Veri Sorumluları Sicili ve Kayıt Yükümlülüğü

Apr 01, 2018

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca, Veri Sorumluları Sicili Hakkında Usul ve Esaslara ilişkin Yönetmelik (“Yönetmelik”) 30.12.2017 tarihli 30286 sayılı Resmi Gazete’de yayımlandı, 01.01.2018 tarihinde yürürlüğe girmiş bulunmaktadır.

Yönetmelik’in amacı, Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin (“VERBİS”) oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirleyerek uygulanmasını sağlamaktır. Yönetmelik’in düzenlediği usul ve esaslar,

1. Veri Sorumluları Sicili ve kayıt esasları,

2. Veri Sorumluları Sicilinin idaresi ve gözetimi,

3. Veri Sorumluları Sicil Bilgi Sistemi’ne girilecek bilgiler,

4. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırılık halinde uygulanacak yaptırım,

olmak üzere dört ana başlıkta toplanabilmektedir.

1. Veri Sorumluları Sicili ve Kayıt Esasları

Kanun ve Yönetmelik uyarınca tüm veri sorumluları bir başka deyişle tüm şirketler kişisel veri işlemeye başlamadan önce VERBİS’e kaydolmak zorundadır. Türkiye’de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle VERBİS’e kaydolmak zorundadır. Sicil kamuya açık biçimde tutulur.

Sicil başvurularında VERBİS’e bildirilecek bilgilerin Kişisel Veri İşleme Envanterine dayalı olarak hazırlanması gerekmektedir; bir başka deyişle her şirketin veri envanteri oluşturması gerekmektedir. Veri sorumluları, VERBİS’e sundukları ve yayınladıkları bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasında sorumlu tutulmuştur.

Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkansızlık nedeni ile kayıt yükümlülüklerinin yerine getirememeleri halinde, bu imkansızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kişisel Verileri Koruma Kurulu’na yazılı olarak başvurmak zorundadır. Başvuru yaparken, kayıt yükümlülüğünün yerine getirilememesi sebebinin belirtilmesi şartı ile kayıt yükümlülüklerini yerine getirmek için kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilir.

Veri sorumluları, 9 uncu maddede belirtilen bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır.

Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri VERBİS üzerinden yedi gün içerisinde Kuruma bildirmesi gerekmektedir. Veri sorumlusunun, sicil kaydının silinmesi için VERBİS üzerinden kuruma başvurması gerekmektedir.

Kayıt yükümlülüğünü gerektiren faaliyet sona erer ya da ortadan kalkarsa, sicil kaydı silinecektir. Sicil kaydının silinmesi veri sorumlusunun kayıtlı olduğu dönemdeki yükümlülüklerini ortadan kaldırmamaktadır.

* Kayıt Yükümlülüğünün İstinasları Yönetmelik uyarınca, belirli hallerde kişisel veri işleme faaliyetleri bakımından veri sorumlusunun söz konusu faaliyetleri VERBİS’e kayıt etmesi ve bildirmesi yükümlülüğü ortadan kalkar. İstisnai haller dört tane olup, şu şekildedir;

* Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

* İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

* Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurum niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturma için gerekli olması,

* Kişisel veri işlemin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,

hallerinde veri sorumlusu için kayıt yükümlülüğü bulunmamaktadır.

2. Veri Sorumluları Sicilinin İdaresi ve Gözetimi

Yönetmelik’in 6. maddesi uyarınca; VERBİS, Kişisel Verileri Koruma Kurumu Başkanlığı (“Başkanlık”) tarafından oluşturulur. Başkanlık, sicilin oluşturulması, idaresi ve güncel biçimde tutulması ve muhafaza edilmesi amacıyla; Veri Sorumluları Bilgi Sistemi’nin kurulması ve işletilmesi için gerekli teknik ve idari tedbirleri almakla yükümlüdür.

Sicilin oluşturulmasından ve idaresinden sorumlu hizmet birimi ise, Veri Yönetim Dairesi Başkanlığıdır. Sicilin gözetimi Kurul tarafından gerçekleştirilir. Üç aylık dönemler halinde hazırlanan ve Kurul tarafından belirlenecek olan faaliyet raporu Veri Yönetim Dairesi Başkanlığı tarafından hazırlanarak Kurula sunulur.

