Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin Kurulca Belirlenen Tarihler Hakkında 2019/387 Sayılı Kurul Karar Özeti

Karar No : 2019/387
Konu Özeti :Veri Sorumluları Siciline kayıt tarihlerinin düzenlenmesi

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16 ncı maddesi gereği, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulu (Kurul) gözetiminde Başkanlık tarafından kamuya açık olarak tutulmaktadır. Bu amaçla oluşturulan ve kısa adı VERBİS olan Veri Sorumluları Sicil Bilgi Sistemine, kayıt yükümlülüğü kapsamındaki veri sorumlularınca işlemekte oldukları kişisel verilerle ilgili bilgi girişi yapılması gerekmektedir.

Veri Sorumluları Sicilinin kamuya açık olarak tutulması; kişisel verisi işlenen gerçek kişilere, kendi verileri üzerinde kontrolün sağlanabilmesi imkânı sunduğundan VERBİS, şeffaflık ve hesap verebilirlik özelliği ile ön plana çıkmaktadır.

Sicile kayıt yükümlülüğü, kişisel veri işlemekte olan gerçek veya tüzel kişiler için Kanunla getirilmiş bir yükümlülük olup bu yükümlülüğe uyulmaması halinde yaptırım öngörülmüş olmakla birlikte asıl hedeflenen; kişisel verilerin işlenmesinde şeffaflığın sağlanması, veri sorumlularının Kanuna uyumu konusunda özen göstermeleri, kişisel veri işlenmesinin disiplin altına alınması, kişisel verisini işlediği kişilere hesap verebilmesi, kişisel verilerin gelişigüzel işlenmesinin önüne geçilmesi ve bu konuda bir kültür ve farkındalık oluşmasının sağlanmasıdır.

Kayıt yükümlülüğünün yerine getirilmesi ile ilgili tarihler de Kanunun geçici 1. maddesine istinaden Kurul tarafından belirlenerek aşağıdaki gibi ilan edilmiştir:

  Veri Sorumluları Başlama tarihi Verilen süre Son tarih
1 Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları 01.10.2018 15 ay 31.12.2019
2 Yurtdışında yerleşik veri sorumluları 01.10.2018 15 ay 31.12.2019
3 Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 15 ay 31.03.2020
4 Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 15 ay 30.06.2020

 

VERBİS üzerinden yapılan değerlendirme sonucunda, bazı veri sorumlularınca söz konusu başvuru formlarının Başkanlığımıza iletilmesi ile yükümlülüğün yerine getirilmiş olduğu düşünülerek bildirim yapılmadığı gözlemlenmektedir. İrtibat kişisi tarafından “Sicile kayıt” butonu ile giriş yapılarak bildirimin tamamlanması ve sistem üzerinden iletilmediği takdirde Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmemiş olacağının bilinmesinde fayda görülmektedir.Bilindiği üzere, Kanunun 16 ncı maddesinde istisna kapsamında olmayan veri sorumluları için getirilmiş olan yükümlülük, kayıt ve bildirim yükümlülüğünün yerine getirilmesidir. Bu kapsamda veri sorumlularının, önce VERBİS’e giriş yaparak başvuru formunu sistem üzerinden oluşturması ve bu formu Kuruma kargo / posta / elden iletilmesi veya Kayıtlı Elektronik Posta (KEP) aracılığıyla iletmesi gerekli görülmektedir. Başvuru formunun iletilmesi üzerine Kurum tarafından kendisine iletilen “kullanıcı adı” ve “parola” ile VERBİS’e giriş yaparak bildirimi gerçekleştirmesi gerekmektedir.

Öte yandan veri sorumlularınca, Kurul kararında öngörülen sürede kayıt ve bildirim yükümlülüğünü yerine getirmek amacıyla son günlerde yoğun bir şekilde başvuru ve VERBİS üzerinden bildirim iletildiği gözlemlenmektedir.

Veri sorumlularına, 6698 sayılı Kanunla Sicile kayıt ve bildirim yükümlülüğü getirilmiş olmasının amacı;

sağlanmasıdır.

Bu amaçlardan da anlaşılacağı üzere Sicile kayıt ve bildirim yükümlülüğü, sadece süresinde VERBİS’e kayıt olunmasını değil, bununla birlikte VERBİS’e beyan edilen bilgilerin tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde doğru, güncel ve güvenilir bilgilerin de beyan edilmesini kapsamaktadır.

VERBİS veri tabanı üzerinden özellikle son günlerde iletilen bildirimlerle ilgili olarak yapılan araştırmada, bazı bildirimlerde işlendiği beyan edilen kişisel verilerle işleme amaçlarının, aktarım gerçekleştirildiği beyan edilen alıcı/alıcı gruplarının, veri konusu kişi gruplarının, alınan teknik ve idari tedbirlerin, özel nitelikli kişisel veriler için alınması gereken yeterli önlemlerin, yurtdışına veri aktarımının ve saklamaya ilişkin beyan edilen sürelerin örtüşmediği, bu konuda ciddi yanlışlıkların ve Kanuna/yönetmeliklere aykırılıkların olduğu görülmektedir.

Bu durumun nedenlerinden birisinin de Kanunun 18 inci maddesinde öngörülen yaptırımlarla karşılaşmamak adına Kurul tarafından belirlenen süre içerisinde bir kayıt gerçekleştirmek olduğu anlaşılmaktadır.

Kanunun 16 ncı maddesinde Sicile ilişkin bazı hükümler yer almış olup diğer usul ve esasların da yönetmelikle düzenleneceği ifade edilmiştir. Buna istinaden 31.12.2017 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesinde;

“ç) Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.

d) Kanunun 10 uncu maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.

e) Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz.”

hükümleri yer almıştır.

Buna göre, veri sorumlularının VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirirken öncelikle kişisel veri işlenmekte olan tüm süreçleri içerecek şekilde kişisel veri işleme envanteri hazırlanması ve VERBİS’e bildirim yapılırken gelişigüzel değil söz konusu envanter baz alınarak giriş yapılması gerekmektedir.

Ayrıca, Kanunun 16 ncı maddesinde Sicile girilen bilgilerde meydana gelen değişikliklerin derhâl Başkanlığa bildirileceği hükmü ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 13 üncü maddesinde yer alan “Veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.” hükmü gereği gerekli güncellemelerin belirtilen sürede yapılması gerekmektedir.

Veri sorumlularınca Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmesi amacıyla VERBİS’e girilen bilgiler üzerinden Kurul tarafından yapılan araştırma ve değerlendirme sonucunda;

a) Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmesi kapsamında;

tüm veri sorumlularına hatırlatılmasına,

b) Yukarıda yer verilen açıklamalar doğrultusunda kişisel veri işleme envanteri hazırlamadan gelişigüzel VERBİS’e kayıt ve bildirim gerçekleştiren veri sorumluları ile envanter hazırlama süreçlerini tamamlayamadığı için süresinde kayıt ve bildirim yükümlülüğünü yerine getiremeyecek olan veri sorumluları dikkate alınarak, VERBİS’e girilmiş olan bilgilerde herhangi bir hata veya Kanuna aykırılık varsa bu durumun bir an önce düzeltilmesi için gerekli çalışmaların yapılabilmesini teminen 6698 sayılı Kanunun Geçici 1 inci maddesi gereği;

kadar uzatılmasına,

c) Bu kararın Kurum internet sayfasında duyurulması ve Resmî Gazete’de yayımlanmasına

karar verilmiştir.

Kaynak : Kişisel Verileri Koruma Kurumu

ASMMMO