31 Ağustos 2020
Çalışma Alanları
Yazarlar
Yurtdışında Yerleşik Uluslararası Sivil Toplum Kuruluşlarının Şube, Temsilcilik ve Doğrudan Faaliyet Ofisleri Bakımından Kişisel Verileri Koruma ve VERBİS’e Kayıt Yükümlülükleri
2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu (“KVK”), uluslararası standartlarda veri güvenliği sağlanabilmesi adına kişisel veri işleyen gerçek ve tüzel kişilere pek çok yükümlülük getirmiştir.
Kişisel veri tanımının son derece geniş olması nedeniyle, olağan çalışma faaliyetleri kapsamında çalışanlar, hizmet sağlayıcıları, müşteriler veya başka herhangi bir gerçek kişi ile ilgili toplanan kimlik numaraları, telefon numaraları, doğum yeri ve tarihi, adres ve fotoğraf gibi birçok veri KVK kapsamında değerlendirilecektir. Bu nedenle, neredeyse tüm tüzel kişilerin kişisel veri işleme faaliyetinde bulundukları değerlendirilebilir.
Türkiye’de Şube, Temsilcilik veya Doğrudan Faaliyet Ofisi Üzerinden Veri İşleyen Veri Sorumlularının VERBİS’e Kayıt Yükümlülüğü
KVK kapsamında gerekli idari ve teknik tedbirlerin alınması, tüm veri işleyenler bakımından zorunlu iken; Veri Sorumluları Bilgi Sicili (“VERBİS”)’ne kayıt yükümlülüğü ile ilgili bazı istisnalar söz konusudur. Bu istisnalar özellikle şube, temsilcilik veya doğrudan faaliyet izni aracılığıyla veri işleyen yurtdışında yerleşik uluslararası sivil toplum kuruluşları (“USTK”) açısından kafa karıştırmaktadır.
22.04.2020 tarihinde yayınlanan Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararı[1] ile Türkiye’de yerleşik dernekler VERBİS kaydından muaf tutulmuştur. Bu muafiyet yurtdışında yerleşik Sivil Toplum Kuruluşlarının Türkiye’de yerleşik ofislerini de kapsamaktadır. Ancak Türkiye’den şube, temsilcilik veya doğrudan faaliyet izni aracılığıyla veya doğrudan veri işleyen yurtdışında yerleşik USTK’lar VERBİS’e kaydolmak zorundadır. Böylece, VERBİS’e kayıt olma zorunluğu şube, temsilcilik veya doğrudan faaliyet ofisinde değil, USTK’nın kendisinde olacaktır.
Kurul tarafından 11 Mart 2021 tarihinde yayınlanan karar ile VERBİS kaydı için son başvuru tarihi 31.12.2021 tarihine ertelenmiştir[2].
22.04.2020 tarihinde yayınlanan Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararı[1] ile Türkiye’de yerleşik dernekler VERBİS kaydından muaf tutulmuştur. Bu muafiyet yurtdışında yerleşik Sivil Toplum Kuruluşlarının Türkiye’de yerleşik ofislerini de kapsamaktadır. Ancak Türkiye’den şube, temsilcilik veya doğrudan faaliyet izni aracılığıyla veya doğrudan veri işleyen yurtdışında yerleşik USTK’lar VERBİS’e kaydolmak zorundadır. Böylece, VERBİS’e kayıt olma zorunluğu şube, temsilcilik veya doğrudan faaliyet ofisinde değil, USTK’nın kendisinde olacaktır.
Kurul tarafından 11 Mart 2021 tarihinde yayınlanan karar ile VERBİS kaydı için son başvuru tarihi 31.12.2021 tarihine ertelenmiştir[2].
Kişisel Verilerin Korunması Kapsamında Alınması Gereken Diğer Yükümlülükler
Veri sorumlusu işlediği kişisel verilerin güvenliğini sağlamak için idari ve teknik tedbirleri almalıdır. Bunlar veri sahiplerini aydınlatma yükümlülüğü, veri analizi yapma, kişisel veri envanteri oluşturma, veri yönetim belgelerinin hazırlanması (Kişisel Veri Saklama ve İmha Politikası gibi), kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi, çalışanlar için farkındalık eğitimleri düzenlenmesi gibi adımları içermektedir.
VERBİS’e Kayıt Yükümlülüğünün İhlalinin Yaptırımları
Kurul, KVK ile öngörülen idari ve teknik tedbirler ile VERBİS kayıt yükümlülüklerini yerine getirmeyen kişi ve kuruluşlarla idari para cezası kesmeye yetkilidir. KVK kapsamında öngörülen bazı para cezaları aşağıda listelenmiştir:
-
Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumluları için 9.834 TL’den TRY 196.686 TL’ye kadar,
-
Veri güvenliğini sağlama yükümlülüğü yerine getirmeyen veri sorumluları için 29.503 TL’den 1.966.862 TL’ye kadar,
-
Kurul tarafından şikâyet üzerine veya resen verilen kararlara uymayan veri sorumluları için 49.172 TL’den 1.966.862 TL’ye kadar,
-
VERBİS kayıt yükümlülüğünü yerine getirmeyen veri sorumluları için 49.172 TL’den 1.966.862 TL’ye kadar.
Ayrıca Türk Ceza Kanunda kişisel verilerle ilgili birçok farklı suç düzenlenmiştir. Bu suçlar 1 ila 8 yıl arasında hapis cezası ile cezalandırılmaktadır. Kişisel verilerin korunmasına ilişkin uyum projeleri, bu suçların gerçekleştirilmesiyle ilgili riskleri önemli ölçüde azaltabilecektir.
Temsilcilikler İçin Görünmeyen Tehlike
Yurtdışında yerleşik veri sorumlusunun yükümlülüklerini yerine getirmemesi halinde uygulanacak idari para cezalarının Türkiye’de kurulmuş olan şube, temsilcilik veya doğrudan faaliyet ofisine yönlendirileceği değerlendirilmektedir. Bunların kurucusu olan yurtdışında yerleşik veri sorumlusunun ilgili para cezalarını ödememesi durumunda Amme Alacakları Tahsili Usulü Hakkında Kanun dayanak gösterilerek, kamu alacağı olan idari para cezalarının temsilciliklerden tahsil edilmesi yoluna gidilebilir.
Sonuç
Türkiye’den doğrudan veya temsilcilik aracılığıyla veri işleyen USTK’ların, VERBİS kaydı zorunludur. Bu yükümlülüğün yerine getirilmemesine ilişkin kanunda spesifik idari para cezaları tanımlanmıştır. VERBİS kaydı için son başvuru 31.12.2021 tarihine ertelenmiştir. Kayıt süreci, Türkiye’den işlenen kişisel verilerin analizi, kişisel veri envanteri oluşturma ve bazı resmî belgeleri hazırlamayı gerektirdiğinden 3-4 haftalık bir sürece yayılabilmektedir.
(Bu içerik 12 Mart 2021'de güncelenmiştir.)
[1] https://www.kvkk.gov.tr/Icerik/6740/2020-315
[2] https://www.kvkk.gov.tr/Icerik/6903/VERBIS-E-KAYIT-SURELERININ-UZATILMASI-HAKKINDA-DUYURU