Ofis

Yenidoğan Mah. Kızılay Sok. No: 39/5 Bayrampaşa / İstanbul
Telefon: 0212 468 1885 
Fax: 0212 468 1885
Email: info@banzaroglu.av.tr

Banzaroğlu

Genel

KVKK KAPSAMINDA ŞİRKETLERİN VERBİS KAYIT YÜKÜMLÜLÜĞÜ

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) temel amacı; kişisel verilerin hukuka uygun, belirli ve meşru amaçlarla işlenmesi, veri güvenliği ve gizliliğin teminat altına alınması, veri sorumlularının ise yürüttükleri veri işleme faaliyetleri bakımından hesap verebilirlik, şeffaflık ve denetlenebilirlik ilkelerine uygun hareket etmelerinin sağlanmasıdır.

Bu ilkelere aykırı her türlü işlem, şirketi idari para cezaları ve diğer yaptırımlarla karşı karşıya bırakabilir.

KVKK m.3 Veri sorumlusunu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlanmıştır.

KVKK’nın 4. maddesi uyarınca; işlenen tüm kişisel veriler hukuka ve dürüstlük kurallarına uygun, doğru, güncel, belirli, açık ve meşru amaçlar için, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü, ilgili mevzuatta öngörülen süre kadar muhafaza edilmek suretiyle işlenmelidir.

Kanun, bu amacın gerçekleşmesi için veri sorumlularına çeşitli yükümlülükler yüklemiştir.

Bu çerçevede kişisel veri işleme süreçlerinin izlenebilmesi, kayıt altına alınabilmesi, bu süreçlerin alenileştirilerek kamu denetimine açık hale getirilebilmesi için Veri Sorumluları Sicili Bilgi Sistemi (VERBİS) kurulmuştur. VERBİS; gerçek veya tüzel kişi veri sorumlularının;

  • İşledikleri kişisel veri kategorilerini,
  • Veri konusu kişi gruplarını,
  • Veri işleme amaçlarını
  • Kişisel verilerin saklama ve imha sürelerini,
  • Verilerin aktarılabileceği alıcı gruplarını,
  • Alınan teknik ve idari güvenlik tedbirlerini,
  • Veri işleme faaliyetlerine ilişkin diğer zorunlu unsurları kamuya açıklanmak üzere beyan ettikleri, kanuni niteliğe sahip bir sicil sistemidir.

“Veri İşleyen” sıfatını haiz gerçek ve tüzel kişiler açısından, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesi uyarınca, kişisel veri işleyen veri sorumlularının yükümlülüklerinin izlenebilmesi, veri işleme faaliyetlerinin Kişisel Verileri Koruma Kurumu tarafından etkin biçimde denetlenebilmesi ve kişisel veri koruma hukukunun temelini oluşturan şeffaflık ile hesap verebilirlik ilkelerinin tesis edilebilmesi amacıyla, VERBİS’e ilişkin düzenlemelere uygun hareket edilmesi zorunludur.

KVKK, madde 16 –

(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

Bu zorunluluk, veri işleme faaliyetlerinin Kurum nezdinde kayıt altına alınmasını, denetim süreçlerinin işlerlik kazanmasını ve veri sorumlularının hukuka uygunluk karinesini destekleyen bir görünürlük sağlamasını amaçlayan kanuni bir gereklilik niteliğindedir.

Kayıt sırasında veri sorumlusunun adı/ adresi, işlenecek veri kategorileri, amaç, saklama süresi, aktarım yapılacak taraflar, veri güvenliği önlemleri belirtilmelidir.

VERBİS kaydı yapılırken sisteme giriş yeterli değildir, kaydın tamamlanması için Kayıt başvuru formunun Kurum tarafından onaylanması şarttır.

