Bülten: 2019-61 Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) Kayıt Süresi Uzatıldı

Günümüzde gerek gerçek kişiler gerekse, kamu kurum ve kuruluşları ile yerli veya yabancı şirketler, faaliyetleri kapsamında çok sayıda kişisel veri elde edebilmekte ve kullanmakta, daha iyi hizmet sunmak yahut ticaret hacmini artırmak gayesiyle daha fazla kişisel veriye ulaşma ve bu verileri üçüncü kişilerle paylaşma hedefi içerisinde olmaktadır.

Diğer taraftan başkasına ait daha fazla kişisel veriye sahip olmak, birtakım kolaylıklar ve avantajlar sağlamakla birlikte bu verilerin güvenliğine dair çeşitli riskleri de beraberinde getirmektedir. Bu riskler nedeniyle kişisel verilerin korunması ve buna yönelik hukuki bir altyapının oluşturulması amacıyla 2010 yılında yapılan değişiklikle Anayasamızın 20. Maddesi aşağıdaki şekilde yeniden düzenlenmiş ve kişisel verilerin korunması hakkı Anayasal güvence altına alınmıştır;

“MADDE 20 – Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. (Ek fıkra: 12/9/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Akabinde temel hak ve hürriyetlerin korunması sağlamak, Türkiye’de kişisel veri işlenmesi konusunda gerçek ve tüzel kişilerin uyacakları usul ve esasların belirlemek, veri sorumlularınca rastgele  yahut Kanuna aykırı şekilde kişisel veri işlemenin önüne geçmek, yetkisiz kişilerce kişisel verilere erişim sağlamanın ve hukuka aykırı olarak paylaşmanın sonucunda kişilik haklarının ihlal edilmesinin önüne geçek amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu Mecliste kabul edilerek 07.04.2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

6698 Sayılı Kanun ile aynı zamanda idari ve mali özerkliğe sahip, Adalet Bakanlığı ile ilişkili kamu tüzel kişiliğini haiz olarak Kişisel Verileri Koruma Kurumu kurulmuştur.

Kişisel Verileri Koruma Kurumunun görevleri ise; Kanunun uygulanmasını sağlamak, Kanun çerçevesinde düzenleyici ve denetleyici işlem yapmak, gerekli görülen alanlarda ikincil düzenlemeler yapmak, veri sorumlularının tamamen şeffaflık ve hesap verilebilirlik ilkeleri doğrultusunda Kanuna uygun bir şekilde kişisel veri işlemesini sağlamak olarak tanımlanmıştır.

Bu kapsamda adı geçen Kurum tarafından, Kanunun uygulanmasına yönelik olmak üzere veri sorumlularının uyması gereken bazı usul ve esasları düzenleyen “Veri Sorumluları Sicili Hakkında Yönetmelik” ile “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” hazırlanmış ve bu yönetmelikler 01.01.2018 tarihi itibariyle yürürlüğe girmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanununun 16. maddesine göre, Kanun hükümleri veya Kurul kararlarıyla istisna tutulanlar hariç olmak üzere kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline ve Veri Sorumluları Sicil Bilgi Sistemi’ne kaydolmaları gerekmekte olup Türkiye’de yerleşik olan veri sorumluları doğrudan, Türkiye’de yerleşik olmayan veri sorumluları ise yetkilendirecekleri temsilcisi vasıtasıyla sicile kayıt olabilirler

Aşağıda sayılan gerçek ve tüzel kişiler ise Kanun Hükmü yahut Kurul Kararı ile veri işleme sorumluluğundan istisna tutulmuşlardır;

– Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,

– Noterler,

– 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,

– Siyasi partiler,

– Avukatlar,

– Gümrük müşavirleri,

– Arabulucular,

– Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,

– Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar.

6698 sayılı Kanunun Geçici 1. Maddesinin 2. Fıkrasına göre, Veri Sorumluları Siciline kayıt yükümlülüğünün başlama tarihleri ile ilgili karar alma ve bunu ilan etme yetkisi Kişisel Verileri Koruma Kurulu’na ait olup Kurul, 19/07/2018 tarih ve 2018/88 sayılı Kararı ile, Veri Sorumluları Siciline;

– Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularının 30.09.2019 tarihine kadar,  

– Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının 30.09.2019 tarihine kadar,  

– Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının 31.03.2020 tarihine kadar,

– Kamu kurum ve kuruluşu veri sorumlularının 30.06.2020 tarihine kadar

kayıt yaptırmalarına  karar vermiştir.

Diğer taraftan Kurul tarafından alınan (7 Eylül 2019 tarih ve 30881 sayılı Resmi Gazete’de yayımlanan) 03.09.2019 tarih ve 2019/265 sayılı Karar ile; “Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına” karar verilmiştir.

Son durum itibariyle Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirme süresine ilişkin özet tablo aşağıdaki gibidir;

 

VERİ SORUMLUSU SON KAYIT TARİHİ
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları 31.12.2019
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları 31.12.2019
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları 31.03.2020
Kamu Kurum ve Kuruluşları Veri Sorumlusu 30.06.2020

Diğer taraftan Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar Kanunun 18. maddesinde düzenlenmiş olup bu kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır. İdari yaptırımlara karar verme yetkisi Kurul’a ait olup Kurul tarafından verilecek yaptırım kararlarına karşı ise yargı yolu açıktır.

Kanunun 18. Maddesine göre Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket eden veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişiler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilecektir.

Bunun haricinde Kurulun yaptırım kararların ne şekilde uygulanacağına ilişkin şu ana kadar yayımlanmış ikincil mevzuatta daha detaylı daha açık bir düzenleme mevcut değildir.

Sonuç olarak, yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Veri Sorumluları Siciline kayıt süresi 30.09.2019 tarihinden 31.12.2019 tarihine ertelenmiş (uzatılmış) olup konunun, kurumun, mevzuatın yeni olması,  kayıt zorunluluğu ve ceza kesme kriterlerindeki belirsizlikler gibi hususlar dikkate alındığında bu ötelemenin son derece yerinde olduğu düşünülmektedir. Diğer taraftan bir an önce bu belirsizlikleri ortadan kaldıracak düzenlenmelerin yapılması, konu hakkında kamuoyunun ve ilgililerin çok daha etkin ve detaylı şekilde bilgilendirilmesi, bilinçlendirilmesi gerekmektedir.

Share: