KİŞİSEL VERİLERİN KORUNMASI (VERBİS) KAYIT YÜKÜMLÜLÜĞÜ İSTİSNA DURUMLARI VE CEZAİ YAPTIRIMLARI
30 Aralık 2017 Tarih ve 30276 sayılı resmi gazetede yayınlanarak Veri Sorumluları Sicili Yönetmeliği Oluşturularak ( VERBİS ) 01 Ocak 2018 tarihi itibariyle yürürlüğe girmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını belirlemektir.
KANUNUN KAPSAMI VE AMACI
Bu Yönetmelik ile , kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişileri kapsamaktadır.
- Kişisel Verilerin İşlenmesinde, Kişilerin Temel Hak Ve Özgürlüklerini Korumak,
- Kişisel Verileri İşleyen Gerçek Ve Tüzel Kişilerin Yükümlülükleri İle Uyacakları Usul Ve Esasları Düzenlemek (Disiplin Altına Almak),
- Kişilerin Mahremiyetini Korumak,
- Kişisel Veri Güvenliğini Sağlamak, Olarak Sayılabilir.
Bu kanununla kişisel verilerin işlenmesinin disiplin altına alınarak başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek, kişisel verilerin sınırsız biçimde ve gelişi güzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.
VERBİS Kısaca : Veri Sorumlularının Sicile Başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemidir.
Sicile ilişkin işlemler, veri sorumluları tarafından VERBİS üzerinden gerçekleştirilir.
Veri Sorumluları Sicilinde Yer Alan Aşağıdaki Bilgiler Kamuya Açıklanmaktadır:
- a) Veri Sorumlusu, Varsa Veri Sorumlusu Temsilcisi Ve İrtibat Kişisinin Adı, Adresi Ve Alınmış Olması Halinde KEP Adresi,
- b) Kişisel Verilerin Hangi Amaçlarla İşlenebileceği,
- c) Veri Konusu Kişi Grubu Ve Grupları İle Bu Kişilere Ait Veri Kategorileri,
ç) Kişisel Verilerin Aktarılabileceği Alıcı Ve Alıcı Grupları,
- d) Yabancı Ülkelere Aktarımı Öngörülen Kişisel Veriler,
- e) Sicile Kayıt Tarihi İle Kaydın Sona Erdiği Tarih,
- f) Kişisel Veri Güvenliğine İlişkin Alınan Tedbirler,
- g) Kişisel Verilerin İşlendikleri Amaç İçin Gerekli Olan Azami Süre,
VERİ SORUMLUSU ; Veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir. Kişisel Verileri Koruma Kurumu Başkanlığı Sicilde yer alan güncel bilgileri Kurul kararları uyarınca belirlenecek uygun yöntemlerle kamuya açıklar.
Veri sorumluları, kişisel veri işlemeye başlamadan önce sicile kaydolmak zorundadır. Türkiye’de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce veri sorumlusu temsilcisi aracılığı ile Sicile kaydolmak zorundadır.
Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler aracılığı ile yerine getirilir.
Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün ( 30 ) içerisinde Sicile kaydolurlar.
Veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz günü ( 30 ) geçmemek üzere ek süre verebilir.
KAYIT YÜKÜMLÜLÜĞÜ KAPSAMINDA İLETİLECEK BİLGİLER
Kişisel Verilerin Korunması Kanunu’nun 16. maddesine göre ve Veri Sorumluları Sicili Hakkında Yönetmeliği’ne göre Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce VERBİS’e kayıt yaparken aşağıdaki bilgileri girmek zorundadırlar;
- a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
- b) Kişisel verilerin hangi amaçla işleneceği,
- c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
- d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
KAYIT BİLGİLERİNDE DEĞİŞİKLİK VE SİCİL KAYDININ SİLİNMESİ DURUMU ;
-Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün ( 7 ) içerisinde kuruma bildirir.
-Veri sorumlusu, sicil kaydının silinmesine ilişkin olarak VERBİS üzerinden kuruma başvurur.
-Kayıt yükümlüğünü gerektiren faaliyet sona erer ya da ortadan kalkarsa, sicil kaydı silinir. Bu kayıtlar, istendiğinde erişilebilir olmakla birlikte üzerinde herhangi bir değişiklik yapılamayacak şekilde tutulur.
-Sicil kaydının silinmesi veri sorumlusunun sicile kayıtlı olduğu dönemdeki yükümlülüklerini ortadan kaldırmaz.
VERİ SORUMLULARI SİCİLİ KAYIT YÜKÜMLÜLÜĞÜ TARİHLERİ
VERİ SORUMLULARI | KAYIT YÜKÜMLÜLÜK BAŞLANGIÇ TARİHİ | KAYIT İÇİN VERİLEN SÜRE | KAYIT İÇİN SON TARİH |
Yıllık çalışan sayısı 50′ den çok veya yıllık mali bilanço toplamı 25 Milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için | 01.10.2018 | 12 AY | 30.09.2019 |
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için | 01.10.2018 | 12 AY | 30.09.2019 |
Yıllık çalışan sayısı 50′ den az ve yıllık mali bilanço toplamı 25 Milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için | 01.01.2019 | 15 AY | 31.03.2020 |
Kamu kurum ve kuruluşu veri sorumluları için | 01.04.2019 | 15 AY | 30.06.2020 |
6698 Sayılı Kanunun 16’ıncı Maddesine İstinaden Veri Sorumluları Siciline Kayıt Yükümlülüğüne İstisna Getirilen Kişi veya Kurumlar
Kurulca bazı veri sorumluları için Sicile kayıt yükümlülüğüne istisna getirilmiştir. Bu kapsamda alınmış olan 2018/32 sayılı Kurul Kararı 15.05.2018 tarihli Resmi Gazete’de; 2018/68, 2018/75 ve 2018/87 sayılı Kurul Kararları ise 18.08.2018 tarihli Resmi Gazete’de yayımlanmıştır.
