• (pbx) 0212 240 55 27
  • info@gungorhukuk.com

Kişisel Verilerin Kayıt Zorunluluğu İle İlgili Yükümlülükler

Kişisel Verilerin Kayıt Zorunluluğu İle İlgili Yükümlülükler

Kişisel Verilerin Kayıt Zorunluluğu İle İlgili Yükümlülükler

25 Şubat 2021, 10:353410

VERİ SORUMLULARI ve VERİ SORUMLULARI SİCİLİ HAKKINDA GÜNCEL DÜZENLEMELER HAKKINDA

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. Maddesinde de düzenlendiği üzere ; Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. Kanunun Geçici 1. Maddesinin ikinci fıkrasında ise veri sorumlularının, Kişisel Verileri Koruma Kurulu tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırma zorunluluğu bulunmaktadır. Veri sorumluları Kurul tarafından ilan edilen sürelerde kayıt yaptırmadığı veya kayıt işlemlerini tamamlamadığı takdirde idari para cezası yaptırımıyla karşılaşacaktır.

Kurul tarafından yapılan ilk duyurudaki kayıt süreleri şu şekilde belirlenmişti:

-Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ve yurtdışında yerleşik veri sorumluları için kayıt yükümlülüğünün başlangıç tarihi 01.10.2018, kayıt için son tarih 30.09.2020,

-Yıllık çalışan sayısı 50’den az veya yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları için kayıt yükümlülüğünün başlangıç tarihi 01.01.2019, kayıt için son tarih 31.03.2021,

-Kamu kurum ve kuruluşları için ise kayıt başlangıç tarihi 01.04.2019, son kayıt tarihi 31.03.2021.

Yukarıda belirtmiş olduğumuz veri sorumluları dışında ayrıca değinilmesi gereken bir husus da hastanelerin ve hekimlerin Veri Sorumluları Siciline kaydının zorunlu olup olmadığıdır. Şöyle ki hastaneler ve muayenehane işleten hekimler yapmış oldukları ana faaliyet bakımından; KVKK madde 6’da tanımlanmış olan ‘’özel nitelikli kişisel veri’’ kapsamındaki sağlık bilgilerini işlemektedirler. Dolayısıyla ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları kapsamındadırlar. 

Kurulun kamuoyuna yapmış olduğu duyurularda kamu ve vakıf hastanelerinin, bünyesinde faaliyet göstermiş olduğu kamu hukuku tüzel kişiliği tarafından Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt yükümlülüğünün yerine getirilmesi gerektiği, her türlü özel sağlık kuruluşunun da bünyesinde faaliyet gösterdiği özel hukuk tüzel kişiliği tarafından kayıt yükümlüğünün yerine getirilmesi gerektiği belirtilmiştir. Muayenehane işleten hekimlerin ise VERBİS’e kayıt yükümlülüğünün hekimler tarafından yerine getirilmesi gerekmektedir. Gerek kamu ve vakıf hastaneleri gerek özel sağlık kuruluşları gerekse muayenehane işleten hekimlerin VERBİS’e kayıt olmaları için son tarih Kurul tarafından 31.03.2021 olarak belirlenmiştir.

Bir başka değinilmesinde yarar olan konu ise eczaneler ve diğer benzeri sağlık temalı işletme işletenlerin VERBİS kayıt yükümlülüğünün ne olacağıdır. Eczaneler gibi ana faaliyet konusu özel nitelikli veri olan ve ticari kazancını bu özel nitelikli verilerden sağlayan işletme, kurum ve kuruluşların ise VERBİS’e kayıt yükümlülüğü eğer ki yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı  25 milyon TL’den fazla ise zorunludur. Ancak bu iki kriteri sağlamıyorsa ve ana faaliyet konusu özel nitelikli veri ise bu durumda da VERBİS’ e kayıt yükümlülüğü doğmaktadır. Önemli olan husus işletme, kurum ya da kuruluşun ticari kazancını sağlamış olduğu ana faaliyet konusunun özel nitelikli veri oluşturup oluşturmadığıdır. Örneğin, bir eczanede reçetesiz olarak verilen dermotolojik ürünler satılıyorsa ve ana faaliyet konusunu bu dermatolojik ürünler oluşturuyorsa VERBİS kayıt yükümlülüğü doğmamaktadır. Çünkü eczanenin ana faaliyet konusunu özel nitelikli veriler oluşturmamaktadır. Bir başka örnek verecek olursak, bir optik kurumu ağırlıklı olarak gözlük satımı yapıyorsa ana faaliyet konusunu bu gözlük satımı oluşturuyorsa VERBİS kayıt yükümlülüğü doğmamaktadır. Fakat bu optik işletmesi  kişilerin göz mercekleri ile ilgili işlem yapıyorsa ve ana faaliyet konusunu göz mercekleri gibi özel nitelikli veriler oluşturuyorsa bu durumda VERBİS kayıt yükümlülüğü doğacaktır. Vermiş olduğumuz her iki örnekte de özel nitelikli veri işlenmese dahi yıllık çalışan sayısı 50’den fazla veya yıllık mali bilançosu 25 milyon TL’den fazla ise bu durumda kayıt yükümlülüğü doğacaktır. Kişisel Verileri Koruma Kurumu burada eğer ki yıllık çalışan sayısı 50’nin altında veya yıllık mali bilanço toplamı 25 milyon TL’den az ise işletmenin, kurum ya da kuruluşların kendisinin ana faaliyet konusunu belirleyerek VERBİS’ e kayıt yaptırmasına karar vermesini bekliyor.

