VERBİS: VERİ SORUMLULARI SİCİLİ NEDİR?

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK/Kanun”) 07.04.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Avrupa Birliği’nin 95/46/EC direktifine uygun şekilde kişisel verilere dair çerçeve bir düzenleme getirmeyi amaçlayan kanun hem özel sektör, hem de kamu sektörü için kişisel verilerin korunması ve işlenmesine dair süreçler ile yükümlülükleri düzenlemektedir.

Kanun uyarınca, kanunun yayım tarihinden önce işlenmiş olan kişisel verilerin kanun ile uyumlu hale getirilmesi ve hükümlerine aykırı olduğu tespit edilen kişisel verilerin derhal silinmesi, yok edilmesi veya anonim hâle getirilmesi için 2 yıllık süre öngörülmüştür. Kanuna uyum için öngörülen söz konusu 2 yıllık süre 7 Nisan 2018’de dolmuştur. Bu bağlamda, esasen kanun kapsamında bir veri sorumlusu olarak nitelenen şirketlerin de bu tarih itibariyle kanuna uyumlu olarak veri işleme faaliyetlerini yürütüyor olması gerekmektedir.

Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz ‘’Kişisel Verileri Koruma Kurumu’’ kurulmuştur. Kurumun karar organı sıfatıyla kurul, bu kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanmak üzere 9 üyeden oluşan bir kurulun da kurulması kanun ile öngörülmüştür. Kurum ilgili kişinin şikâyeti üzerine harekete geçmekte ve kanunda öngörülen yükümlülüklere uymayan veri sorumlularına 4,5 yıla kadar hapis ve 1.802.636,00 TL’ye ulaşan para cezasına hükmedebilmektedir. Bu idari para cezaları yeniden değerleme oranları ile her yıl yeniden hesaplanarak artırılmaktadır.

Bu noktada öncelikle KVKK kapsamında yer alan önemli unsurların tanımlarına değinmek gerekmektedir.

Veri sorumlusu ise, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin olacaktır.

Kişisel verilerin işlenmesi bakımından KVKK’nın 5. Maddesinde yer alan ana kural kişisel veri sahibinin yani kanunun tanımı ile ilgili kişinin açık rızasının alınmasıdır:

• Kanunlarda açıkça öngörüldüyse, yani bir başka kanunda dolayı o veriyi işlemeniz zorunluysa.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise, örneğin kişi acil durumda ambulans çağırdığında verilerinin işlenmesi.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde, örneğin iş sözleşmesinin ifası amacıyla çalışandan elde edilen kişisel veriler.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması halinde
• İlgili kişinin kendisi tarafından alenileştirilmiş olması
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, örneğin ilgili kişinin hakkına zarar vermeden şirkette güvenliğin sağlanabilmesi için kamera kaydı alınması.

Bu koşullardan biri mevcut değil ise kişisel verilerin işlenebilmesi için açık rıza alınması gerekmektedir.

Veri sorumlularının kişisel verileri işleme faaliyetleri bakımından düzenli denetime tabi tutulabilmeleri amacı ile kural olarak Türkiye’de yerleşik tüm veri sorumluları, Kişisel Verileri Koruma Kurumu nezdinde tutulan Veri Sorumluları Sicili (VERBİS)’ne kayıt olmakla yükümlüdürler. KVKK uyarınca veri sorumluları, kurul tarafından belirlenen ve ilan edilen süre içinde, yine kurul tarafından belirlenmiş olan nitelik ve niceliğe sahip veri sorumluları Veri Sorumluları Sicili’ne (VERBİS) kayıt yaptırmak zorundadır.

Verilen yetki çerçevesinde Kurul; aşağıda yer verilen veri sorumlularını VERBİS’e kayıt yükümlülüğünden muaf olarak ilan etmiştir:

1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri isleyenler
2. Noterler
3. Dernek, vakıf ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler
4. Siyasi partiler
5. Avukatlar
6. Serbest muhasebeci mali müşavirler ve yeminli mali müşavirler
7. Gümrük müşavirleri
8. Arabulucular
9. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar

Her ne kadar değişiklik olabileceği beklentisi olsa da şu aşamada kurul tarafından veri sorumlularının VERBİS başvurusunu yapmaları gereken son tarihler aşağıdaki tabloda belirtildiği şekilde ilan edilmiştir.

Veri Sorumlusu	VERBİS’e Son Kayıt Tarihi
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişiler	30.09.2020
Yurt dışında yerleşik gerçek ve tüzel kişiler	30.09.2020
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişiler	31.03.2021
Kamu kurum ve kuruluşu veri sorumluları	31.03.2021

Nihayetinde 50 ve daha fazla çalışanı bulunan ve mali bilanço aktif toplamı 25.000.000 TL üzerinde olan kişisel veri işleyen veri sorumluları 30 Eylül 2020 tarihine kadar, belirtilen diğer istisnalar kapsamına girmeyen VERBİS’e kayıt yükümlülüğü olan veri sorumluları ise tabloda belirtilen sürelere göre VERBİS başvurusu yapılması gerekmekteydi. Ancak kurul kararı ile kurul anlayış göstererek, VERBİS’e kayıt yapmayan veri sorumlularına yazı gönderilerek ihtarda bulunulacağı ve o zamana kadar kayıtların devam edebileceği duyurulmuştur.

KVKK Uyum Projeleri ile mevcut iş süreçleri bakımından bir kültür değişimi yaşanması ve kişisel verilerin işlenmesi ile ilgili süreçler bakımından çalışanlarda bir farkındalık ve hassasiyet gelişmesi hedeflenmektedir. Bu gelişim de ancak süreçlerin ilgili mevzuatlar uyumunun sağlanması ve farkındalığın yükseltilmesi ile söz konusu olabilecektir.

Av. Gökçenur Bilgin, MBA