MAKALELER
  Makaleler / Yasa Ve Yönetmelik Kapsamında Veri Sorumluları Sicili Ve Kayıt Yükümlülüğü

Yasa Ve Yönetmelik Kapsamında Veri Sorumluları Sicili Ve Kayıt Yükümlülüğü

23 Mayıs 2018

YASA VE YÖNETMELİK KAPSAMINDA VERİ SORUMLULARI SİCİLİ VE KAYIT YÜKÜMLÜLÜĞÜ

1. Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında; kamuya açık olarak düzenlenecek Veri Sorumluları Sicilinin (VERBİS) oluşturulması, idaresi ve sicile kayıtlara ilişkin usul ve esasları belirlemek amacıyla hazırlanan Veri Sorumluları Sicili Hakkında Usul ve Esaslara ilişkin Yönetmelik (Yönetmelik) 30.12.2017 tarihli 30286 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Ancak, her ne kadar Yönetmelik yürürlüğe girmiş ise de henüz fiilen uygulanabilir durumda olmadığını söylemek mümkündür. Zira 22.05.2018 tarihi itibari ile “Kişisel Verileri Koruma Kurumu” web sayfası üzerinde VERBİS Sistemi için henüz test çalışmalarının sürdüğü ve kayıt yapılamadığı ifade edilmektedir.

Ne var ki Kanunun ve Yönetmeliğin hükümlerini gözeterek bu hükümlerle getirilen yükümlülüklere uyumun sağlanabilmesi, idari para cezalarına maruz kalınmaması ve sisteme kayıt işlemlerinin doğru yapılabilmesi için yapılması gereken iş planından evvel uygulayıcıların (genel olarak İK birimleri) terminolojik bakımdan bu hükümler hakkında bilgi sahibi olmaları oldukça kıymetlidir.

2. Veri Sorumlusu Sicil Bilgi Sistemi

Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemidir.[1]

3. Veri Sorumlusu

Yasa ve Yönetmelik kapsamında veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir[2] Bu kapsamda tüm şirketlerin esasında birer veri sorumlusu olduklarını söylemek doğru olacaktır.

Şirketlerde veri sorumlusu şirketin kendisidir. Türkiye’de yerleşik bir şirketin bu kapsamındaki yükümlülükleri şirketi temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Şirketi temsile yetkili organ, tarafından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Ancak bu görevlendirme tüzel kişiliğin sorumluluğunu ortadan kaldırmaz.[3]

4. Veri Sorumlusu Temsilcisi

İlk bakışta temsilcinin, veri sorumlusunun yani şirketin verdiği yetkiye dayanarak kişisel verileri işleyen kişi olduğunu düşünmek mümkün ise de ilk düşüncenin aksine bu kişi esasında veri işleyendir.[4] Yönetmelik kapsamında temsilci tamamen farklı bir biçimde tanımlanmış olup buna göre veri sorumlusu temsilcisi Türkiye’de yerleşik olmayan veri sorumlularını yönetmelik kapsamında belirtilen hususlara asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişidir.[5]

5. Veri Sorumlusu Sicili ve Kayıt Esasları

a. Sicil kamuya açıktır.[6]

b. Veri sorumluları (tüm şirketler) kişisel veri işlemeye başlamadan önce VERBİS’e kaydolmak zorundadır. Eğer Veri sorumlusu Türkiye’de yerleşik değil ise kaydı temsilcisi vasıtası yapmak zorundadır.[7]

c. Veri sorumluları, VERBİS’de yer alan bilgilerin aktüel, tam ve doğru olmasından ve de hukuka uygunluğundan sorumludur. [8]

d. Sicil başvurusunda veri sorumlusunun (şirketin) veri envanteri oluşturması gerekmektedir. [9]

e. Veri sorumluları, başvurularında başta aşağıdaki hususlar olmak üzere Yönetmelik madde 9.da yer alan bilgileri VERBİS’e yükleyerek kayıt yükümlülüğünü yerine getirmiş olmaktadırlar.

