Kişisel Verileri Koruma Kurulu’nun ("Kurul") 02.04.2018 tarihli, 2018/32 sayılı Kararı (“Karar”) 15.05.2018 tarihli Resmi Gazete'de yayımlandı.
Karar, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesinin 2. Fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmelik’in 16. Maddesi uyarınca Veri Sorumluları Siciline kayıt yükümlülüğüne getirilecek istisnalara ilişkindir.
Bu bahisle Kurum’un istisna olarak belirlediği, sicile kayıt yükümlülüğünden muaf tutulacak kişiler aşağıdaki gibidir:
Kişisel Verilerin Korunması Kanunu
Veri Sorumluları Sicili
MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri
b) Kişisel verilerin hangi amaçla işleneceği
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler
e) Kişisel veri güvenliğine ilişkin alınan tedbirler
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre
(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.
Veri Sorumluları Sicili Hakkında Yönetmelik
İstisna kriterleri
MADDE 16 – (1) Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne istisna getirebilir:
a) Kişisel verinin niteliği.
b) Kişisel verinin sayısı.
c) Kişisel verinin işlenme amacı.
ç) Kişisel verinin işlendiği faaliyet alanı.
d) Kişisel verinin üçüncü kişilere aktarılma durumu.
e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.
f) Kişisel verilerin muhafaza edilmesi süresi.
g) Veri konusu kişi grubu veya veri kategorileri
(2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak kamuya duyurur.