VERBİS kaydı şirket nezdinde gerçekleştirilecek idari denetimlerde ilk ve en temel ölçüttür. VERBİS’e usulüne uygun şekilde gerçekleştirilen kayıt işlemi, veri sorumlusu konumundaki şirketin kişisel veri işleme faaliyetlerini KVKK m. 4’te düzenlenen genel ilkelere, m. 10 ve devamında yer alan aydınlatma–şeffaflık yükümlülüklerine, m. 12’de öngörülen veri güvenliği tedbirlerine ve ilgili ikincil düzenlemelere uygun surette yürüttüğüne dair kuvvetli bir karine oluşturmaktadır.

Sicile kayıt, veri sorumlusunun veri işleme süreçlerini sistematik olarak analiz ettiğini, işleme amaçlarını ve kategori bazında veri envanterini belirlediğini ve bunları kamuya beyan ederek hesap verebilirlik ilkesini yerine getirdiğini ortaya koyar.

Kurum’un bu alanda resen inceleme yapma yetkisi vardır. VERBİS’e kayıt yaptırma zorunluluğu olduğu halde yaptırmayan kişi ve kurumlar ciddi idari para cezaları yaptırımlarına maruz kalırlar.

Şöyle ki KVKK’nin kabahatler başlıklı 18/ç maddesinde bu durum açıkça belirtilmiştir.:
“…16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar…idari para cezası verilir.”

Bu tutarlar her yıl yeniden değerleme oranına göre arttırılır. 2025 yılında bu tutarlar 119.428 TL’den 5.971.989’e kadar olacak şekilde uygulanmaktadır.

Yukarıda da değinildiği üzere şirketlere yapılan KVKK denetimlerinde gözetilecek ilk husus VERBİS’e kayıt yapılıp yapılmadığıdır. Kurum bir hukuka aykırılık gördüğünde resen harekete geçerek inceleme ve soruşturma yapma yetkisine haizdir. Kurul bu incelemeler sonucunda şirket hakkında idari para cezası uygulayabilir ve bu cezayı da kamuya açık bir şekilde yayımlama yetkisine haizdir.

Şüphesiz ki şirketlerin idari para yaptırımına maruz kalmaları ekonomik açıdan aleyhe bir durumdur, bu cezaların yayımlanmak suretiyle alenileştirilmesi şirketin itibarını zedeleyeceğinden ve müşteriler nezdinde güven kaybına neden olacağından ciddi sorunlara yol açacağı su götürmez bir gerçektir.

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.”

Bu hükümden de açıkça anlaşıldığı üzere Veri Sorumluları Sicili Hakkında Yönetmelik (m.15-16) ve Kişisel Verileri Koruma Kurulu kararları ile bu yükümlülüğe istisna getirilebilmektedir. Veri Sorumluları Sicili Hakkında Yönetmeliğin ilgili maddeleri aşağıdaki gibidir:

İstisna uygulanacak haller

MADDE 15 –
(1) Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

İstisna kriterleri

MADDE 16 –
(1) Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne istisna getirebilir:
a) Kişisel verinin niteliği.
b) Kişisel verinin sayısı.
c) Kişisel verinin işlenme amacı.
ç) Kişisel verinin işlendiği faaliyet alanı.
d) Kişisel verinin üçüncü kişilere aktarılma durumu.
e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.
f) Kişisel verilerin muhafaza edilmesi süresi.
g) Veri konusu kişi grubu veya veri kategorileri.
(2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak kamuya duyurur.

