12 04 2019

Türkiye Odalar ve Borsalar Birliği’nden gönderilen 25.03.2019 tarih ve 34221550-641.03.01-3102 sayılı yazıda (İlgi: Kişisel Verileri Koruma Kurumu – 18/02/2019 tarih ve 47834593-110.02-3928 sayılı yazı) belirtildiği üzere;

07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayınlanarak yürürlüğe giren 668 Sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde Türkiye’de kişisel veri işlemekte olan tüm gerçek ve tüzel kişiler için bazı yükümlülükler getirilmiştir.

Anılan kanunun;

-“Tanımlar” başlıklı 3 üncü maddesinde Veri Sorumlusu; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak, Kişisel Veri İşleme ise “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” olarak tanımlanmıştır.

-“Veri Sorumlusu Sicili” başlıklı 16 ncı maddesinin birinci fıkrasında “Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur” hükmü, ikinci fıkrasında ise “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.” Hükmü, 18 inci maddesinde ise “Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verileceği”

Hükmü yer almaktadır.

İkincil mevzuat düzenlemesi çerçevesinde hazırlanan Veri Sorumluları Sicili hakkında yönetmeliğin 4üncü maddesinde Veri Sorumluları Sicil Bilgi Sistemi (VERBİS – https://verbis.kvkk.gov.tr/) “Veri sorumlularının Sicile başvuruda ve Sicile ilişkin diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi” olarak tanımlanmış, 5nci maddesinde ise “Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorundadır” hükmü yer almıştır.

Ayrıca kanunun 16ncı maddesi ikini fıkrasında bazı veri sorumluları için Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğüne istisna getirme konusunda Kişisel Veri Koruma Kuruluna (Kurul) yetki verilmiş olup bu yetki çerçevesinde Sicile kayıt yükümlülüğünden istisna tutulacak veri sorumlularını belirleyen 2018/32 sayılı Kurul Kararı 15/05/2018 tarihli Resmi Gazete’de, 2018/682018/75 ve 2018/87 sayılı Kurul Kararları ise 18/08/2018 tarihli Resmi Gazete’de yayınlanmıştır.

Anılan istisnalar kapsamı dışında kalan tüm veri sorumlularının kayıt yükümlülüğü başlama tarihleriyle ilgili olarak 18/08/2018 tarihli Resmi Gazete’de yayımlanan Kurul Kararına göre;

– Yıllık Çalışan sayısı 50’den AZ veya Yıllık mali bilanço toplamı 25 milyon TL’den ÇOK olan Gerçek ve Tüzel Kişi veri sorumluları için Sicile kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesi,

– Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları için Sicile kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesi,

– Yıllık Çalışan sayısı 50’den AZ veya Yıllık mali bilanço toplamı 25 milyon TL’den AZ olmakla birlikte ana faaliyet konusu ÖZEL NİTELİKLİ KİŞİSEL VERİ işleme olan Gerçek ve Tüzel Kişi veri sorumluları için Sicile kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesi,

– Kamu kurum ve kuruluşu veri sorumluları için Sicile kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesi Uygun görülmüştür.

Kişisel Verileri Koruma Kurumu Başkanlığınca yapılan değerlendirme sonucunda; hâlihazırda ülkemizde faaliyet gösteren pek çok şirketin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile getirilmiş olan başta Veri Sorumluları Sicil Bilgi Sistemine kayıt yaptırmak olmak üzere bazı yükümlülükler konusunda detaylı bilgi sahibi olmadığı belirtilmiştir.

Bu kapsamda, ileride oluşabilecek mağduriyetlere sebebiyet verilmemesi açısından özellikle VERBİS’e kayıt yükümlülüğü ve bu yükümlülüğün yerine getirilmemesi halinde söz konusu olabilecek cezai yaptırımlar ve genel olarak 6698 sayılı Kanun’la veri sorumlularına getirilen diğer yükümlülükler konularında sorun yaşanmaması için siz üyelerimiz tarafından gereğinin yerine getirilmesi gerekmektedir.

Bilgi edinilebilecek kaynak adresler:

– Kişisel Verileri Koruma Kurumu : https://www.kvkk.gov.tr

– VERBİS : https://verbis.kvkk.gov.tr

– Sorularla VERBİS : https://verbis.kvkk.gov.tr/UploadedFiles/SORULARLA_VERB%C4%B0S.pdf

– Veri Sorumlusu Kimdir? : https://www.kvkk.gov.tr/Icerik/2032/Veri-Sorumlusu-Kimdir

– İlgili Kişi Kimdir? : https://www.kvkk.gov.tr/Icerik/2034/Ilgili-Kisi-Kimdir

Örnek İlke Kararları:

– Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı

– Sağlık verilerini Kanunun 6 ncı maddesinde yer alan işleme şartlarından birine dayanmadan üçüncü bir kişiye aktaran veri sorumlusu hakkında ilke kararı

– Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında ilke kararı

– Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler