Kişisel Verilerin Korunması Mevzuatı, Yükümlülükleri ve Müeyyideleri.

Tarih : 16.12.2019
Sayı : 2019-…….
Konu : Kişisel Verilerin Korunması Mevzuatı, yükümlülükleri
ve müeyyideleri.

Kişisel Verilerin Korunması Mevzuatı Kimlere Yükümlülük Getirmektedir? Başvuru Süreleri nedir?

6698 Sayılı Kişisel Verilerin Korunması Kanunu ile veri sorumlusu sıfatını haiz gerçek ve tüzel kişilere verilerin işlenmesi hususunda birtakım yükümlülükler ve sınırlamalar getirilmiştir.

Bu kapsamda, 31 Aralık 2019 tarihine kadar sorumlularca yerine getirilmesi gereken başlıca yükümlülük; VERBİS’e (Veri Sorumluları Sicili) kayıt zorunluluğudur. Buna göre, Kişisel Verileri Koruma Kurulu’nun 2018/88 sayılı kararında yapılan 2018/125 sayılı değişik karara göre,

a. Yıllık çalışan sayısı 50’den çok veya yıllık bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişiler, (50 Kişiden az veya 25 milyon TL den az olan gerçek ve tüzel kişiler için kayıt zamanı 31.03.2020)
b. Yurtdışında yerleşik gerçek ve tüzel kişiler,
c. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler ile
d. Kamu kurum ve kuruluşlarının (Veri Sorumlusu atama son tarih 30.06.2020)

31 Aralık 2019 (ertelemeler dahil) tarihine kadar VERBİS’e kayıt olmaları gerekmektedir.
Burada üzerinde durulması gereken ilk husus, çalışan sayısının hesaplanmasıdır. Buna göre, kurul kararlarından anlaşılacağı üzere, yıllık çalışan sayısının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisindeki 12 aydan en az 7’sinin her birinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan Muhtasar ve Prim Hizmet Beyannamesinde bildirilen çalışan sayısının dikkate alınması gerekmektedir.

Ayrıca söz konusu 7 ayın aynı yıl içerisinde olmak kaydıyla ardışık olması zorunlu değildir. Buna göre, bir veri sorumlusu 2017 yılı içerisinde Sosyal Güvenlik Kurumuna vermiş olduğu Muhtasar ve Prim Hizmet Beyannamelerinin en az 7 sinin her birinde bildirmiş olduğu çalışan sayısının 50’den çok olması halinde kayıt yükümlülüğü 01.10.2018 tarihinde başlamış olacaktır.

Üzerinde durulması gereken bir başka önemli husus ise mali bilançonun hesaplanmasıdır. Kurulun istisna ve kayıt yükümlülüğü başlama tarihleriyle ilgili diğer kararlarında, diğer bazı kriterlerle birlikte “yıllık mali bilanço toplamı” kriteri de dikkate alınmıştır. Bu Kararlarda yer alan yıllık mali bilanço toplamının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisinde veri sorumlusu tarafından yetkili kamu kurumuna yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyanname ekindeki mali tablolarda yer alan mali bilanço bilgisinin dikkate alınması gerekmektedir.
Buna göre veri sorumlusunun beyannamesi ekindeki bilançoda yer alan “aktif” ya da “pasif” bölümündeki toplam rakam esas alınmalıdır. Bu rakamlar eşit olmak zorundadır.

Bu kararlarda yer alan yıllık mali bilanço toplamı ifadesinden, bilanço usulüne göre defter tutanların yetkili kamu kurumuna verdiği yıllık gelir veya kurumlar vergisi beyanname ekindeki bilançoda yer alan “aktif” ya da “pasif” bölümündeki toplam rakam dikkate alınacaktır. Ciro ya da net satış / brüt satış hasılatı bilgisi dikkate alınmayacaktır.

Yukarıda belirttiğimiz üzere, belirli nitelikleri taşıyan gerçek ve tüzel kişilerin Kişisel Verileri Koruma Kanunu ve ilgili mevzuat uyarınca veri sorumlusu siciline kayıt olması gerekmektedir.

VERBİS ile Hangi İşlemler Yapılabilmektedir.?
VERBİS, Sicile kayıt yükümlülüğü olan veri sorumluları için; – Yurtiçinde Yerleşik Gerçek / Tüzel Kişi, – Yurtdışında Yerleşik Gerçek / Tüzel Kişi, – Kamu Kurum ve Kuruluşları olmak üzere 3 farklı yapı şeklinde kurgulanmıştır.

Bu kapsamda VERBİS ekranları aracılığıyla;
-Veri sorumlusu yönetici girişi,
veri sorumlusu temsilcisi bildirimi,

kamu kurumlarınca belirlenen koordinasyon görevlisinin bildirimi konularında sistem üzerinden bilgi girişi yapılarak başvuru formu oluşturulmasına,

-Başvuru formunun Başkanlığımıza ulaşması üzerine sistem üzerinden kullanıcı adı ve parola oluşturularak veri sorumlusuna iletilmesine,

-Kullanıcı adı ve parola kullanılarak sisteme giriş yapılması, irtibat kişisi atamasının yapılması, veri sorumlusunun işlemekte olduğu kişisel verilerle ilgili irtibat kişisi tarafından veri kategorileri, işleme amaçları, saklama süreleri, alınan teknik ve idari tedbirler, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler ve veri konusu kişi gruplarına ait kategorik bazda bilgi girişi yapılarak kayıt yükümlülüğünün yerine getirilmesine, -İlgili kişilerce VERBİS’te yer alan kategorik bazdaki bilgilerin görülebilmesine,

-Sicilde yer alan bilgilerde her zaman değişiklik yapılabilmesine, imkân sağlanmıştır.

