Av.Merve Soyhan Gürcü&Av.Buket Gerey-Soyhan Hukuk Bürosu
Kişisel Verileri Koruma Kurulunun 21 Nisan 2022 Tarihli VERBİS Kayıt Yükümlülüğü hakkındaki Duyurusu ve 6698 sayılı KVKK kapsamında Veri Sorumlusunun Yükümlükleri
Kişisel Verileri Koruma Kurulunun 21 Nisan 2022 Tarihli web sitesinden yaptığı Kamuoyu Duyurusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK/Kanun) 16’ncı maddesine ve 18. Maddesine atıf yaparak Veri Sorumluları Siciline (VERBİS) kayıt zorunluluğu olup, bu yükümlülüğü yerine getirmeyenler hakkında idari para cezası uygulanacağı bu yükümlülüğü yerine getirmeyen kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ise ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağını duyurmuştur.
Kişisel Verileri Koruma Kurulu tarafından 31/12/2021 tarihine kadar ilgili Veri Sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için süre verilmişti.
Bu yazımızda kısaca temel Kişisel Veriler Hukuku kavramları ile Kişisel Veri Sorumlusunun VERBİS yükümlüğünün yanı sıra Kanun’da düzenlenmiş olan diğer yükümlülüklerinden bahsedilecektir.
Kişisel Veri Nedir?
KVKK’nın 3. Maddesine göre “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” kişisel veri niteliğindedir. Bu tanım nezdinde gerçek kişiye ait kimliği belirli veya belirlenebilir olan her türlü bilginin ilgili kişinin açık rızasına dayalı şekilde alınması, işlenmesi ve gerektiğinde Kanuna uygun şekillerde saklanıp imha edilmesi gerekmektedir.
İlgili Kişi Kimdir?
Kanun, “ilgili kişi”yi “Kişisel verisi işlenen gerçek kişi” olarak tanımlamıştır. Kanun’un lafzında da açıkça görüldüğü üzere, kişisel veri kavramı hukukumuzda yalnızca gerçek kişilerin verilerini kapsamaktadır.
Eğer bir veri, tüzel kişiye ait olmasına rağmen herhangi bir gerçek kişinin kimliğinin belirlenebilmesi sonucunu doğuruyorsa bahse konu veri kişisel veri niteliğinde kabul edilir. Fakat bu durum, biraz önce ifade ettiğimiz tüzel kişilerin ilgili kişi olamayacağı kuralının istisnası değildir. Zira bu halde ilgili kişi veriye sahip olan tüzel kişi değil, veri aracılığı ile kimliği belirlenebilen gerçek kişidir.
İlgili kişinin hakları Kanun’un 11. Maddesinde detaylı olarak düzenlenmiştir.
Veri Sorumlusu Nedir?
Kişisel verilerin hangi amaçlarla ve araçlarla işleme tabi tutulacağının kararını veren, verilerin kaydı için sistemlerin kurulmasından ve yönetilmesinden sorumlu olan kişi, “veri sorumlusu” dur. Burada kişi; özel hukuk tüzel kişisi de kamu tüzel kişisi de olabilir. Veriler bir tüzel kişi tarafından işleme tabi tutulduğunda, veri sorumlusunun o tüzel kişinin çalışanları değil, bizzat tüzel kişiliğin kendisidir.
Veri sorumlusu, KVKK ile kendisine yüklenen sorumlulukları getirmekle mükellef olup, bunlara aykırı hareket etmesi yahut kişisel verilerin işlenmesi ilkelerini ihlal etmesi hallerinde hem oluşan zararın tazmininden hem de kurul tarafından verilecek kararın yerine getirilmesinden sorumludur.
Kanun’da düzenlenmiş olan Veri Sorumlusunun Yükümlülükleri Nelerdir?
KVKK’nın 10. Maddesinde yer verilen aydınlatma yükümlülüğüne göre ilgili kişilere:
Kanun koyucu tarafından veri sorumlusu sıfatına haiz kişilere, kişisel verilerin korunması ve saklanması noktasında birçok idari ve teknik yükümlülük getirilmiştir.
KVKK’nın 12. Maddesine göre veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla teknik ve idari tedbirleri almak zorundadır.
KVKK’nın 13. maddesine ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe göre veri sorumluları, ilgili kişi tarafından yapılan başvuruları en geç otuz gün içerisinde cevaplamak durumundadırlar.
İlgili kişinin cevabı yetersiz bulması veya cevap alamaması üzerine Kurul’a başvurduğu hallerde, Kurul veri sorumlusunun bir ihlali ortadan kaldırması yönünde karar verirse bu karar en geç otuz gün içerisinde veri sorumlusu tarafından yerine getirilir.
İşlenen kişisel verilerin kanuna aykırı olarak herhangi bir şekilde üçüncü kişilerce ele geçirilmesi durumunda veri sorumlusu, en kısa sürede ilgili kişiye ve Kurul’a bildirmek zorundadır.
İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde kişisel verileri silmek, yok etmek veya anonim hale getirmek de veri sorumlusunun yükümlülüklerindendir. Bunun için ilgili kişinin başvurusu şart değildir. Bununla birlikte, veri sorumlusunun ihmali durumunda ilgili kişinin kişisel verilerinin yok edilmesini, silinmesini veya anonim hale getirilmesini talep etme hakkı bulunmaktadır. Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur. Kayıt için Kanun’un geçici maddesinde sürenin Kurum tarafından belirleneceği ve ilan edileceği belirtilmiştir.
Kişisel Verileri Koruma Kurulu’nun 11.03.2021 tarihinde almış olduğu 2021/238 sayılı Kararı kararı 16 Mart 2021 tarihli Resmi Gazetede yayımlandı. Karar uyarınca;
• YILLIK ÇALIŞAN SAYISI 50’DEN ÇOK VEYA YILLIK MALİ BİLANÇO TOPLAMI 25 MİLYON TL’DEN ÇOK OLAN GERÇEK VE TÜZEL KİŞİ VERİ SORUMLULARI İLE YURTDIŞINDA YERLEŞİK GERÇEK VE TÜZEL KİŞİ VERİ SORUMLULARI,
• YILLIK ÇALIŞAN SAYISI 50’DEN AZ VE YILLIK MALİ BİLANÇOSU 25 MİLYON TL’ DEN AZ OLUP ANA FAALİYET KONUSU ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME OLAN GERÇEK VE TÜZEL KİŞİ VERİ SORUMLULARI,
• KAMU KURUM VE KURULUŞLARI İLE KAMU KURUMU NİTELİĞİNDEKİ MESLEK KURULUŞU VERİ SORUMLULARININ KAYIT YÜKÜMLÜLÜKLERİNİ 31.12.2021 TARİHİNE KADAR YERİNE GETİRMELERİ GEREKİYOR.
Veri Sorumlusunun anılan yükümlülüklerini yerine getirilmemesi halinde uygulanacak idari para cezası miktarları: