Kişisel Verileri Koruma Kurulu’nun 03.09.2019 tarihli ve 2019/265 sayılı Kararı kurulun web sitesi ve 07.09.2019 tarih ve 30881 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Bilindiği üzere; “Kişisel Verilerin Korunması Kanunu” 07.04.2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmişti.

Kanun ile; kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

Kanuna ilişkin olarak hazırlanan yönetmelik 30.12.2017 tarih ve 30286 sayılı Resmi Gazete’de yayımlanmıştır.

Kanun ve Yönetmelikte yapılan düzenlemeler hakkında bazı açıklamalarımız aşağıya alınmıştır. Kanun kapsamındaki tüzel kişilerin ceza ile muhatap olmamaları açısından gerekli çalışmaları ve hazırlıkları yaparak ilgili birime kayıt olmaları gerekmektedir.

“Sicile Kayıt Yükümlülüğünün Başlama Tarihleri” ile ilgili Kişisel Verileri Koruma Kurulu’nun 19/07/2018 tarihli ve 2018/88 sayılı Kararı ile yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için VERBİS’e kayıt yükümlülüğü başlangıç tarihi 01.10.2018 ve Sicile kayıt yaptırmaları için son tarih 30.09.2019 olarak belirlenmişti.

Türkiye Odalar ve Borsalar Birliği (TOBB) ve muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen Veri Sorumluları Siciline kayıt sürelerinin uzatılmasına ilişkin taleplerin değerlendirilmesi neticesinde son yayımlanan Kurul kararına göre, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS’e kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31.12.2019 tarihine uzatılmıştır.

Veri Sorumluları Sicil Bilgi Sistemi (Verbis)

Veri Sorumluları Sicili, Veri Sorumluları Sicil Bilgi Sistemi’nde (VERBİS) tutulacaktır. VERBİS’e sadece internet üzerinden kayıt yapılabilir. Yazılı olarak kayıt yapılamaz. Tüm sicil işlemleri VERBİS üzerinden gerçekleştirilecektir.

Sicile Kaydolmak Zorunda Olanlar

Veri sorumlusu olan gerçek veya tüzel kişiler Sicile kayıt olmak zorundadır. Ancak kişisel verileri işleme yetkisi kanunlarla verilen ve Kurum tarafından Sicile kayıttan muaf tutulanlar Sicile kayıt olmak zorunda değildir.

Kayıt Muafiyet Kriterleri

Yönetmeliğe göre Kişisel Verileri Koruma Kurulu;

Kişisel verinin niteliği

Kişisel verinin sayısı

Kişisel verinin işlenme amacı

Kişisel verinin işlendiği faaliyet alanı

Kişisel verinin üçüncü kişilere aktarılma durumu

Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması

Kişisel verilerin muhafaza edilmesi süresi

Veri konusu kişi grubu veya veri kategorileri

kriterlerine göre Sicile kayıttan muaf tutulacak veri sorumlularını belirleyebilir. Kurul bu kriterlere göre belirlediği istisnaları uygun usulle kamuoyuna duyurur.

Sicile kayıt olmak zorunda olmayan ama Sicile kayıt olmak isteyen veri sorumluları için yönetmelik açık bir düzenleme yapmamakla birlikte yönetmeliğin geneline bakıldığında kayıt mümkün görülmektedir.

Kayıttan Muaf Tutulanlar

Kurul’un farklı tarihlerde verdikleri kararlar bir araya getirildiğinde;

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
  2. 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
  3. 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden,

20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve

18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.

  1. 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
  2. 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar.
  3. 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
  4. 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri
  5. Arabulucular
  6. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek ve tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar

VERBİS’e kayıttan istisna tutulmuşlardır. Yani sicile kayıt olmaları gerekmemektedir.

Sicile Kayıt Olmak Zorunda Olan Kişisel Veriler

İlke olarak tüm kişisel veri işleme faaliyetlerinin Sicile kayıt olması gerekir.

Ancak kişisel veri işleme faaliyetleri;

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,

durumlarında Sicile kaydettirilmesi gerekmez.

Sicile kayıt olması gereken herhangi bir kişisel veri işleme faaliyeti bulunmayan ya da Kurulca istisna tutulan veri sorumlularının Sicile kayıt olması gerekmemektedir.

Sicile Kayıt Zamanı

Sicile kişisel veriler işlenmeye başlanmadan kayıt olunması esastır. Yeni kurulan bir kurum ya da kuruluş Sicile kayıttan muaf tutulmamışsa herhangi bir kişisel veri işlemi yapmadan önce Sicile kayıt olmalıdır. Sicile zaten kayıtlı olan ancak yeni bir iş süreci için kişisel veri işlemeye başlayacak olan veri sorumlusu da yeni durumu Sicile kaydettirmek zorundadır.

Yapılan faaliyet gereği ya da Kurulun sonradan Sicile kayıt yükümlülüğü getirdiği veri sorumluları, Sicile kayıt yükümlüsü oldukları günü müteakip 30 gün içerisinde Sicile kaydolmak zorundadır.

Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her durumda otuz günü geçmemek üzere ek süre verebilir.

Sicile kayıt olmak için verilen 30 günlük süreden sonra yapılacak ek süre başvurularında fiili, teknik ya da hukuki imkansızlığın gerçekleştiği gün çok önemlidir. Ek süre verilebilmesi için imkansızlığın 30 günlük süre içerisinde ortaya çıkmış olması gerekir. Kurum’a başvurunun da sorunun ortaya çıktığı tarihten sonraki yedi gün içerisinde yapılması gerekir. Sorunun devam ettiği sürenin 30 günlük süreye eklenmesi yani Kurum tarafından en az o kadar gün süre verilmesi gerekir. Kurum’un vereceği ek süre 30 günlük normal sürenin bitiminde başlar. Yani her durumda Sicile kayıt yükümlülüğünün 60 gün içinde yerine getirilmesi gerekir.

Sorunun Kurum’un verebileceği en uzun süre olan 30 gün içerisinde giderilememesi ve veri sorumlusunun bu durumun oluşmasında ya da sürmesinde kusurunun bulunmaması durumunda Kurum’un veri sorumlusuna idari para cezası vermesi mümkün değildir.

Sicil kayıt belirlenen veri sorumluları için 1.10.2018 tarihinde başlamıştır. Kanun’un geçici maddesinde tarihin ve sürenin Kurum tarafından belirleneceği ve ilan edileceği yazmaktadır. Kurum internet sitesinden kayıtların başlama tarihi ve süresi ilan edilmiştir. Kayıtlar ilan edilen tarihten sonra ve belirlenen süre içerisinde yapılmalıdır.

Sicile Kayıt Başlangıç Ve Bitiş Tarihleri:

Veri Sorumlusu                                                                Başlangıç Tarihi                     Bitiş Tarihi

Yıllık çalışan sayısı 50’den çok veya

yıllık mali bilanço toplamı 25 milyon TL’den fazla            01.10.2018                               31.12.2019

Yurt dışında yerleşik

gerçek ve tüzel kişi veri sorumluları                                     01.10.2018                               31.12.2019

Yıllık çalışan sayısı 50’den ve                                                 01.01.2019                               31.03.2020

yıllık mali bilanço toplamı 25 milyon TL’den düşük

(ana faaliyet konusu özel nitelikli kişisel veri işleme olan

veri sorumluları)

Kamu kurum ve kuruluşları                                                  01.04.2019                               30.06.2019

Cezai Yaptırım

Sicile kayıt olmak zorunda olan veri sorumlusunun kayıt olmaması durumunda ya da kaydın yönetmelikte belirlenen şartları sağlamaması durumunda yirmi bin (20.000) TL’den bir milyon (1.000.000) TL’ye kadar idari para cezası verilir.

Bu durumlar arasında Sicile kaydın zamanında yapılmaması, kişisel veri işleme faaliyetlerinin eksik ya da yanlış bildirilmesi, olan değişikliklerin zamanında bildirilmemesi gibi durumlar sayılabilir.

Kurul idari para cezasının miktarını aykırılığın önemine, veri sorumlusunun özelliklerine göre objektif olarak belirler.

Kayıt Şekli

Türkiye’de yerleşik olan veri sorumluları doğrudan, Türkiye’de yerleşik olmayan veri sorumluları ise yetkilendirecekleri temsilcisi vasıtasıyla Sicile kayıt olur.

Türkiye’de yerleşik olan veri sorumluları ilgili mevzuatlarına uygun şekilde tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirecekler. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca ilgili organın sorumluluğunu ortadan kaldırmaz.

Türkiye’de yerleşik olmayan veri sorumluları ise yetkili organı veya kişisi tarafından alınacak kararla temsilci atarlar. Atama kararında;

Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme,

Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme,

Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,

Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme,

Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma,

Hususlarının bulunması gerekir.

Atama kararının tasdikli örneği kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kurum’a sunulmalıdır.

İrtibat Kişisi

İrtibat kişisi Kanun’da tanımlanmamıştır. Yönetmelikte tanımların yapıldığı 4’ncü maddede;

“Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi olarak tanımlanırken irtibat kişisinin yükümlülüklerinin düzenlendiği 11’nci maddenin 4’üncü fıkrasında

Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar.”

Düzenlemesi yapılmıştır.

Tanım ile düzenleme arasında bir aykırılığın bulunması durumunda tanımı da kapsayan ama daha özel olan Madde 11/4’ün uygulanması gerekir.