Yurtiçinde yerleşik gerçek kişi veri sorumluları Sicile Kaydı Nasıl Yapılacaktır?
Yurtiçinde yerleşik gerçek kişi veri sorumlularınca VERBİS ana sayfada yer alan “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yapılır. İlgili alanlar doldurularak PDF formatında başvuru formu sistemden oluşturulur. Oluşturulan formun çıktısı alınarak ıslak imzalı belge şeklinde Kurumun posta adresine posta yoluyla iletilir veya varsa kayıtlı elektronik posta (KEP) adresi üzerinden PDF formatındaki dosya eklenerek Kurumun KEP adresine iletilir. Kurum tarafından yapılan değerlendirme sonucunda, başvuru formunda belirtilen elektronik posta adresine “kullanıcı adı” ve “parola” gönderilir.
Veri sorumlusu olan gerçek kişi tarafından “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yapıldıktan sonra Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi “irtibat kişisi” olarak atanır. (veri sorumlusu, irtibat kişisi olarak kendisini atayabileceği gibi bir başka kişiyi de atayabilecektir.) Atanan irtibat kişisi tarafından VERBİS ana sayfada yer alan “Sicile Kayıt” butonu aracılığıyla giriş yapılır ve gelen ekranlara bilgi girişi yapılarak Sicile kayıt işlemi sonuçlandırılır.

Tüzel Kişilerde Veri Sorumlusu Kimdir?
Tüzel kişilerde veri sorumlusu, görevlendirilen bir gerçek kişi değil tüzel kişiliğin bizzat kendisidir. Buna göre şirketlerde veri sorumlusu; şirket çalışanı, yöneticisi, patronu, yönetim kurulu başkanı, yönetim kurulu üyeleri, avukatı gibi şirketi temsil eden kişiler veya dışarıdan hizmet alınan kişiler değil, şirketin kendisidir.

Ancak şirket, Kanunun uygulanmasıyla ilgili iş ve işlemleri yerine getirme konusunda bu kişileri görevlendirebilir. Bu görevlendirme o kişinin veri sorumlusu olduğu anlamına gelmez.

Kişisel Verilerin Korunması Kanununun Amacı Nedir?
Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır. Bu kapsamda Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanunun gerekçesinde, kişinin mahremiyet hakkının korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların da düzenlenmesi Kanunun amaçları arasında yer almaktadır.

VERBİS’e kayıt yükümlülüğünden istisna tutulacak veri sorumluları;
Noterler, Dernekler, Vakıflar, Sendikalardan yalnızca faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik veri işleyenler, Siyasi partiler, Avukatlar, Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler, Arabulucular, Gümrük Müşavirleri
olarak belirtilmiştir.

Kvkk kapsamında Türk ceza kanunu uyarınca düzenlenmiş suçlar
Kanun’un Suçlar başlığı altında 17. maddesinde doğrudan Türk Ceza Kanuna (“TCK”) 135 ila 140. maddelerine atıf yapılmış olup aşağıda yer alan suçları işledikleri sabit olanlar hapis cezası ile karşılaşabileceklerdir.

Kişisel verilerin hukuka aykırı olarak kaydedilmesi halinde, TCK 135. madde kapsamında, hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verileceği düzenlenmiştir. Bu kişisel verilerin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda verilecek ceza yarı oranında artırılacaktır.

Kişisel verilerin hukuka aykırı olarak başkasına verilmesi, yayılması ve ele geçirilmesi halinde, TCK 136. madde kapsamında, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir.

Kanuni sürelerin geçmiş olmasına rağmen verilerin yok edilmemesi halinde ise, TCK 138. madde kapsamında, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verileceği düzenlenmiştir.

Kabahatler kanununa göre verilecek cezalar
Kanun’un 18. maddesi Kabahatler başlığı altında düzenlenmiş olup, aşağıda yer verilen yükümlülükleri yerine getirmeyen veri sorumlusu gerçek ve tüzel kişilere miktarı Kanun’un ilgili maddesinde düzenlenen aralıklarda olmak üzere Kurul tarafından idari para cezaları verilebilir. Kanun’un 10. maddesinde düzenlenen;

o Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 0 TL – 100.000 TL,

o Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TL- 1.000.000 TL,

o Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 TL- 1.000.000 TL,

o Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 TL- 1.000.000 TL kadar para cezası verilebilecektir.

Yukarıdaki ihlallerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarında işlenmesi halinde, Kurulun yapacağı bildirim üzerine, kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri, kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacak ve sonuç Kurul’a bildirilecektir.

Kişisel Verilerin Korunması Kanunu’na uyum için tanınan süre uzatılmaması halinde 31.12.2019 tarihinde dolacaktır. Bu nedenle veri sorumlusu tüm kişi ve kurumların kanuna uyum ile ilgili çalışmalarını tamamlamaları için çok süre kalmamıştır. KVKK düzenlemelerine uymamanın cezası ise hem idari para cezası hem de hapis cezası olarak oldukça ağırdır.

Başvuru nasıl yapılacaktır.
Tüzel kişiler ve gerçek kişiler için başvuru aynı ekran üzerinden yapılmakta olup;
https://www.kvkk.gov.tr/ adresi üzerindeki https://verbis.kvkk.gov.tr/ VERBİS kayıt ekranından yapılmaktadır.

Öncelikle Veri Sorumlusu Yönetici Girişi yapılacak olup daha sonra veri sorumlusu temsilcisi atanacaktır. Bu atama e-devlet üzerinden olmaktadır. Aynı ekran kullanılacaktır.
Saygılar
Dr. A. Utku ÇAKIL
SMMM, Bağımsız Denetçi

One Comment

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Translate »