6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Kapsamında Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)-3

Posta tarihi: 22 Mayıs 2020

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Kapsamında Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)-3

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Kapsamında Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)-3

6698 sayılı Kişisel Verilerin Korunması Kanununa (KVKK)  ilişkin 3 bölümlük yazı dizimizin son bölümünü oluşturan bu yazıda, Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) ve bu sisteme kimlerin kayıt olmakla yükümlü olduğu ile veri sorumlusu kavramını inceleyeceğiz.

6698 sayılı Kişisel Verilerin Korunması Kanununun 16. maddesine göre kişisel veri işleyen (Kişisel verilerin işlenmesi konusu bir önceki yazımızda ayrıntılı olarak ele alınmıştır.) gerçek ve tüzel kişi veri sorumlularının, kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolması gerekmekte olup bu kapsamda Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) hazırlanmıştır. VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir. VERBİS’te yer alacak bilgiler kamuya açık olmakla birlikte, bu bilgiler kişilere ait açık bilgiler olarak değil kategorik bazda üst başlıklar halinde sıralanmış bilgilerdir. [1]

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Faaliyetleri kapsamında, Türkiye sınırları içerisinde kişisel veri işleyen tüm gerçek ve/veya tüzel kişi veri sorumluları genel kural olarak Sicile kayıt olmakla yükümlüdür.

Önceki yazılarımızda ele aldığımız yükümlülüklere ek olarak Veri Sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla, kurum ve kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmakla, Kanun kapsamında kalan herhangi bir ihlalle karşılaştığında bunu derhal Kurum’a bildirmekle, veri işleyenler ile birlikte ilgili konularda sır saklamakla yükümlüdür.

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler ise “veri işleyen” olarak tanımlanmaktadır. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilmektedir.

Kişisel Verileri Koruma Kurulunca 6698 Sayılı Kanunun 16. maddesine göre bazı veri sorumluları, Veri Sorumluları Siciline kayıt yükümlülüğünden muaf tutulmuştur durumdadır. Ancak unutulmamalıdır ki kayıt yükümlülüğünden muafiyet, 6698 sayılı KVKK anlamında bu Kanun hükümlerinden istisna olmak anlamına gelmektedir. Veri Sorumluları Siciline kayıt olma bakımından istisna getirilenler;

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
  2. 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler,
  3. 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  4. 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler,
  5. 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
  6. 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,
  7. 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren Gümrük Müşavirleri ve yetkilendirilmiş Gümrük Müşavirleri,
  8. Arabulucular,
  9. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlardır.

Veri Sorumluları Siciline kayıt başvurusu sırasında aşağıda bilgilerin girişinin yapılması gerekmektedir.

  1. Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  4. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  5. Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  6. Kişisel veri güvenliğine ilişkin alınan tedbirler,
  7. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Kişisel Verileri Koruma Kurulu kararları ile Veri Sorumluları Siciline kayıt süresi uzatılmış olup bu anlamda son kayıt tarihleri;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirmeleri için belirlenen son tarih 30.06.2020,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline son kayıt tarihi 30.09.2020’dir.

Kanunda öngörülen ve gerek yukarıda gerekse önceki yazılarımızda yer verilen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar ise Kanunun 18. maddesinde düzenlenmiştir. Bu kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır. Buna göre;

  • 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar

idari para cezası verilecektir.

Kişisel Verileri Koruma Kurumu, resen veya şikayet üzerine inceleme yaparak yaptığı incelemelerin sonucunda verdiği kararları da paylaşmaktadır. Kanunun yürürlük sürecine uyum ile ilgililerin faydalanması için ortaya çıkabilecek sorular ve uyuşmazlıklarda rehber niteliğinde olan bu kararlar, son derece önem arz etmekte ve özenle takip edilmesi gerekmektedir. Zira  KVKK ile bu Kanun kapsamında yer alan gerçek ve tüzel kişilere birtakım yükümlülükler getirilmekte ve bu yükümlülüklerin yerine getirilmemesi durumunda ilgilileri çok ciddi yaptırımlar beklemektedir.

Tüm yükümlülüklerin yanı sıra sorumluların tespit edilerek; veri işleme envanterinin hazırlanması, VERBİS’e kayıt yapılması, sonrasında kişisel verinin kapsamının ve niteliğinin belirlenmesi, belirlenen verilerin işlenmesi ve işlenmesinin ne şekilde yapılacağının tespiti ile sürece ilişkin gerekli dokümanların hazırlanması süreçlerinin de ileride hak kaybı yaşanmaması adına hassasiyetle yürütülmesi gerekmektedir.

Burcu Gürkan Hukuk ve Danışmanlık olarak yukarıda sıralanan işlemlerin yanı sıra Kanun ile ilgili Kurum içi gerekli eğitimlerin verilmesi ve bu eğitimlere ilişkin bilgilendirme dokümanlarının hazırlanması, diğer üçüncü kişilerle yapılan sözleşmelerin gözden geçirilmesi ve gerektiği takdirde tadili, Veri Sorumluları Siciline(VERBİS) kaydın gerekli olması halinde, bu kayıt için gerekli bilgi ve belgelerin hazırlanarak kayıt başvurusunda bulunulması, verilerinin işlenmesi için rızası gereken kişilerin tespiti ile rızanın alınması ve açık rıza metni hazırlanması, veri sahiplerine aydınlatma bildiriminde bulunulması için gerekli metinlerin hazırlanması gibi konularda Müvekkillerimize danışmanlık ve avukatlık hizmeti sunmaktayız.

Danışmanlık ve avukatlık hizmetlerimizden yararlanmak ve randevu almak için bizimle iletişime geçebilirsiniz.

 

[1] Sorularla Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)

Bu gönderiyi paylaş