Buna göre sadece Türkiye’de yerleşik olan veri sorumluları irtibat kişisi bildirmek zorundadır. Ancak Verbis ile ilgili yapılan sunumda Türkiye’de yerleşik olmayan kişilerin temsilcilerinin de irtibat kişisi bildirmesi gerekiyor.

İrtibat kişisi gerçek bir kişidir. Veri sorumlusu bünyesinde bir bölüm ya da e-posta adresi, telefon numarası olamaz.

İrtibat kişisi ve veri sorumlusu ilişkisi bire bir şeklindedir. Yani her veri sorumlusu bir irtibat kişisi bildirebilir ve her irtibat kişisi sadece bir veri sorumlusunun irtibat kişisi olabilir. Örneğin bir şirketler grubunun her şirketi farklı bir irtibat kişisi bildirmek zorundadır.

İlgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlayacaktır. İrtibat kişisinin değişmesi durumunda Sicil’deki bilgilerde değişiklik yapılması gerekeceğinden yedi gün içinde Sicil’deki bilgilerin güncellenmesi gerekir. İrtibat kişisi bilgisinin yanlış olması durumunda da idari para cezası uygulanır.

İrtibat kişisi Avrupa Birliği mevzuatındaki Kişisel Verileri Koruma Görevlisi (Data Protection Officer) değildir. İrtibat kişisinin Avrupa Birliği mevzuatındaki sorumluluk ve yükümlülükleri gibi sorumluluk ve yükümlülükleri yoktur. Hatta Kurul açısından irtibat kişisi muhatap olmadığından irtibat kişisinin sorumlu tutulduğu iletişimi sağlama görevinin yerine getirilmemesinden dolayı da veri sorumlusunu cezalandırılamaz.

Sicile Bildirilecek Bilgiler

Sicile kayıt olunurken ya da sonraki değişikliklerde,

Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,

Kişisel verilerin hangi amaçla işleneceği,

Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

Yabancı ülkelere aktarımı öngörülen kişisel veriler,

Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi,

bilgilerinin Sicile bildirilmesi gerekir.

Her ne kadar yönetmelikte bildirilecek bilgiler arasında sayılmasa da Kayıtlı Elektronik Posta (KEP) adresinin de bildirilmesi gerekir. Çünkü kamuyla paylaşılacak sicil bilgileri arasında KEP de sayılmaktadır.

Bildirilecek bilgilerden kişisel verilerin işlenme amaçları, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları ve yabancı ülkelere aktarımı öngörülen kişisel veriler bilgileri Kişisel Verileri İşleme Envanteri’ne dayalı olarak hazırlanmalıdır.

Veri sorumlusunun,

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik ve Kurul tarafından belirlenen kriterlere göre aldığı gerekli her türlü teknik ve idari tedbirler de Sicile bildirilir.

Veri Sorumlusunun Durumunda Değişiklik Olursa Ne Yapılacak?

Veri sorumlusunun kişisel verileri işleme faaliyetlerinde değişiklik olacaksa ya da bildirilen bilgilerin güncellenmesi gerekiyorsa güncelleme yedi gün içinde yapılmalıdır.

Kişisel veri işlemeye başlamadan önce Sicile kayıt gerektiğinden kişisel veri işleme faaliyetlerindeki değişiklikler hayata geçmeden Sicil değişikliğinin yapılması gerekir.

Yedi günlük süre mevcut olan bilgilerdeki değişiklikler için geçerlidir. Örneğin veri sorumlusunun adresinin değişmesi, irtibat kişisinin değişmesi, veri sorumlusunun faaliyetine son vermesi, alınan güvenlik tedbirleri gibi.

Sicil’den Silinme

Veri sorumlusunun Sicile kayıt olmasını gerektiren şartlar ortadan kalkarsa (kişisel veri işleme faaliyetinin sona ermesi, Kurul tarafında muafiyet tanınması, mevzuat sonrası muaf tutulması gibi), veri sorumlusu sicilin silinmesi için Kurum’a başvurabilir.

Başvuru kabul edilirse kayıtlar üzerinde değişiklik yapabilme hakkı olmayan farklı bir yapıya geçirilerek Sicil’den silinir.

Silinen kayıtların kamuya açık olup olmadığı ile ilgili bir düzenleme yönetmelikte yapılmamakla birlikte ilgili kişilerin haklarını kullanabilmeleri için kamuya açık olması gerekir.

Veri Sorumlusu İle İletişim

Türkiye’de yerleşik tüzel ve gerçek kişiler için, Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden, Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi üzerinden gerçekleştirilir.

Sicile Kayıt Ücreti

Sicile kayıt ücretsiz olup, bir defalık ya da yıllık ücret adı altında herhangi bir ödeme yapılmamaktadır.

Söz konusu duyuruya ulaşmak için tıklayınız.

KİŞİSEL VERİLERİN KORUNMASI KANUNU’a ulaşmak için tıklayınız.

VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK’e ulaşmak için tıklayınız.