Hukuk & Danışmanlık Hizmetleri
Yerel ve uluslararası alanda bilgili ve
tecrübeli ekibimizle hizmet sunmaktayız.

Veri Sorumluları Siciline Kayıt Yükümlülüğü: Hukuki Çerçeve, Kurul Kararları ve Uygulamadaki Gelişmeler

Posted on by Andis Hukuk

Ana sayfa Veri Sorumluları Siciline Kayıt Yükümlülüğü: Hukuki Çerçeve, Kurul Kararları ve Uygulamadaki Gelişmeler

Giriş

Kişisel verilerin korunması, bireyin temel hak ve özgürlükleri arasında yer almakta ve çağımızın dijitalleşen dünyasında giderek daha fazla önem kazanmaktadır. Bu bağlamda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde bireylerin haklarını güvence altına alırken, veri sorumlularına da çeşitli yükümlülükler getirmiştir. Bu yükümlülüklerden biri, kişisel veri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (VERBİS) kaydolmalarıdır.

KVKK’nın 16. maddesi uyarınca oluşturulan Sicil, kişisel verilerin işlendiği süreçlerde şeffaflık, hesap verebilirlik ve denetlenebilirlik ilkelerini hayata geçirmeyi amaçlamaktadır. Bu sistem, veri sorumlularının kişisel veri işleme faaliyetlerini beyan etmeleri ve kamuoyuyla paylaşmalarını sağlayarak, ilgili kişilere kendi verileri üzerinde kontrol olanağı sunmaktadır.

Veri Sorumluları Siciline kayıt yükümlülüğü yalnızca bir formalite değil, kişisel verilerin korunmasına ilişkin sistematik bir yaklaşımın temel taşıdır. Bu kapsamda Kişisel Verileri Koruma Kurulu (Kurul), çeşitli tarihlerde aldığı kararlarla kayıt yükümlülüğünün kapsamını, süresini, istisnalarını ve uyulması gereken kuralları netleştirmiştir. Kurul kararları, yalnızca mevzuatın uygulanmasını açıklamakla kalmamış; zaman içinde uygulamadaki ihtiyaçlara göre revizyonlar da getirmiştir. Bu makalede, VERBİS’e kayıt yükümlülüğü hukuki dayanaklarıyla birlikte açıklanacak, Kurul kararları ışığında istisna durumları ve uygulamada karşılaşılan sorunlar değerlendirilecektir.

  1. Mevzuat Çerçevesi: KVKK Madde 16 ve Yönetmelik Hükümleri

Veri Sorumluları Siciline kayıt yükümlülüğünün temel dayanağını, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. maddesi oluşturmaktadır. Anılan maddeye göre, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Sicile kaydolmak zorundadır. Ancak, Kurul tarafından belirlenen bazı objektif kriterlere dayanılarak bu yükümlülüğe istisnalar getirilmesi mümkündür.

Bu hükme paralel olarak, 30 Aralık 2017 tarihli ve 30286 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren “Veri Sorumluları Sicili Hakkında Yönetmelik” ile uygulamaya ilişkin detaylar belirlenmiştir. Yönetmeliğin 5. maddesine göre, Sicile kayıtla yükümlü olan veri sorumluları, kişisel veri işleme envanteri hazırlamakla yükümlüdür. Envantere dayalı olarak Sicile yapılacak bildirimlerin doğru, eksiksiz, güncel ve hukuka uygun olması gerekmektedir.

Ayrıca yönetmeliğin 13. maddesinde, Sicilde kayıtlı bilgilerde değişiklik olması halinde bu değişikliklerin yedi gün içinde VERBİS üzerinden Kuruma bildirilmesi zorunluluğu getirilmiştir.

Bu düzenlemeler, veri sorumlularının yalnızca kayıt olmakla değil; sürekli güncel ve doğru bilgi sunmakla da yükümlü olduğunu göstermektedir.

  1. Sicile Kayıt Yükümlülüğü: Kapsam ve İstisnalar

Kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce Sicile kaydolmak zorunda olduğu ancak bu genel kurala istisna getirilebileceği Kişisel Verileri Koruma Kanununun 16. Maddesinde düzenlenmiştir.