30.09.2020 tarihi itibariyle yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları için VERBİS’e kayıt tarihi son bulmuştu. Ancak birçok veri sorumlusunun VERBİS’e kayıt işlemlerini yapmadığı veya tamamlayamadığı Kurul tarafından tespit edildiğinden Kurul, bu süreyi uzatmış olduğunu ve Korona virüs (Covid-19) pandemisi ,teknik sorunlar veya fiili imkansızlıklar nedeniyle kaydını tamamlayamayan veri sorumlularına, kayıt yükümlülüğünü hatırlatan bir yazı gönderileceğini ayrıca kayıt için en fazla 30 günlük ek süre verileceğini açıkladı. Veri sorumlularının verilen bu uzatma süresinden yararlanabilmesi için Kurula herhangi bir başvuruda bulunmasına gerek yoktur, Kurul tarafından veri sorumlularına yazı gönderilecektir.

Veri sorumluları ve veri sorumluları sicili hakkında bilinmesi gereken temel bilgileri başlıklar halinde şu şekilde sıralayabiliriz:

Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Veri sorumlusunun tespiti için kişisel verilerin işlenmesi ve işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle saklanacağı, ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi hususlara kimin karar verdiği dikkate alınır. 

Burada belirtilmesi gereken diğer bir husus ise, eğer veri işleme faaliyeti bir tüzel kişilik tarafından gerçekleştiriliyorsa, burada veri sorumlusu tüzel kişinin kendisidir. Tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler Kanunun uygulanması bakımından veri sorumlusu sayılmazlar. Veri sorumlusunun tüzel kişi olması halinde, veri sorumlusu yükümlülüğü ilgili tüzel kişilik üzerinde doğacaktır. Bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir. Tüzel kişiliği temsil ve ilzama yetkili olan organ veya kişiler tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler. Bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmaz ve ilgili gerçek kişilerin de veri sorumlusu olarak tanımlanmasını sağlamaz. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından da Kanunda bir farklılık gözetilmemiştir. Bu çerçevede hukuki ve cezai sorumluluk bakımından, tüzel kişilerin sorumluluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.

Veri Sorumluları Sicili Nedir?

 Veri Sorumluları Sicili, veri sorumlularının kaydedildiği, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir. KVKK VERBİS Sicil Sorgulama bölümünden her vatandaş herhangi bir şifre almaksızın sorgulama işlemi yapabilir. 

Veri Sorumluları Siciline Kayıt Ne Zaman Başlar? 

Kanunun Geçici 1. maddesinde, Kanunun yürürlüğe girmesi akabinde veri sorumlularınca yerine getirilecek hususlar belirlenmiştir. Anılan maddenin 2. fıkrasında, “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır. Bu kapsamda öncelikle Kişisel Verileri Koruma Kurulunca kayıt yükümlülüğü için bir başlangıç tarihinin belirlenmesi gerekmektedir. Söz konusu tarihin Kurul tarafından belirlenerek ilan edilmesiyle Veri Sorumluları Siciline kayıt yükümlülüğü başlayacaktır. Veri Sorumluları Siciline kayıt yükümlülüğü olan veri sorumluları, kişisel veri işleme faaliyetine başlamadan önce Sicile kayıt olmak zorundadır. 

Öte yandan, aynı maddenin 5. fıkrasında “Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilir.” hükmü yer almaktadır. Buna göre, veri sorumlusunun bir kamu kurumu olması halinde, Kanunun uygulanmasıyla ilgili iletişim sağlamak üzere üst düzey bir yönetici belirlenmesi Kuruma bildirilmesi gerekmektedir.

Veri Sorumluları Siciline Kimler Kayıt Olmalıdır? 

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.  Tüzel kişiler kapsamına kamu kurum ve kuruluşları da girmektedir. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. Ayrıca Kanunun 28. maddede kapsamındaki hallerde de veri sorumlularının sicile kayıt yükümlülüğü bulunmamaktadır.

Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumluları şu şekildedir:

-Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları

-Yurtdışında yerleşik veri sorumluları

- Yıllık çalışan sayısı 50’den az olan ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 

- Kamu kurum ve kuruluşları

Türkiye’de Yerleşik Olmayan Veri Sorumluları, Sicile Nasıl Kayıt Yaptırabilir?

Türkiye’de yerleşik olmayan veri sorumluları, kişisel veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Veri Sorumluları Siciline kaydolmak zorundadır. Veri sorumlusu temsilcisi, Türkiye’de yerleşik olmayan veri sorumlularını Veri Sorumluları Sicili Hakkında Yönetmelikte belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade etmektedir. Kanunun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla kurulacak her türlü iletişim; Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi vasıtasıyla gerçekleştirilir. 

Veri Sorumluları Siciline Kayıt Olma Yükümlülüğünün İstisnası Var mıdır?

KVKK madde 28’de istisnai haller sayılmıştır. Bu sayılan hallere ilave olarak, işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurul tarafından belirlenecek objektif kriterler göz önüne alınmak suretiyle, Sicile kayıt zorunluluğuna Kurul tarafından istisna getirilebilir.

Derleyenler: Av. Gözde İŞÇİ GÜNGÖR & Stj. Av. Şenay KARABULUT