KVKK BİLGİLENDİRME VE VERBİS KAYIT TARİHLERİ




KVKK BİLGİLENDİRME VE VERBİS KAYIT TARİHLERİ

 

 

KİŞİSEL VERİLERİN İŞLENMESİ VE VERİ SORUMLULARI SİCİLİ’NE 

KAYIT TARİHLERİ

                                                                                                                                
 

  1. Kişisel Veri Nedir?

Kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
 

  1. Kişisel Verilerin İşlenmesi Ne Demektir?

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmektedir. Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet kişisel verilerin işlenmesi olarak değerlendirilmektedir.
 

  1. Kişisel Verilerin İşlenmesi İçin Gerekli Şartlar Nelerdir?

Kişisel verilerin işlenmesi, Kanun’un 5. maddesinde sayılan hallerden en az birinin bulunması durumunda mümkündür. Buna göre;

§  İlgili kişinin açık rızasının varlığı,

§  Kanunlarda açıkça öngörülmesi,

§  Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

§  Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

§  Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

§  İlgili kişinin kendisi tarafından alenileştirilmiş olması,

§  Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

§  İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, hallerinde kişisel verilerin işlenmesi mümkündür.


 

 

Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanun’da sınırlı sayıda sayılmış olup, bu şartlar genişletilemez.

Kişisel veri işleme, Kanun’da bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Nitekim ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir.

Bu kapsamda, veri sorumlusu tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu amaç Kanun’da belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir.


4)   Açık Rıza Alınırken Dikkat Edilecek Hususlar Nelerdir?

Açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza”dır.

Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır.

Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanını içermesi gerekmektedir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir.

Kanun’un 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:

§ Belirli bir konuya ilişkin olması,

§ Rızanın bilgilendirmeye dayanması,

§ Özgür iradeyle açıklanması.

Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Örneğin; “her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi belirli bir konu ve faaliyeti işaret etmeyen rıza beyanları battaniye rıza kapsamında değerlendirilebilecek durumlardır.

Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir.

Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.


       5)    Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.

Kanun’a göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.


       6)  Veri Sorumlusunun Yükümlülükleri Nelerdir?

  1. Aydınlatma Yükümlülüğü

Kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanun’un 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:

§  Veri sorumlusunun ve varsa temsilcisinin kimliği,

§  Kişisel verilerin hangi amaçla işleneceği,

§  Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

§  Kişisel veri toplamanın yöntemi ve hukuki sebebi,

§  11. maddede sayılan diğer hakları.

Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu veya faaliyetin Kanun’daki diğer bir şart kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Yani, ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.

  1. Veri Güvenliğine İlişkin Yükümlülükler

Kanun’un veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu;

§  Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

§  Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

§  Kişisel verilerin muhafazasını sağlamak

ile yükümlüdür.

Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak ise Kurul’un yetki ve görevleri arasında yer almaktadır. Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir.

Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır. Buna göre, örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.

Kanunda, veri güvenliğine ilişkin olarak ayrıca veri sorumlusuna denetim yükümlülüğü getirilmiştir. Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Dolayısıyla, veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir.

Öte yandan, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Veri güvenliğine ilişkin alınacak önlemlerin her bir veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun olması gerekmektedir. Bu nedenle, veri güvenliğine ilişkin tek bir model öngörülememektedir. Uygun önlemlerin belirlenmesinde şirketin büyüklüğü veya cirosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önemlidir.

  1. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü

Veri sorumluları, ilgili kişiler tarafından yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle kendisine iletilen Kanun’un uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, veri sorumlusu, Kurulca belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteyebilir.

Kurulca belirlenen tarifeye Veri Sorumlularına Başvuru Usul ve Esasları Hakkında Tebliğ’de yer verilmiştir. Söz konusu Tebliğ için http://www.resmigazete.gov.tr/eskiler/2018/03/20180310-6.htm

Veri sorumlusu, talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir.

  1. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.

  1. Veri Sorumluluları Siciline Kayıt Yükümlülüğü

Veri Sorumluları, Veri Sorumluları Sicili (VERBİS) olarak adlandırılan sisteme kayıt olmak ve veri işleme faaliyetleri ile ilgili bilgileri beyan etmek zorundadırlar. 


     7)   Veri Sorumluları Sicili’ne Kayıt Zorunluluğu ve Başvuru Usulü

6698 Sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlularının, Veri Sorumluları Sicili’ne (VERBİS) kaydolmalarını zorunlu kılmaktadır. Dolayısıyla veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir. 

Veri Sorumluları Sicili’ne kayıt olmak için başvuru, aşağıdaki bilgileri içeren bir bildirim ile yapılacaktır. Veri Sorumluluları, Kişisel Verileri Koruma Kurumu tarafından belirlenen kayıt tarihleri içerisinde Kurum’un internet sitesi üzerinden başvuruda bulunabileceklerdir. Bildirimde yer alması gereken bilgiler şunlardır:

§ Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,

§ Kişisel verilerin hangi amaçla işleneceği,

§ Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

§ Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

§ Yabancı ülkelere aktarımı öngörülen kişisel veriler,

§ Kişisel veri güvenliğine ilişkin alınan tedbirler,

§ Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.