Yine Veri Sorumluları Sicili Hakkında Yönetmeliğin 15. Maddesinde de istisna uygulanılacak haller yer almaktadır. Ancak yönetmeliğin 16. Maddesinde Kurulun hangi kriterlere dayanılarak istisnalar getirebileceği düzenlenmiş ve süreç içinde Kurul bu yetkiye dayanarak çeşitli kararlar almıştır.

Bu kriterleri düzenleyen 16. Madde aşağıda alıntılanmaktadır:

Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne istisna getirebilir:

  1. a) Kişisel verinin niteliği.
  2. b) Kişisel verinin sayısı.
  3. c) Kişisel verinin işlenme amacı.

ç) Kişisel verinin işlendiği faaliyet alanı.

  1. d) Kişisel verinin üçüncü kişilere aktarılma durumu.
  2. e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.
  3. f) Kişisel verilerin muhafaza edilmesi süresi.
  4. g) Veri konusu kişi grubu veya veri kategorileri.

ğ) (Ek:RG-28/4/2019-30758) Veri sorumlusunun yılık çalışan sayısı veya yılık mali bilanço toplamı bilgisi.

(2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak kamuya duyurur.

 

Bu kapsamda, Kurul ilgili yukarıda bahsi geçen mevzuat hükümlerinin verdiği yetki çerçevesinde birtakım veri sorumlularını Sicile kayıt yükümlülüğünden muaf tutmuştur​. Muaf tutulan veri sorumluları ve buna ilişkin kararların bilgileri şu şekildedir:

  • Köy tüzel kişileri veri sorumluları siciline kayıt yükümlülüğünden istisnadır. (14.12.2023 – 2023/2135 Sayılı Karar)
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar veri sorumluları siciline kayıt yükümlülüğünden istisnadır. (06.07.2023 – 2023/1154 Sayılı Karar)
  • Arabulucular veri sorumluları siciline kayıt yükümlülüğünden istisnadır. (05.07.2018 – 2018/75 Sayılı Karar)
  • Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri veri sorumluları siciline kayıt yükümlülüğünden istisnadır. (28.06.2018 – 2018/68 Sayılı Karar)
  • Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar veri sorumluları siciline kayıt yükümlülüğünden istisna olup, kendisine bağlı herhangi bir iktisadi işletmesi bulunanların ise sicile kayıt olmaları ancak kayıt kapsamında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapmalarına karar verilmiştir. (09.06.2021 – 2021/571 Sayılı Karar)
  • Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler, 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler, 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar, 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler veri sorumluları siciline kayıt yükümlülüğünden istisnadır. (02.04.2018 – 2018/32 Sayılı Karar)

 

  1. Kurul Kararları Işığında Uygulama Süreci ve Değerlendirmeler

Veri Sorumluları Siciline kayıt yükümlülüğü uygulamada birçok veri sorumlusu tarafından yerine getirilmiş olmakla birlikte, Kurulun gözlemleri ve kararları doğrultusunda sürecin hem eksik hem de hatalı şekilde işlediği durumlar olmuştur. Bu kapsamda Kurul Kararları ile sadece başvuru formu ile yükümlülüğün yerine getirilemeyeceğini, sistem üzerinden “Sicile kayıt” butonu ile tamamlanmamış işlemlerin geçersiz sayılacağı vurgulanmıştır.

Veri sorumlularına, 6698 sayılı Kanunla Sicile kayıt ve bildirim yükümlülüğü getirilmiş olmasının amacı;

  • Kişisel verilerin işlenmesinde şeffaflığın,
  • Kişisel verilerin gelişigüzel işlenmesinin önüne geçilerek bu alanda veri sorumlularının kişisel veri işlemesi faaliyetlerinin disiplin altına alınmasının,
  • Kişisel verilerin korunması alanında toplumun tüm kesimlerinde kültür ve farkındalık oluşmasının, veri sorumlularının kişisel verisini işlediği kişilere hesap verebilmesinin,
  • Veri sorumlularının Kanuna uyumunun,
  • İstisna kapsamında olmayan tüm veri sorumlularının Sicile kaydolmasının

sağlanmasıdır.

