Yazarlar: Olcayto DOĞANÇELİK, MBA – Pelinsu BÜYÜKSARAÇ – Bolayır & Doğançelik Avukatlık Bürosu
Veri Sorumlusu; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
15.05.2018 tarihli ve 30422 sayılı Resmi Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu’nun (Kurul) 02/04/2018 Tarihli ve 2018/32 Sayılı Kararı uyarınca Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumluları;
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
- 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler,
- 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu’na göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
- 2820 sayılı Siyasi Partiler Kanunu’na göre kurulmuş siyasi partiler,
- 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
- 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler
Bu düzenlemeye ek olarak 18.08.2018 tarihli ve 30513 sayılı Resmi Gazete’de yayımlanan Kurul’un 05/07/2018 Tarihli, 2018/75 Sayılı ve 28/06/2018 Tarihli, 2018/68 Sayılı ve 19/07/2018 Tarihli ve 2018/87 Sayılı kararları uyarınca;
- Arabulucuların,
- 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin ve
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına karar verilmiştir.
Bu istisnaların dışında kalan veri sorumluları Kanun’un 16/2 maddesi uyarınca: “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.”. Yine aynı Kanun’un 18/1-ç bendi uyarınca: “Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.”.
Kurul’un 19/07/2018 Tarihli ve 2018/88 Sayılı Kararı uyarınca:
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,
- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt: yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne,
- Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne karar verilmiştir.
Dolayısı ile yukarıda belirtilen istisnalar kapsamına girmeyen gerçek veya tüzel kişi veri sorumluların bahsi geçen süreler içerisinde Kişisel Verileri Koruma Kurumu’na (Kurum) ait internet sitesi üzerinden 02.10.2018 tarihinde erişime açılan Veri Sorumluları Sicili’ne (VERBİS) kayıt olması gerekmektedir.
Bahse konu sistemin yönetici girişi ekranı üzerinden veri sorumlusu olan gerçek/tüzel kişi Kişisel Verileri Koruma Kurumu’na iletilmek üzere başvuru işlemini gerçekleştirecek, başvuru formunun PDF halindeki çıktısının ıslak imzalı ve kaşeli nüshasını KEP adresi bulunuyorsa Kurum’un KEP adresine yoksa posta adresine gönderecektir. Kurum ilgili başvuruyu değerlendirdikten sonra başvuru bilgilerinde belirtilen e-posta adresine bir kullanıcı adı ve şifre gönderecektir. Bu kullanıcı adı ve şifre ile VERBİS’e giriş yapıp gerçek kişi olan bir irtibat kişisi belirleyecektir. İrtibat kişisinin değişmesi durumunda ilgili güncellemeler yine bu ekran üzerinden yapılacaktır. Bu kullanıcı adı ve şifre veri sorumlusuna ait olacak, irtibat kişisi kendi e-devlet şifresini kullanacaktır.
İrtibat kişisi olarak belirlenen gerçek kişi “Sicile Kayıt” ekranından kendi e-devlet şifresi ile sisteme giriş yapacak, profil bilgilerini tamamladıktan sonra veri sorumlusu olarak ne tür veriler işlendiğini, bunların ne amaçla işlendiğini, nerelere aktarımının gerçekleştiğini ve ne kadar süre için bu verilerin işlendiğini sistem üzerinden dolduracaktır. Böylece irtibat kişisi tarafından da sicile kayıt yükümlülüğü gerçekleştirilmiş olacaktır.
VERBİS’e erişimin yeni açılmış olması ve VERBİS’e kayıt için öncelikle Kurum’a başvuru işlemi gerekliliği sebepleriyle, sistem hakkında gerekli bilgiler edinilerek olası idari para cezaları ile karşı karşıya kalmamak adına vakit kaybetmeksizin ilgili yasal zorunluluklar yerine getirilmelidir. Bahse konu süre ve işlemlere ilişkin yeni düzenlemeler ile yeni getirilecek olası istisnalar için Kurum’ ait internet sitesi ve Resmi Gazete’de yayımlanacak güncel kararlar takip edilmelidir.