Kişisel Verileri Koruma Kurulu'nun Veri Sorumluları Siciline Kayıt Yükümlülüğünün Başlamasına İlişkin Duyurusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanan "veri sorumlusu", kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde etmesi, kaydetmesi, depolaması, muhafaza etmesi, değiştirmesi, yeniden düzenlemesi, açıklaması, aktarması, devralması, elde edilebilir hale getirmesi, sınıflandırması ya da kullanılmasının engellemesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi 6698 sayılı Kişisel Verilerin Korunması Kanunu'na ("Kanun") uygun bir yapıda yerine getirmek zorundadır.

Veri sorumlusunun faaliyetini Kanun'a uygun gerçekleştirmesi ve kişisel verilerin işlenmesinde şeffaflığın ve denetlenebilir bir yapının oluşturulması için Kanun'da "Veri Sorumluları Siciline" kayıt yükümlülüğü getirilmiştir. Bu sebeple Kanun'un m. 16/2 hükmünde Kişisel Verilerin Korunması Kurulu'nun ("Kurul") gözetiminde Kurul Başkanlığı tarafından oluşturulacak Veri Sorumluları Siciline kayıt zorunluluğu getirilmiştir. Böylelikle veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmiştir.

Veri Sorumluları Siciline kayıt zorunluluğunun düzenlendiği Kanun m. 16/2 hükmüne göre: “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında yer alan “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.”  Kanun’un 18. maddesinde Veri Sorumluları Siciline kaydını süresinde yerine getirmeyen ve kayda uygun işlem yapmayan veri sorumlusu hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verileceği öngörülmüştür. Bu tutar her yıl yeniden değerleme oranına göre artmaktadır.

Buna göre, Veri Sorumluları Sicili, Kanun kapsamında kamuya açık olarak tutulmak zorundadır (Kanun m. 16/1). Kamuya açıklık kavramı, isteyen kişinin sicil üzerinde inceleme yapabilmesi anlamına gelmektedir. Kanun'un hazırlanması aşamasındaki Komisyon görüşmelerinde ve Kurul çalışmalarından anladığımız üzere kamuya açıklık ilkesi ile kişisel verilerin korunmasının daha etkin bir şekilde yerine getirilmesi amaçlanmıştır. Zira veri sorumlularının kamu tarafından bilinebilir olması, ilgili kişilerin hak ihlallerine karşı daha etkili şekilde mücadele etmesine imkan verecektir.

Kanun'da kimlerin Veri Sorumluları Siciline kayıttan istisna tutulacağına ilişkin olarak da düzenleme yapılmış olup, istisna yetkisi Kurul'a verilmiştir. Bu kapsamda 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı yayımlanmıştır. Kurul Kararı birçok hususta belirsizlik getirmiş ve istisnaların belirsizliği hususunda Kurul'a eleştiriler yöneltilmiştir. Bu doğrultuda Kurul "Veri Sorumluları Siciline Kayıt Yükümlülüğünde İstisna Tutulacak Veri Sorumluları" ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/87 Sayılı Kararını yayımlamıştır. Bu karar da bazı belirsizlikleri devam ettirmekle birlikte, en azından daha net bir ölçüt getirilmiştir. Kurul Kararında: "yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına karar verilmiştir."

18 Ağustos 2018 Tarihli ve 30513 Sayılı Resmî Gazete yayımlanan "Sicile Kayıt Yükümlülüğünün Başlama Tarihleri" ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/88 Sayılı Karar"da:

• Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

• Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,
  

• Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olanlar Veri Sorumluları Siciline kayıtta istisna tutulmuştur. Bununla birlikte çalışan sayısı ve bilançosu istisna kapsamında kalsa dahi ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne (Yazım hatası 1 Eylül 2018 Tarihli ve 30522 Sayılı Resmî Gazete duyurusuyla düzeltilmiştir),

• Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne

karar verilmiştir.

Karul kararına aşağıdaki linkten ulaşabilirsiniz.

https://kvkk.gov.tr/Icerik/5272/2018-88

Av. Ferman Kaya