Yukarıda listelenen bilgilerde herhangi bir değişiklik olması halinde, söz konusu değişikliklerin derhal Kuruma bildirilmesi gerekmektedir. Böylelikle, Sicilin güncelliğinin sağlanması hedeflenmiştir.


      8)   Veri Sorumluları Siciline Kayıt Tarihleri

“Sicile Kayıt Yükümlülüğünün Başlama Tarihleri” Kişisel Verileri Koruma Kurulu tarafından 2018/88 Sayılı Karar’da yayınlanmıştır. Karar göre, Veri Sorumluları Siciline kayıt yükümlülüğü için başlangıç tarihleri şöyledir;

 

 

       VERİ SORUMLULARI SİCİLİ’NE KAYIT OLMA TARİHLERİ

 

Veri Sorumluları

 

Kayıt Yükümlülüğü Başlangıç Tarihi

 

Kayıt İçin Verilen Süre

 

Kayıt İçin Son Tarih

 

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi

 

 

01.10.2018

 

 

12 ay

 

 

30.09.2019 (son değişiklik ile 31.12.2019 a ertelendi)

 

Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları

 

01.10.2018

 

12 ay

 

30.09.2019 

 

Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları

 

 

 

01.01.2019

 

 

 

15 ay

 

 

 

31.03.2020


Kamu kurum ve kuruluşu veri sorumluları

 

01.04.2019

 

15 ay

 

30.06.2020

 

       9)    Veri Sorumluları Sicili’ne Kayıt İstisnaları

Kural olarak, tüm veri sorumlularının Veri Sorumluları Sicili’ne kaydolmaları gerekmektedir. Söz konusu kayıt işleminin, veri işleme faaliyetlerine başlamadan önce tamamlanması gerekir.

Bununla birlikte, Kanunun 28. maddesinin 2. fıkrasında sayılan hallerde, Veri Sorumluları Sicili’ne kayıt yükümlülüğünü düzenleyen 16. madde hükümleri uygulanmayacaktır.

Ayrıca, Kanun’da Kurul’a, sicile kayıt zorunluluğuna istisna getirme yetkisi verilmiştir. Söz konusu istisnanın uygulanmasında; işlenen kişisel verinin niteliği, sayısı, veri işlemenin Kanun’dan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmaktadır.

Kurul, daha önce kayıt istisnası getirdiği veri sorumlularını açıklamış olmakla birlikte 18.08.2018 tarihli Resmî Gazete’de yayınlanan kararla istisnaların kapsamını genişletmiştir. 

Veri Sorumluları Sicili’ne kayıt yükümlülüğüne getirilmiş olan istisnalar ve ilgili kurul kararının sayı ve tarihleriyle Resmî Gazete’de yayım tarihleri aşağıdaki tabloda yer almaktadır. 

EK Bilgi: Veri Sorumluları Sicili’nden istisna olmak, 6698 Sayılı Kanunu’ndan istisna olmak anlamına gelmemektedir. 6698 Sayılı Kanun’un hükümleri tüm veri sorumluları için geçerlidir.

 

                                                                                    
         VERİ SORUMLULARI SİCİLİ’NE KAYIT YÜKÜMLÜLÜĞÜNE GETİRİLMİŞ 

         OLAN İSTİSNALAR                                                   

 

Veri Sorumluları

  Kurul Kararı

Resmi Gazetede Yayım Tarihi

Tarihi

Sayısı

 

1


Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler

 

02.04.2018

 

2018/32

 

15.05.2018

 

2


1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler

 

02.04.2018

 

2018/32

 

 15.05.2018

3


5253 sayılı Demekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler. 

 

 

 

 

02.04.2018

 

 

 

 

2018/32

 

15.05.2018


4


2820 sayılı Siyasi Partiler Kanunu’na göre kurulmuş siyasi partiler

 

02.04.2018

 

 

2018/32

 

 

 15.05.2018


5


1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar  

 

02.04.2018

 

2018/32

 

15.05.2018

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6

 

3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler. 

 

 

02.04.2018

 

2018/32

 

 

15.05.2018 

 

 

7

 

4458 Sayılı Gümrük Kanunu uyarınca faaliyet gösteren Gümrük Müşavirleri ve Yetkilendirilmiş Gümrük Müşavirleri 

 

28.06.2018

 

2018/68

 

18.08.2018

 

8

 

Arabulucular 

 

05.07.2018

 

2018/75

 

18.08.2018

 

9

 

Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek ve tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar  

 

 

 

19.07.2018

 

 

2018/87

 

 

18.08.2018

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Yukarıda yer alan bilgiler sadece bilgi verme amacı ile paylaşılmıştır. Somut olayların özellikleri dikkate alınarak değerlendirme yapılması gerekmekte olup, detaylı bilgi için Özcan&Metinoğlu Hukuk Bürosuna 0 212 603 60 42 numaralı telefon numarasından ulaşabilirsiniz. 

Sitemizde yayınlanan tüm makalelerin ve içeriklerin telif hakkı Özcan&Metinoğlu Hukuk Bürosuna aittir. Sitemizdeki makalelerin kopyalanarak veya özetlenerek izinsiz bir şekilde web sitelerinde veyahut başka mecralarda yayınlanması halinde hukuki ve cezai işlem yapılacaktır.