Kişisel Verilerİ Koruma Kurulu’nun “Sicile Kayıt Yükümlülüğünün Başlama Tarihleri” ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/88 Sayılı Kararı
6698 sayılı KVKK 16/2 maddesi göz önünde bulundurularak:

– Türkiye’de yerleşik olup 50’den fazla çalışanı VEYA 25 milyon TL’den fazla yıllık mali bilonçosu olan şirketler ve işletmeler KVK Kurulu tarafından ilk etapta -büyük ölçekli işletme sayıldıkları için- Kurul tarafından kayıt yükümlüsü sayılmıştır. Kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar toplam 12 ay süre verilmiştir.
– Türkiyede yerleşik olmayan ancak Türkiye’de kişisel veri işleyen yabancı şirketler veya kişiler (örn: e- ticaret platformları vb.) de kapsama alınmış ve VERBİS’e kayıt yapmaları zorunlu kılınmıştır.
-Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyeti özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler de büyük ölçekli olmasalar da işledikleri verilerin “hassas” olmasından kaynaklı olarak kapsama alınmıştır.
– Kamu kurum ve kuruluşu veri sorumluları (Devlet kurumları, belediyeler, üniversiteler, KİT’ler vs.) için yükümlülük başlangıç tarihinin 01.04.2019 olması ve sicile kayıt yapmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesi Kurulca kabul edilmiştir. Kamu kurumları özel sektörden sonra VERBİS’e kayıt kapsamına alınmıştır.

Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin İstisna Kriterinde Değişiklik Yapılması Hakkında Kişisel Verileri Koruma Kurulunun 06/07/2023 Tarihli ve 2023/1154 Sayılı Kararı

Ülkemizdeki ekonomik koşullar doğrultusunda kapsam dışı bırakmak için belirlenen mali bilanço miktarı yeniden değerlendirilmiştir.

“19.07.2018 tarihli ve 2018/87 sayılı Kurul kararında yer alan “yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” ifadesindeki yıllık mali bilanço toplamı tutarının güncellenmesi suretiyle “yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar şeklinde değiştirilmesine” karar verilmiştir. Bu kararla mali bilanço 25 milyon TL’den 100 milyon TL’ye çıkarılmıştır. Anılan kararın Resmi Gazete’de yayımlandığı tarihte yürürlüğe girmesine karar verilmiştir.

Kurul kararının da başlangıcında açıkça ifade edildiği üzere “ülkemizdeki ekonomik koşullar doğrultusunda kapsam dışı bırakılacak mali bilanço miktarları yeniden değerlendirilmiştir.” ifadesi, hukuk devleti ilkesinin gerektirdiği ölçülülük, adil yönetim ve değişen ekonomik koşullara uyum anlayışı bakımından isabetli bir yaklaşımı yansıtmaktadır.

Sonuç olarak, VERBİS’e kayıt yükümlülüğü, 6698 sayılı KVKK’nın öngördüğü veri koruma sistematiğinin temel bileşenlerinden biri olup, veri sorumlularının kişisel veri işleme faaliyetlerini şeffaf, izlenebilir ve denetlenebilir hâle getirmeyi amaçlayan bir kanuni zorunluluktur. Sicile usulüne uygun şekilde kayıt yaptırılması, şirketin hukuka uygunluk karinesini güçlendirdiği gibi, olası Kurul incelemelerinde ilk değerlendirme ölçütü olarak kabul edilmekte ve ağır idari yaptırımlara maruz kalınmasının önüne geçmektedir. (İdari para cezası miktarı 2025 yılı yeniden değerleme oranına göre 119.428 TL – 5.971.989 TL) Buna karşın, kayıt yükümlülüğüne aykırılık hâllerinin yüksek tutarlı idari para cezalarıyla sonuçlanması, söz konusu yükümlülüğün yalnızca uyum sürecinin bir unsuru değil, aynı zamanda şirketin itibarını, hukuki güvenliğini ve paydaşlarına karşı yükümlülüklerini doğrudan etkileyen kritik bir unsur olduğunu göstermektedir.

Bu nedenle veri sorumlularının, VERBİS’e kayıt süreçlerini zamanında ve eksiksiz şekilde tamamlamaları, veri koruma kültürünü kurumsal düzeyde tesis etmeleri ve KVKK’nın öngördüğü tüm yükümlülükleri bütüncül bir uyum yaklaşımıyla yerine getirmeleri hukuken zorunlu ve fiilen zaruridir.

0

Post a Comment