Bu amaçlardan da anlaşılacağı üzere Sicile kayıt ve bildirim yükümlülüğü, sadece süresinde VERBİS’e kayıt olunmasını değil, bununla birlikte VERBİS’e beyan edilen bilgilerin tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde doğru, güncel ve güvenilir bilgilerin de beyan edilmesini kapsamaktadır. Kurul bu doğrultuda sık sık veri sorumlularını uyarmış ve rehber dokümanlar yayınlamıştır.

  1. İlke Kararlarının Yön Verici Rolü

 

Kurul, yalnızca özel kararlarla değil, çeşitli ilke kararları ile de veri sorumlularının yükümlülüklerine açıklık getirmiştir. Bu kararlar, VERBİS’e kayıt süreciyle doğrudan bağlantılı olan teknik ve idari tedbirlerin sınırlarını belirlemiştir. Örneğin;

  • 2020/966 sayılı İlke Kararı: E-posta ve SMS ile gönderilen kişisel verilerde, yanlış kişilere veri gönderiminin önlenmesi için doğrulama mekanizmaları (kod/link ile teyit) kurulması gerektiği vurgulanmıştır.
  • 2022/388 sayılı İlke Kararı: Belediyelerin sunduğu hizmetlerde iki kademeli doğrulama zorunluluğu olması gerektiği, yalnızca TC kimlik numarası ile erişim sağlanmasının veri güvenliği riski oluşturduğu belirtilmiştir.
  • 2019/308 sayılı İlke Kararı: Hukuka aykırı veri tabanlarından vatandaş verilerine erişim sağlayan yazılımların veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12. Maddesi hükümlerine aykırılık oluşturduğu belirtilmiştir.
  • 2018/63 sayılı İlke Kararı: Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılmasının veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12. Maddesi hükümlerine aykırılık oluşturduğu, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine karar verilmiş ve bu durumun Kurulca veri güvenliği ihlali sayılacağı belirtilmiştir.
  • 2018/119 sayılı İlke Kararı: Rıza alınmaksızın veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan reklam aramaları yapılmasının, e-posta ya da sms gönderiminin veri ihlali oluşturduğu açıkça belirtilmiş ve bu tür işlemlerin durdurulması gerektiği ifade edilmiştir.
  1. Sonuç ve Değerlendirme

Veri Sorumluları Siciline kayıt yükümlülüğü, sadece hukuki bir zorunluluk olmanın ötesinde, kişisel verilerin korunması kültürünün yaygınlaştırılmasına hizmet eden temel bir araçtır. Kurul kararları ile bu yükümlülüğün çerçevesi çizilmiş, uygulamada karşılaşılan zorluklar karşısında esneklikler sağlanmış ve mevzuata uyumu kolaylaştıracak rehberlik faaliyetleri yürütülmüştür.

Ancak VERBİS’e kayıt sürecinin sadece şekli bir prosedür olarak algılanması, kişisel verilerin korunmasına ilişkin asıl amaçlara ulaşılmasını engellemektedir. Bu nedenle, veri sorumlularının;

  • Kayıt sürecini özveriyle yürütmesi,
  • Envanterlerini titizlikle hazırlaması,
  • Sisteme sundukları bilgilerin güncel ve doğru olmasına dikkat etmesi,
  • Kurulun ilke kararlarında belirtilen güvenlik önlemlerini alması

Gerekmektedir.

Sonuç olarak, kişisel verilerin işlenmesinde şeffaflık ve hesap verebilirlik ilkelerinin tesisi için VERBİS yalnızca bir araç değil, etkin bir denetim ve farkındalık sistemidir. Kurul kararlarının dikkatle incelenmesi ve uygulamaya aktarılması, bu sistemin sağlıklı işlemesi için büyük önem arz etmektedir.

Av. Zülfiye Dişkaya 

 

 

 

 

 

YASAL UYARI

​İnternet sitemizdeki bilgi ve açıklamalar sadece bilgilendirme amaçlıdır. Sitemizde yer alan bilgiler reklam amaçlı değildir. Kullanılan bütün içerikler Andis Hukuk danışmanlık ofisine aittir. Ofisimizin açıkça yazılı izni olmadan logo ve sair bilgileri kullananlar hakkında yasal işlem yapılır. Bu siteyi ziyaret ederek yukarıdaki şartları kabul etmiş sayılırsınız.

Proudly powered by WordPress Theme: StartRight by Create and Code.