28 Ağustos 2020
Yabancı Şirketlerin Türkiye’de Kurulu İrtibat Ofisleri ve Şubeleri Bakımından Kişisel Verileri Koruma ve VERBİS Kayıt Yükümlülükleri
2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu (“KVKK”), uluslararası standartlarda veri güvenliği sağlanabilmesi adına kişisel veri işleyen gerçek ve tüzel kişilere pek çok yükümlülük getirmiştir.
KVKK, kişisel veriyi oldukça geniş şekilde tanılamıştır. Olağan çalışma faaliyetleri kapsamında olsa bile çalışanlar, hizmet sağlayıcıları, müşteriler veya başka her hangi bir gerçek kişi ile ilgili toplanan kimlik numaraları, telefon numaraları, doğum yeri ve tarihi, adres ve fotoğraf gibi birçok veri KVKK kapsamında değerlendirilecektir. Bu nedenle, neredeyse tüm irtibat ofisi ve şubelerin aşağıda açıklanan adımları atmakla yükümlü olduğu değerlendirilebilir.
Türkiye’den İrtibat Ofisi veya Şube Aracılığıyla Veri İşleyen Yurtdışında Yerleşik Veri Sorumlularının VERBİS Kayıt Yükümlülüğü
KVKK kapsamında gerekli idari ve teknik tedbirlerin alınması tüm veri işleyenler bakımından zorunlu iken Veri Sorumluları Bilgi Sicili (“VERBİS”)’ne kayıt yükümlülüğü ile ilgili bazı istisnalar söz konusudur. Bu istisnalar özellikle irtibat ofisi veya şubeleri aracılığıyla veri işleyen yurtdışında yerleşik veri sorumluları açısından kafa karıştırmaktadır.
KVKK kapsamında kurulan bağımsız bir kuruluş olan Kişisel Verileri Koruma Kurulu (“Kurul”), irtibat ofisi ve şubelerin VERBİS’e kayıt yükümlülüğünü detaylı bir şekilde ele almıştır. Kurul’un 23 Temmuz 2019 tarihli ve 2019/255 sayılı kararında[1], Türkiye’den irtibat ofisleri veya şubeleri aracılığıyla dolaylı olarak veya doğrudan veri işleyen yurtdışında yerleşik veri sorumlularının VERBİS’e kayıt olmaları gerektiği açık bir şekilde belirtmiştir.
COVID-19 salgını nedeniyle VERBİS kaydı için son başvuru tarihi 30 Eylül 2020 tarihine ertelenmiştir. Türkiye’de irtibat ofisi veya şube vasıtasıyla veri işleyen veri sorumlularının bu tarihe kadar VERBİS’e kayıt olmaları gerekmektedir.
Kişisel Verilerin Korunması Kapsamında Diğer Yükümlülükler
Veri sorumlusu işlediği kişisel verilerin güvenliğini sağlamak için idari ve teknik tedbirleri almalıdır. Bunlar veri sahiplerini aydınlatma yükümlülüğü, veri analizi yapma, kişisel veri envanteri oluşturma, veri yönetim belgelerinin hazırlanması (Kişisel Veri Saklama ve İmha Politikası gibi), kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi, çalışanlar için farkındalık eğitimleri düzenleme gibi adımları içermektedir.
VERBİS’e Kayıt ve Tedbir Yükümlülüklerinin İhlalinin Yaptırımları
Kurul, KVKK ile öngörülen yükümlülüklerini yerine getirmeyen kişi ve kuruluşlarla idari para cezası kesmeye yetkilidir. KVKK kapsamında öngörülen bazı para cezaları aşağıda listelenmiştir:
-
Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumluları için 9.013 TL’den 180.264 TL’ye kadar,
-
Veri güvenliğini sağlama yükümlülüğü yerine getirmeyen veri sorumluları için 24.040 TL’den 1.802.636 TL’ye kadar,
-
Kurul tarafından şikâyet üzerine veya resen verilen kararlara uymayan veri sorumluları için 45.066 TL’den 1.802.636 TL’ye kadar,
-
VERBİS kayıt yükümlülüğünü yerine getirmeyen veri sorumluları için 36.053 TL’den 1.802.636 TL’ye kadar.
Ayrıca, Türk Ceza Kanunu kişisel verilerle ilgili birçok farklı suç düzenlemektedir. Bu suçların işlenmesi durumunda kişiler, 1 ila 3 yıl arasında hapis cezası ile cezalandırılabilir. Kişisel verilerin korunmasına yönelik uyum çalışmaları, bu riskin gerçekleşmesini önemli ölçüde azaltacaktır.
İrtibat Ofisi Temsilcileri ve Şube Müdürleri İçin Görünmeyen Tehlike
KVKK kapsamındaki yükümlülüklerini yerine getirilmemesi halinde uygulanacak idari para cezalarının, Türkiye’de kurulmuş olan irtibat ofisi ve şubelere yönlendirileceği değerlendirilmektedir. İlgili para cezalarının ödenmemesi durumunda Amme Alacakları Tahsili Usulü Hakkında Kanun dayanak gösterilerek, kamu alacağı olan idari para cezaları irtibat ofisi temsilcileri veya şube müdürlerinden tahsil edilmesi yoluna gidilebilir.
Sonuç
Türkiye’den doğrudan veya irtibat ofisi/temsilcilik aracılığıyla veri işleyen yurtdışında yerleşik tüm gerçek veya tüzel kişilerin VERBİS kaydı zorunludur. VERBİS kaydı için son başvuru tarihi 30.09.2020 tarihine ertelenmiştir. Kayıt süreci, Türkiye’den işlenen kişisel verilerin analizi, kişisel veri envanteri oluşturma ve bazı resmî belgeleri hazırlamayı gerektirdiğinden 3-4 haftalık bir sürece yayılabilmektedir.