Buna göre;
- a) Herhangi Bir Veri Kayıt Sisteminin Parçası Olmak Kaydıyla Yalnızca Otomatik Olmayan Yollarla Kişisel Veri İşleyenler,
- b) Noterlik Kanunu Uyarınca Faaliyet Gösteren Noterler,
- c) Dernekler Kanununa Göre Kurulmuş Derneklerden, Vakıflar Kanununa Göre Kurulmuş Vakıflardan Ve Sendikalar Ve Toplu İş Sözleşmesi Kanununa Göre Kurulmuş Sendikalardan Yalnızca İlgili Mevzuat Ve Amaçlarına Uygun, Faaliyet Alanlarıyla Sınırlı Ve Sadece Kendi Çalışanlarına, Üyelerine, Mensuplarına Ve Bağışçılarına Yönelik Kişisel Veri İşleyenler,
ç) Siyasi Partiler Kanununa Göre Kurulmuş Siyasi Partiler,
- d) Avukatlık Kanunu Uyarınca Faaliyet Gösteren Avukatlar,
- e) Gümrük Müşavirleri,
- f) Arabulucular,
- g) 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu Uyarınca Faaliyet Gösteren Serbest Muhasebeci Mali Müşavirler Ve Yeminli Mali Müşavirler,
ğ) Yıllık Çalışan Sayısı 50’den Az Ve Yıllık Mali Bilanço Toplamı 25 Milyon TL’den Az Olan Gerçek Veya Tüzel Kişi Veri Sorumlularından Ana Faaliyet Konusu Özel Nitelikli Kişisel Veri İşleme Olmayanlar, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur.
Bu kapsamdaki veri sorumluları kayıt yükümlüsü olmamakla birlikte VERBİS’e kayıt yaptırmaları mümkündür.
KANUN KAPSAMINA GİRMEYEN DURUMLAR
Kanun sadece gerçek kişilerle ilgili verilere uygulanır. Tüzel kişilerle ilgili veriler bu Kanun kapsamında değildir. Çünkü Kanunun 1. maddesinde “kişisel verileri işlenen “ Gerçek Kişiler” ifadesi kullanılmıştır. Öte yandan, Kanunun 28. maddesinde Tamamen Veya Kısmen Kapsam Dışı Olan Haller hükme bağlanmıştır. Bu maddenin 1. fıkrasında tam istisnalar, 2. Fıkrasında ise kısmi istisnalar düzenlenmiştir. Tam istisna halinde Kanun hükümleri hiçbir şekilde uygulanmayacaktır. Kısmi istisna hallerinde ise, Kanunun sadece bazı hükümleri uygulanmayacaktır.
A )Tamamen Kanun Kapsamı Dışında Tutulan Haller
- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesidir.
B ) Kısmen Kanun Kapsamı Dışında Tutulan Haller
Kanunun 28. maddesinin 2. fıkrasında sadece belli durum ve şartlarda Kanunun bazı maddeleri kapsamına girmeyen haller düzenlenmiştir.
Buna göre; Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. madde, zararın giderilmesini talep etme hakkı hariç ilgili kişinin haklarını düzenleyen 11. madde ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. Madde hükümleri aşağıdaki faaliyet alanları ile sınırlı olmak üzere uygulanmaz!
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. (Örneğin, bir polisin bir suçla ilgili şüphelinin kişisel verilerini işlemesi bu kapsamda değerlendirilebilecektir. Çünkü polisin hangi kişisel verilerini işlediği veya hangi amaçlarla işlediğini şüpheliye anlatması halinde, şüphelinin ilgili verileri yok etmesi veya silmesi riski ortaya çıkacaktır.)
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. (Örneğin, kişinin herkesin erişimine açık bir şekilde sosyal medya hesabında kişisel verisini paylaşması halinde verinin işlenmesi.) Bu hükmün uygulanabilmesi için kişisel verilerin ilgili kişi tarafından alenileştirme iradesinin ortaya konulması ve işlemenin bu iradeye uygun olarak yapılması gerekir.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. Kanunda belirtildiği gibi 10., 11. ve 16. maddelerin uygulanmaması için maddede belirtilen hallerden birinin gerçekleşmesi gerekir. Ancak belirtmek gerekir ki, her halükarda Kanunun amacına, temel ilkelerine uygun ve orantılı olması gerekir.
İDARİ YAPTIRIM VE CEZA DURUMULARI
*Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde yer alan idari para cezası uygulanır. (16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar), idari para cezası verilir. Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
**Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi eyleminin, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
S.M Mali Müşavir
Sibel KAROĞLU