  • Veri sorumlusu, varsa temsilcisine ait kimlik ve iletişim detayları, hangi amaçla işleneceği verilerin işleneceği hususu,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Başta kişisel verilerin hukuka aykırı olarak işlenmesi, bunlara hukuka aykırı olarak erişilmesini önlemek ve bunların muhafazası için gerekli güvenlik tedbirleri olmak üzere kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirleri
  • Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi,

f. Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri VERBİS üzerinden yedi gün içerisinde Kuruma bildirmek zorundadır.[10]

g. Veri sorumlusunun faaliyeti sona erer veya veri sorumlusu ortadan kalkarsa, sicil kaydı silinir. Ancak silinme kayıtlı olunan dönemdeki sorumlulukları ortadan kaldırmamaktadır.[11]

h. Aşağıda sayılı istisnai hallerde kayıt Yükümlülüğü ortadan kalkar.[12]

  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • İşlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • İşlemenin kanunun verdiği yetkiye dayanılarak görev ve yetkili kurum ve kuruluşlarca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturma için gerekli olması,
  • İşlemin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,

i. Kurul Kararı Gereği Aşağıdaki Haller İstisna Tutulan Veri Sorumluları Şu Şekildedir.[13]

  • Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler
  • Noterler
  • Dernekler, Vakıflar ve Sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışan üye mensup ve bağıcılarına yönelik kişisel veri isleyenler
  • Siyasi partiler
  • Avukatlar
  •  Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler

6. Veri Sorumluları Sicilinin İdaresi ve Gözetimi

Yönetmelik gereği VERBİS, “Kişisel Verileri Koruma Kurumu Başkanlığı” tarafından oluşturulur. Başkanlık, sicilin oluşturulması, idaresi ve güncel biçimde tutulması ve muhafaza edilmesi amacıyla; Veri Sorumluları Bilgi Sistemi’nin kurulması ve işletilmesi için gerekli teknik ve idari tedbirleri almakla yükümlüdür.[14]

7. Yaptırım

Yönetmeliğe göre veri sorumlularının sicile kayıt ve bildirim yükümlülüğüne aykırı davranması halinde idari para cezasının (İPC) uygulanacağı düzenlenmiştir.[15] Yönetmelikte atıf yapılan yasa maddesine göre Veri sorumlularının sicile kayıt ve bildirim yükümlülüğüne aykırı davranması halinde güncel İPC miktarı 20.000 Türk Lirası ile 1.000.000 Türk Lirası arasındadır. [16] (Yasada ayrıca sair ihlaller yönünden suçlar ve kabahatler başlığı altında ayrıca sair yaptırımlar da düzenlenmiş[17] ve suçlar yönünden de Türk Ceza Kanunun ilgili hükümlerine atıf yapılmıştır[18].)

8. Sonuç

Giriş kısmında da ifade edildiği hali ile getirilen yükümlülüklere uyumun sağlanabilmesi ve herhangi bir yaptırıma maruz kalınmasının engellenmesi amacı ile öncelikle uygulayıcıların (genel olarak İK birimleri) terminolojik bakımdan bu hükümler hakkında bilgi sahibi olmaları ve devamında bir iş planı çıkartılarak gerekli yasal destekler de alınmak sureti ile kayıt envanterinin oluşturuluyor olması oldukça kıymetlidir.

  1. ^ Yönetmelik madde 4/1.o
  2. ^ KVKK madde 3/1.ı; Yönetmelik madde 4/1.ö
  3. ^ Yönetmelik madde 11
  4. ^ KVKK madde 3/1.ğ
  5. ^ Yönetmelik madde 4/1.p
  6. ^ KVKK madde 16/1; Yönetmelik madde 5/1.c
  7. ^ KVKK madde 16/2; Yönetmelik madde 5/1.a; 5/1.b; 8
  8. ^ KVKK madde 12; Yönetmelik 5/1.e
  9. ^ Yönetmelik 5/1.ç; 5/1.d; 4/1.h
  10. ^ KVKK madde 16/4; Yönetmelik madde 13
  11. ^ KVKK madde 16/4; Yönetmelik madde 14
  12. ^ KVKK madde 28; Yönetmelik madde 15
  13. ^ 02.04.2018 tarih ve 2018/32 sayılı Kişisel Verileri Koruma Kurulu Kararı
  14. ^ Yönetmelik madde 6
  15. ^ Yönetmelik madde 17
  16. ^ KVKK madde 18/1.ç
  17. ^ KVKK madde 17; 18
  18. ^ TCK madde 135-140

Son Makaleler