Kişisel Verileri Koruma Kurulu’nun resmi internet sitesinde yer alan güncel duyuruda belirtildiği üzere sistem henüz açılmamış olup VERBİS'in hizmete açılması ve Kurul tarafından bir başlangıç tarihi belirlenmesi akabinde Sicile kayıt yükümlülüğü başlayacaktır. Kayıt yükümlülüğünün başlaması hususunda gerekli duyuru da Kurum tarafından yapılacaktır.

3. Veri Sorumluları Sicil Bilgi Sistemi ve Sistem’e Girilecek Bilgiler

VERBİS’e başvuruda girileceği bilgiler Yönetmelik’te yer alan 9 uncu maddede belirtilmiştir. Buna göre;

* Veri Sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,

* Kişisel verilerin hangi amaçla işleneceği,

* Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

* Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

* Yabancı ülkelere aktarımı öngörülen kişisel veriler,

* Kanunun 12 nci maddesinde 2 öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,

* Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi,

dikkate alınacaktır. VERBİS içerisinde belirtilen başlıkların ve içeriklerinin, veri sorumlusunun gerçekleştirdiği faaliyetleri ve Sicile iletilmesi gereken bilgileri tam kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS içerisinde bu amaca ilişkin ayrılan “Diğer” başlıklı bölümlere girerek Sicile bildirimini tamamlamış olacaktır.

Tüm bu bilgilerin sisteme işlenebilmesi için şirketlerin uzmanlar denetiminde kapsamlı bir veri envanteri çalışması yapması gerekmektedir.

4. Yaptırım

Yönetmelik’in 17 nci maddesinde düzenlenen veri sorumlularının sicile kayıt ve bildirim yükümlülüğüne aykırı davranması halinde Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde yer alan idari para cezasının uygulanacağı düzenlenmiştir. Veri sorumlularının sicile kayıt ve bildirim yükümlülüğüne aykırı davranması halinde 20.000 Türk Lirası ile 1.000.000 Türk Lirasına kadar para cezası kesilebilecektir.

Sicil kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi eyleminin, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde ise, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacak ve Kurula sonucu bildirilecektir.

5. Yürürlük

Yönetmelik 01.01.2018 tarihinde yürürlüğe girmiştir. Ancak, Kişisel Verileri Koruma Kurumu tarafından yayınlanan duyurda; 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelikle ilgili olarak, 6698 sayılı Kanunun Geçici 1 inci maddesinin ikinci fıkrasında; “Veri sorumlularının Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorunda olduğu” ve Kanunun 16 ncı maddesinde; “Veri Sorumluları Sicilinin (Sicil) Başkanlık tarafından kamuya açık olarak tutulacağı ve kayıt zorunluluğuna Kurul tarafından istisna getirilebileceği” hükümleri yer aldığına değinilerek, kayıt işlemleri açılmadan öncelikle kayıt yükümlülüğüne getirilecek istisnalar hakkında izlenilecek prosedürün oluşturulmasının bekleneceği belirtilmiştir.

Bu bağlamda, Yönetmelik yürürlüğe girmişse de henüz fiilen uygulanabilirliği bulunmamaktadır.

6. Sonuç

Tüm bu açıklamalar ışığında, Kanun ve Yönetmelik’le getirilen yükümlülüklere uyumun sağlanabilmesi, idari para cezalarına maruz kalınmaması, VERBİS’e kayıt işlemlerinin doğru yapılması ve titizlikle takibi için

• Şirket nezdinde Kanun’a ve Yönetmelik’e uyum sürecini yürütecek ve sürekliliğini

sağlayacak bir birimin oluşturulması ve gerekirse uzman desteği alınması

 

• Veri envanterinin çıkarılması,

• Veri işlenen iş süreçlerinin belirlenmesi,

• İş süreçlerinde değiştirilmesi gereken adımların belirlenmesi ve uygulanması için bir iş planı oluşturulması,

gerektiğini belirtiriz.

Kanun’a ve Yönetmelik’e uyum sürecine ilişkin sorularınız olması halinde bizlerle iletişime geçebilirsiniz.

Özay Hukuk Bürosu