Elektronik Ticari İleti Ticaret hayatındaki pazarlama ve reklam süreçleri teknolojik değişimlere uyum sağlayarak yeni yöntemler…
Veri Sorumluları Sicili ve Kayıt Yükümlülüğü
Veri Sorumluları Sicili
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), Kişisel Verileri Koruma Kurumu nezdinde veri sorumlularına ait bilgiler yanında veri sorumluları tarafından ne tür verilerin hangi kapsamda işlendiğine ve yurtdışına aktarımına ilişkin bilgilerin kaydedilmesi amacıyla oluşturulmuştur. 6698 sayılı Kanun’un 16. maddesi uyarınca kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce VERBİS’e kaydolmak zorundadır.
Veri Sorumluları Sicili’ne kayıt kanunen zorunlu tutulmuş ve yaptırıma bağlanmıştır. Kişisel Verilerin Korunması Kanunu’nun 18. maddesi uyarınca Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar idari para cezasına hükmedilecektir. Bu nedenle kişisel veri işleyen her bir gerçek ya da tüzel kişinin sicile kayıt yükümlülüğü olup olmadığını tespit etmesi, eğer yükümlüyse kayıt sürecini profesyonel hukuki yardım alarak yürütmesi gerekmektedir.
Kimler Sicile Kaydolmak Zorunda?
Türkiye’de yerleşik gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının Türkiye’de kişisel veri işlemeleri halinde genel kural olarak VERBİS’e kaydolmaları gerekmektedir. Kanun sicile kayıt yükümlülüğünü kural olarak tüm veri sorumluları için öngörmüştür. Her bir veri sorumlusu sicile kayıt zorunluluğu kapsamında olduğunu düşünerek hareket etmelidir. Eğer bir veri sorumlusu aşağıda sayılan istisna kapsamına girerse bu yükümlülükten kurtulur.
Sicile Kayıt Yükümlülüğünün İstisnaları
Kişisel Verileri Koruma Kurulu işlenen verilerin niteliği ve faaliyet alanını dikkate alarak belirli veri sorumlularını kayıt yükümlülüğünden istisna tutmuştur. Kurul tarafından alınan kararlardan ticari faaliyet gösteren gerçek ve tüzel kişileri en çok ilgilendiren istisna “Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna tutulması”dır.
Dikkat edilmelidir ki; istisna kapsamına girmesi için burada sayılan her iki şartın da birlikte mevcut olması gerekmektedir. Yani veri sorumlusunun hem yıllık çalışan sayısı 50’den az hem de yıllık mali bilanço toplamı 25 milyon TL’den az olmalıdır. Bu şartlardan yalnızca birini karşılayan veri sorumlusu sicile kayıt yükümlülüğünden istisna tutulmayacaktır.
Bu iki şartı da sağlamakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işlemek olanlar da istisna kapsamına girmeyecektir. Kanunda kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak tanımlanmıştır. Örneğin özel bir laboratuvar işletmesi, çalışan sayısı ve yıllık mali bilanço toplamı kanundaki sınırların altında kalsa dahi ana faaliyet konusu itibariyle kişilerin sağlık verilerini işlediğinden sicile kaydolmak zorundadır.
Kurul tarafından sicile kayıt yükümlülüğüne getirilen diğer istisnalar aşağıdaki şekildedir:
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
- 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
- 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar
- 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
- 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
- 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
- Arabulucular
- Gümrük Müşavirleri
VERBİS’e kayıt yükümlülüğü istisnası 6698 sayılı Kanun’un getirdiği diğer yükümlülükler açısından istisna oluşturmaz. Veri sorumluları halen diğer yükümlülüklerini yerine getirmek zorundadır.
VERBİS’e Girişi Yapılacak Bilgiler
Veri sorumlularınca VERBİS’e kayıtta girilecek bilgiler; kişisel verileri işlenmiş olan gerçek kişilere ait kişisel veriler değil, veri sorumlularının işlemekte oldukları verilere ait sadece üst başlıklar halinde kategoriler olacaktır. Örneğin bir şirket ziyarete gelen gerçek kişilere aydınlatma yükümlülüğünü yerine getirmek suretiyle ad, soyad, telefon numarası, TC kimlik numarası, plaka numarası gibi bazı kişisel verilerini işlemektedir. Bu durumda VERBİS’e gerçek kişilere ait ad, soyad, telefon numarası, TC kimlik numarası, plaka numarası gibi verileri değil bunların üst kategorisi olan ve zaten VERBİS’te de seçimlik alan olarak yer alan “kimlik kategorisi” ve “iletişim kategorisi” işlediğine dair bilgi girişi yapacaktır.
VERBİS’e kaydolurken aşağıdaki bilgilerin girilmesi gerekmektedir:
a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ile irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
VERBİS’e Kayıt Zamanı
Kanun ve yönetmelik gereğince veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır. Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolmakla yükümlüdürler.
6698 sayılı Kanunun Geçici 1 inci maddesi gereği VERBİS’e kayıt zamanı Kişisel Verileri Koruma Kurulu tarafından belirlenmektedir. Kurul’un bu konuda aldığı 2019/387 tarihli kararı ile kayıt süreleri aşağıdaki şekilde güncellenmiştir:
VERBİS Kayıt Usulü
Veri Sorumluları Sicili’ne kayıt Kurum’un web sitesi üzerinden yapılmaktadır. Bu kapsamda veri sorumlularının, önce VERBİS’e giriş yaparak başvuru formunu sistem üzerinden oluşturması ve bu formu Kuruma kargo / posta / elden iletmesi veya Kayıtlı Elektronik Posta (KEP) aracılığıyla iletmesi gerekli görülmektedir. Başvuru formunun iletilmesi üzerine Kurum tarafından kendisine iletilen “kullanıcı adı” ve “parola” ile VERBİS’e giriş yaparak bildirimi gerçekleştirmesi gerekmektedir.
Uygulamada veri sorumlularının başvuru formlarını Kurum’a iletilmesi ile yükümlülüğün yerine getirilmiş olduğu düşünülerek bildirim yapmadığı görülmüştür. İrtibat kişisi tarafından “Sicile kayıt” butonu ile giriş yapılarak bildirimin tamamlanması ve sistem üzerinden iletilmediği takdirde Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmemiş olacaktır. Dolayısıyla Kurum’dan gönderilen “kullanıcı adı” ve “parola” ile sisteme giriş yapılarak kayıt işlemlerinin tamamlanması gerekmektedir.
Önemle belirtmek gerekir ki; VERBİS’e kayıt sürecinin sağlıklı bir şekilde tamamlanabilmesi için veri sorumlusu tarafından işlenen verilerin veri işleme amaçlarına ve iş süreçlerine göre sınıflandırılması gerekmektedir. Ayrıca veri sorumlusunun kayıt yükümlülüğü bulunup bulunmadığı, varsa hangi tarihe kadar kaydın tamamlanması gerektiği konusunda hukuki yardım alınması gerekmektedir.