Mevzuat: 6698 Sayılı Kanun
Özet:
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yürürlüğe giren Veri Sorumluları Hakkında Yönetmelik gereği "Veri Sorumluları Sicil Bilgi Sistemine (VERBİS)” istisna kapsamına girmeyenler için kayıt yükümlülüğü başlamış bulunmaktadır.
Kayıt yükümlülüğünden istisna tutulacak veri sorumlularını belirleyen 2018/32 sayılı Kurul Kararı 15/05/2018 tarihli Resmi Gazetede, 2018/68, 2018/75 ve 2018/87 sayılı Kurul Kararları ise 18/08/2018 tarihli Resmi Gazetede yayımlanmıştır.
Bahsi geçen Kurul Kararlarında belirtilen istisnaların dışında kalanların VERBİS'e kayıt olmaları zorunludur. Bu istisna kapsamında olanların ise Sirkülerde belirtildiğini ifade etmek isteriz.
İlgili Kanun ve yönetmelik hükümlerinde; VERBİS'e kayıt yükümlülüğünün yerine getirilmemesi halinde bu yükümlülüğünü yerine getirmeyen gerçek ve tüzel kişi tacirlerle ilgili idari para cezası yaptırımları (20.000,00 ile 1.000.000,00 TL arasında idari para cezası) belirlenmiştir.
Anılan Kanunun 18. maddesi “Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir” hükmünü içermektedir. VERBİS'e kayıt yükümlülüğü başlangıç tarihleri 19/07/2018 Tarihli ve 2018/88 Sayılı Kişisel Verileri Koruma Kurulu Kararı ile aşağıdaki şekilde belirlenmiştir:
- Yıllık çalışan sayısı 50'den çok "veya" yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları için Sicile kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesi,
- Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları için VERBİS'e kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesi,
- Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Sicile kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesi,
- Kamu kurum ve kuruluşu veri sorumluları için Sicile kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesi.
İçerik: 07.04.2016 tarihinde yürürlüğe giren 6698 numaralı Kişisel Verilerin Korunması (KVK) Kanunu'nda yer alan usul ve esaslara uyum sağlamayan şirketler için ciddi hapis ve para cezaları söz konusudur.
Verinin kaydedilmesi, işlenmesi, aktarılması ve yok edilmesi ile ilgili yasaya uymamanın cezası 1 - 6 yıl arası hapis, kanunda belirlenen yükümlülüklerin yerine getirilmemesinin karşılığı ise 5.000 - 1.000.000 TL arası para cezası olabilmektedir.
24.03.2016 tarihinde kabul edilen ve 07.04.2016'da 29677 sayılı Resmi Gazete'de yayınlanan 6698 numaralı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı, bunun için de kişisel verileri işleyen tarafların yükümlülüklerini, uyulacak usul ve esasları düzenlemeyi amaçlamaktadır.
Kanun gerçek kişilere ait olan kişisel verilerin işlenmesini kapsamakta olup, bu verileri (otomatik veya değil) bir kayıt sisteminin parçası olarak işleyen gerçek ve tüzel kişilerle ilgili düzenlemeleri içermektedir.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Özetle, kişişel veri kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Örnek vermek gerekirse, ad, soyad, TC kimlik numarası, doğum yeri, doğum tarihi, adres, telefon numarası, e-posta adresi, IP numarası, özgeçmişi, ayrıca kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti
ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ise özel nitelikli kişisel veri olarak tanımlanmaktadır. Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.
Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.
Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Örneğin, kişisel verilerin sadece bir hard diskte, CD'de, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir.
Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır.
Veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Bu kapsamda,
- Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorundadır.
- Türkiye'de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır.
- Sicil kamuya açık biçimde tutulur. Kurul, kamuya açıklık ilkesinin sağlanması şartıyla, bu ilkenin kapsamı ve istisnalarını belirleme yetkisini haizdir.
ç) Sicile kayıtla yükümlü olan veri sorumluları. Kişise/ Veri İsleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İsleme Envanterine dayah olarak hazırlanır.
- Kanunun 10 uncu maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.
- Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz.
- Kanunun 28 inci maddesinde belirtilen durumlar saklı kalmak kaydıyla Yönetmeliğin 16 ncı maddesinde belirtilen objektif kriterlere dayalı olarak belirli şartları taşıyan veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmaz.
- Sicile ilişkin işlemler, veri sorumluları tarafından VERBİS üzerinden gerçekleştirilir.
ğ) (Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi; Kanunun 7 nci maddesinde belirtilen veri sorumlularının silme, yok etme veya anonim hale getirme yükümlülüklerinin yerine getirilmesinde esas alınır.
Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
VEBSİS İstisnaları:
Kurul kararınca aşağıdaki veri sorumluları sisteme kayıt olmak zorunda değildirler.
1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
2.18/01/1972 tarihli ve 1512 sayıiı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
3.04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihii ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihii 6356 sayıiı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca Hgiii mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
4.22/04/1983 tarihi ve 2820 sayıiı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
5.19/3/1969 tarihi ve 1136 sayıiı Avukatlık Kanunu uyarınca faaiyet gösteren avukatlar.
6.1/6/1989 tarihi ve 3568 sayıiı Serbest Muhasebeci Mai Müşavirlik ve Yeminli Mai Müşavirlik Kanunu uyarınca faaiyet gösteren Serbest Muhasebeci Mai Müşavirler ve Yemini Mai Müşavirler.
Kurulun 19/07/2018 Tarihli ve 2018/87 Sayılı Kararı ile 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan '“Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına ve bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına oybirliği ile karar verilmiştir.
Bilgilerinize Saygılarımızla Arz Olunur.
Ali ÇAKMAKÇI | Yeminli Mali Müşavir