VERİ SORUMLULARI SİCİLİNE KAYIT YÜKÜMLÜLÜĞÜ

Veri sorumlularına getirilen yükümlülüklerden biri de Kanun’un 16. Maddesinde düzenlenen Veri Sorumluları Siciline kayıt yükümlülüğüdür. Buna göre kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

‘’Veri Sorumluları Sicili

MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.

(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.

(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:

1. Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
2. Kişisel verilerin hangi amaçla işleneceği.
3. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
4. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
5. Yabancı ülkelere aktarımı öngörülen kişisel veriler.
6. Kişisel veri güvenliğine ilişkin alınan tedbirler.
7. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.

(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.’’

 Kişisel Verilerin Korunması Kanunu’nun 16. maddesi uyarınca Kurul’un gözetiminde, kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamak amacıyla Veri Sorumluları Sicili Hakkında Yönetmelik, (‘’Yönetmelik’’) 31 Aralık 2017 tarihli 30286 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

Yönetmeliğin tanımlar bölümünde; veri sorumluları sicil bilgi sistemi (‘’VERBİS’’), ‘’Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi’’ şeklinde tanımlanmış, ‘’Kayıt Yükümlülüğünün Başlangıcı’’ başlıklı 8. Maddesinde ise Veri sorumluların, kişisel veri işlemeye başlamadan önce VERBİS’e kayıt yükümlülüklerini yerine getirmek zorunda oldukları ifade edilmiştir.

Bu kapsamda, Türkiye’de yerleşik gerçek ve tüzel kişi veri sorumluları, yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının Türkiye’de kişisel veri işlemeleri halinde genel kural olarak VERBİS’e kayıt olmaları gerekmektedir. Bununla birlikte Kanunun 16. maddesine göre Kurulca istisna getirilmiş olan veri sorumluları için VERBİS’e kayıt yükümlülüğü bulunmamaktadır.

VERBİS’E KAYIT YÜKÜMLÜLÜĞÜNE GETİRİLEN İSTİSNALAR

Kanunun 16. maddesinde, “işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir” hükmü yer almaktadır.

Bu hüküm doğrultusunda Kurul tarafından bazı veri sorumluları için Sicile kayıt yükümlülüğüne istisna getirilmiştir. Bu kapsamda alınmış olan 2018/32 sayılı Kurul Kararı 15.05.2018 tarihli Resmi Gazetede; 2018/68, 2018/75 ve 2018/87 sayılı Kurul Kararları ise 18.08.2018 tarihli Resmi Gazetede yayımlanmıştır. Buna göre;

1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
2. Noterler,
3. Dernekler, Vakıflar ve Sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
4. Siyasi partiler,
5. Avukatlar,
6. Gümrük müşavirleri,
7. Arabulucular,
8. Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,
9. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar,

VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur. Bu kapsamdaki veri sorumluları kayıt yükümlüsü olmamakla birlikte VERBİS’e kayıt yaptırmaları mümkündür.

VERBİS’E KAYIT YÜKÜMLÜLÜĞÜNÜN BAŞLANGIÇ VE BİTİŞ TARİHLERİ

Kanun’un geçici 1. maddesinin 2. fıkrasında, VERBİS’e kayıt yükümlülüğünün başlama tarihleri ile ilgili karar alma ve bunu ilan etme görev ve yetkisi Kurul’a verilmiştir.

Bu kapsamda Kurul tarafından alınan ve 18.08.2018 tarihli Resmi Gazetede yayımlanan 2018/88 sayılı Kararda veri sorumluları için kayıt başlama tarihleri aşağıdaki gibi belirlenmiştir:

Veri sorumluları	Kayıt başlama tarihi	Kayıt için son tarih
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL‟den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için	01.10.2018	30.09.2020
Yıllık çalışan sayısı 50‟den az ve yıllık mali bilanço toplamı 25 milyon TL‟ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları	01.01.2019	31.03.2021
Kamu Kurum ve Kuruluşu veri sorumluları	01.04.2019	31.03.2021

 Tabloda yer alan kayıt için son tarihler Kurul’un 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile revize edilmiştir.

Yönetmeliğin 8. Maddesine göre kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip 30 gün içerisinde Sicile kaydolmaları gerekmektedir.

