making correspondences with Board and the Authority of Protection of Personal Data, sending the applications and answering the same, and performing transactions related to VERBÎS.

As per article 13 of Draft Regulation, the data controllers shall be obliged to pay registration fee to the Registry for the first registration and also for each year during the term which they are registered within the Registry. The registration fee shall be announced by the Board each year.

Pursuant to article 16 of the Draft Regulation, the data controller does not have the obligation to register with and notify the Registry for the below-mentioned personal data process activities:

–         Processing of personal data is necessary for prevention of crime or investigation of a crime,

–         Processing of personal data revealed to the public by the data subject herself/himself,

         Processing of personal data is necessary for the performance of supervision or regulatory duties, or disciplinary investigation or prosecution by assigned and authorized public institutions and organizations and professional organizations with public institution status,

         Processing of personal data is necessary for the protection of economic and financial interests of the state related to budget, tax, and financial matters.

To the ones who do not fulfil obligation to register and notification with the Registry, an administrative fine of 20.000 Turkish liras to 1.000.000 Turkish liras shall be imposed.

The Draft Regulation is summarized as above and detailed informiation will be given by our side after the Regulation will be entered into force.

Hope the abovementioned information is helpful and please contact info@gurlaw.com in case of further assistance and any questions you may have.


VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK TASLAĞI

24.03.2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesinde yer alan hüküm uyarınca tutulacak Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı (“Taslak Yönetmelik”) 05.05.2017’de yayınlanmıştır.

Bu Taslak Yönetmelik ile Veri Sicil Bilgi Sistemi (VERBİS)’nin oluşturulması, idaresi ve gözetimi hususunda ilkeler belirlenmiştir. Buna göre, veri sorumluları, kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline (“Sicil”) kaydolmak zorundadır. Veri sorumlularının Sicille yapacakları işlemler VERBİS üzerinden gerçekleştirilir.

Kişisel Verileri Koruma Kurulu (“Kurul”) kamuya açıklık ilkesinin kapsamını ve istisnalarını belirleme hakkına sahiptir. Sicil’in gözetimi Kurul tarafından gerçekleştirilir.

Taslak Yönetmeliğin 7.maddesinin 2.fıkrası uyarınca, Sicilde yer alan bilgilerden aşağıda yer alanlar kamuoyuna açıklanır:

–         Veri sorumlusunun ve varsa temsilcisinin adı ve adresi,

–         Kişisel verilerin hangi amaçlarla işlenebileceği,

–         Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,

–         Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,

–         Yabancı ülkelere aktarımı öngörülen kişisel veriler,

–         Sicile kayıt tarihi ile kaydın geçerliliğinin sona erdiği tarih.

Kişisel Verileri Koruma Kurumu Başkanlığı, veri sorumlularından elde ettiği ticari sır niteliğindeki bilgi ve belgeleri hukuken yetkili kurum ve kuruluşların talepleri dışında, hiçbir gerçek veya tüzel kişi ile paylaşmaz.

Taslak Yönetmeliğin 8.maddesine göre, Veri sorumluları kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır. Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip 30 gün içinde Sicil’e kaydolurlar. Süresi içinde kaydını tamamlayamayacak olanlar ise Kurul’dan bir defalık ek süre talep edebilir.

Taslak Yönetmeliğin 9.maddesine göre, Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:

–         Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri kapsamında; Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,

–         Kişisel verilerin hangi amaçla işleneceği,

–         Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

–         Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

–         Yabancı ülkelere aktarımı öngörülen kişisel veriler,

–         Kurul tarafından belirlenen kriterlere göre alınan tedbirler,

–         Kişisel verilen işlendikleri amaç için gerekli olan azami süre.

Türkiye’de yerleşik olan tüzel kişiler veri sorumlusu yükümlülüklerini, tüzel kişiliği temsil ve ilzama yetkili organ marifetiyle yerine getirir. Türkiye’de yerleşik olmayan veri sorumluları için ise Taslak Yönetmeliğin 11.maddesi ile, Veri sorumlusu temsilcisi kavramı da hayatımıza girmiştir. Temsilcinin yetkisi Kişisel Verileri Korum Kurulu ve Kurumu ile yazışmalar, sorumluya yapılacak başvuruların iletilmesi ve cevaplarının verilmesi, VERBİS’e ilişkin işlemleri yapmayla sınırlıdır.

Taslak Yönetmeliğin 13.maddesi uyarınca veri sorumluları, Sicile ilk kayıt sırasında ve Sicilde kayıtlı olarak kaldığı sürece her yıl sicil ücreti ödemekle yükümlüdür. Sicil ücreti her yıl Kurulca ilan edilir.

Taslak Yönetmeliğin 16.maddesi uyarınca, aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur:

–         Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

–         İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

–         Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

–         Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanır.

Taslak yukarıda tarafımızca özetlenmeye çalışılmış olup Yönetmeliğin yürürlüğe girmesi akabinde tarafımızdan detaylı bilgi verilecektir.

Yukarıdaki açıklamaların yararlı olduğunu umarız, daha fazla destek ve sorularınız için bizimle info@gurlaw.com ile iletişime geçebilirsiniz.