Ayrıca Yönetmeliğin 13. Maddesine göre; VERBİS’e kayıt olan veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kuruma bildirmeleri gerekmektedir.

Kurul Kararlarındaki “Yıllık Çalışan Sayısı” Hesabı

Kurulun istisna ve kayıt yükümlülüğü başlama tarihleriyle ilgili kararlarında, diğer bazı kriterlerle birlikte “yıllık çalışan sayısı” kriteri de dikkate alınmıştır.

Bu kararlarda yer alan yıllık çalışan sayısının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisindeki 12 aydan en az 7’sinin her birinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan Muhtasar ve Prim Hizmet Beyannamesinde bildirilen çalışan sayısının dikkate alınması gerekmektedir. Ayrıca söz konusu 7 ayın aynı yıl içerisinde olmak kaydıyla ardışık olması zorunlu değildir.

Buna göre, bir veri sorumlusu 2017 yılı içerisinde Sosyal Güvenlik Kurumuna vermiş olduğu Muhtasar ve Prim Hizmet Beyannamelerinin en az 7 sinin her birinde bildirmiş olduğu çalışan sayısının 50’den çok olması halinde kayıt yükümlülüğü 01.10.2018 tarihinde başlamış olacaktır.

Kurul Kararlarındaki “Yıllık Mali Bilanço Toplamı” Hesabı

Kurulun istisna ve kayıt yükümlülüğü başlama tarihleriyle ilgili kararlarında, diğer bazı kriterlerle birlikte “yıllık mali bilanço toplamı” kriteri de dikkate alınmıştır.

Bu Kararlarda yer alan yıllık mali bilanço toplamının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisinde veri sorumlusu tarafından yetkili kamu kurumuna yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyanname ekindeki mali tablolarda yer alan mali bilanço bilgisinin dikkate alınması gerekmektedir. Buna göre veri sorumlusunun beyannamesi ekindeki bilançoda yer alan “aktif” ya da “pasif” bölümde yer alan toplam rakamı esas alınmalıdır. Bu değerlendirme Kurum’un web sitesinde yer alan ‘’SORULARLA VERBİS’’ rehberinin 13. Sayfasında yayımlanmıştır.(1)

VERBİS’E KAYIT İLE BAĞLANTILI DİĞER YÜKÜMLÜLÜKLER

 Kurul tarafından kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemek amacıyla yayımlanan ‘’Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmelik’’ (‘’İmha Yönetmeliği’’) 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanmıştır.

İmha Yönetmeliği 5. Maddesinde;

‘’Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.’’ denilerek VERBİS’e kayıt ile yükümlü olan veri sorumlularına ek yükümlülükler getirilmiştir.

 Kişisel Veri Envanteri Hazırlanması

 İmha Yönetmeliğinde kişisel veri işleme envanteri aşağıdaki şekilde tanımlanmıştır:

‘’Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,’’

Ayrıca Yönetmeliğin 5. Maddesinde; ‘’Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.’’ Denilerek veri sorumlularının VERBİS kaydı yapmadan önce kişisel veri envanteri hazırlamaları gerektiği ifade edilmiştir. Ayrıca 9. Maddesinde ise; ‘’Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.’’ Hükmü getirilmiştir.

Kişisel Veri Saklama ve İmha Politikası

İmha Yönetmeliğinde saklama ve imha politikası aşağıdaki şekilde tanımlanmıştır:

‘’Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,’’

İmha Yönetmeliğinin ‘’kişisel verilerin saklama ve imha politikasının kapsamı’’ başlıklı 5. Maddesinde;

‘’Kişisel veri saklama ve imha politikasının kapsamı 

MADDE 6 – (1) Kişisel veri saklama ve imha politikası asgari olarak; 

1. Kişisel veri saklama ve imha politikasının hazırlanma amacına,
2. Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
3. Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
4. Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
5. Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
6. Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
7. Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
8. Saklama ve imha sürelerini gösteren tabloya,
9. ğ) Periyodik imha sürelerine,
10. Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe,

ilişkin bilgileri kapsar.’’

Kaynakça:

1. Kurum’un web sitesinde yer alan ‘’SORULARLA VERBİS’’ rehberi: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/09c01e90-167b-435c-b200-ce25ef9c1020.pdf (son erişim tarihi 01.07.2020)