VERBİS Kayıt Süreci 31 Mart 2021’de Kamu Kurumları, Meslek Örgütleri ve Özel Nitelikli Veri İşleyenlerinin Kaydı ile Tamamlanıyor
Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) yürürlüğe girdiği 7 Nisan 2016 tarihinden bu yana Kanun’da kademeli olarak öngörülen uyum sürecinde sona gelindi. Veri sorumlusunun en önemli yükümlülüklerinden biri olan Veri Sorumluları Sicili’ne (“VERBİS”) kayıt için öngörülen süreler, en son Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 23.06.2020 tarihli ve 2020/482 sayılı Kararı ile uzatılmıştı. Anılan karar doğrultusunda, yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşlarının VERBİS’e kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31.03.2021 tarihinde sona eriyor.
Kanun’un 16’ıncı maddesi uyarınca, kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce, kategorik bazda bilgi girişi yapılan bir sitem olan VERBİS’e kaydolması gerekmektedir. Kanun’un Geçici 1’inci maddesinde ise VERBİS’e kayıt yükümlülüğünün başlama tarihleri ile ilgili karar alma ve bunu ilan etme görev ve yetkisinin Kurul’a ait olduğu düzenlenmişti.
Kurul her ne kadar 18.08.2018 tarihli Resmi Gazete’de yayımlanan 2018/88 sayılı Karar ile, veri sorumlularını dört kategoriye ayırarak kayıt için son tarih tarihleri belirlediyse de, anılan süreler talepler doğrultusunda birden fazla kez uzatıldı. Kurul, en son 23.06.2020 tarihli ve 2020/482 sayılı kararı ile yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için 30 Eylül 2020 tarihine uzatmıştı. Covid-19 salgınının ticari hayatı büyük ölçüde etkilediğinden bahisle yine uzatma talepleri söz konusu olmasına rağmen, Kurul bu kez yeni bir uzatma kararı vermedi ve 30 Eylül 2020’de süre dolmuş oldu.
Bununla birlikte Kurul, internet sitesinde yayınladığı 01.10.2020 tarihli ve 2020/760 sayılı kararı ile, T.C. Hazine ve Maliye Bakanlığı’ndan elde edilen 2019 yılı verilerine göre, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olduğu görülmesine rağmen 01.10.2020 tarihi itibariyle henüz VERBİS kayıt başvurusunda bulunmayan veya başvuruda bulunduğu halde bildirimini tamamlamayan veri sorumlularının olduğunun tespit edildiğini, belirtti.
Bu tespit doğrultusunda Kurul tarafından yapılan inceleme ve değerlendirme sonucunda; Covid-19 ile mücadele kapsamında fiili, teknik ya da hukuki imkânsızlık nedeniyle bazı veri sorumlularının kayıt yükümlülüğünü yerine getiremediği göz önüne alınarak, Veri Sorumluları Sicili Hakkında Yönetmelik‘in 8’inci maddesi uyarınca ve Kanun’un geçici 1’inci maddesiyle Kurul’a verilmiş olan yetki çerçevesinde, VERBİS kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına, bu durumun bir yazı ile bildirilmesine ve yazıda belirtilen sürede kayıt yükümlülüğünü yerine getirmelerine, karar verilmiştir.
Son kayıt tarihi geride kalan veri sorumluları bakımından VERBİS kayıtları henüz tamamlanmamışken, 31.03.2021 tarihinde yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’den az olup, ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşlarının da VERBİS kaydı için öngörülen süreleri tamamlanacak.
Kanun, veri sorumluları bakımından özel hukuk tüzel kişisi ya da kamu hukuku tüzel kişisi gibi bir ayrım yapmamıştır. Bu nedenle Kanun, kamu hukuku tüzel kişileri için de bağlayıcı olduğundan, Avrupa Birliği mevzuatında olduğu gibi, gerek kamu hukuku tüzel kişileri gerekse özel hukuk tüzel kişileri veri sorumlusu olabilecektir. Bu doğrultuda kamu kurum ve kuruluşlarının da, VERBİS’e kayıt yükümlülüğü bulunmaktadır.
Kanun’un 18’inci maddesinin 3’üncü fıkrası uyarınca, aralarında VERBİS kayıt yükümlülüğünü ihlalin de bulunduğu, Kanun’da kabahat olarak sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacak ve sonucu Kurul’a bildirilecektir.
KVKK Veri Yönetimi Dairesi Başkanlığı’nın yayınladığı “Sorularla VERBİS” adlı dokümanda belirtildiği hali ile, bir veri sorumlusunun ana faaliyetin özel nitelikli kişisel veri işleme olup olmadığının tespitinde, veri sorumlularının en çok katma değer ürettiği faaliyetleri veya yürüttükleri temel iş ve görevleri gereği özel nitelikli kişisel veri işlenmesi durumu olup olmadığı dikkate alınacaktır. Diğer bir deyişle burada değerlendirilmesi gereken; veri sorumlularının herhangi bir faaliyeti içerisinde özel nitelikli kişisel veri işlenmesi değil, temel olarak yürütmekte oldukları işlerinin kapsamının özel nitelikli kişisel veri işlenmesi durumudur. Bu doğrultuda, hastaneler, tıp merkezleri, diş sağlığı kliniklerinin ana faaliyetinin özel nitelikli veri işleme olduğu söylenebilecektir.
Ayrıca anılan dokümanda, 5429 sayılı Türkiye İstatistik Kanunu’nun 11’inci maddesine istinaden, 2012 yılından itibaren ülkemizde tüm kamu kurum ve kuruluşlarında TÜİK koordinasyonunda oluşturulan NACE Rev.2 ekonomik faaliyet sınıflamasının kullanıldığı ve Kurum tarafından da veri sorumlularının faaliyet konularının tespitinde söz konusu NACE faaliyet kodlarından faydalanılacağı belirtilmiştir. Bu kapsamda, veri sorumlularının ticaret sicil kaydında veya vergi levhasında yer alan faaliyet kodları göz önünde bulundurulmayacaktır.
Anımsatmakta yarar görüyoruz; Kanun’un “İstisnalar” başlıklı 28’inci maddesinde, Kanun hükümlerinin uygulanmayacağı bazı istisnai hallere yer verilmiştir. Buna göre kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi durumunda Kanun hükümleri uygulanmayacak, dolayısıyla VERBİS’e kayıt yükümlülüğü söz konusu olmayacaktır.
Anılan maddenin 2’inci fıkrası ile aynı şekilde, “kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması hali” ile “Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması” durumlarında VERBİS kayıt yükümlülüğüne ilişkin 16’ıncı maddenin uygulanmayacağı düzenlenmiştir.
VERBİS kayıt yükümlülüğünden muaf tutulan veri sorumluları, 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararı ile açıklanmıştı. Anılan Karar doğrultusunda, herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler; noterler; avukatlar; serbest muhasebeci mali müşavirler ve yeminli mali müşavirler ile dernek, vakıf ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştu.
Kurul, 22.04.2020 tarihli ve 2020/315 sayılı kararı ile; dernek, vakıf ve sendikalar yönünden istisnanın kapsamı, yorumlanması ve uygulamada yaşanan tereddütler sebebiyle kendisine iletilen görüş taleplerini değerlendirerek ilgili karardaki ifadelerde değişiklik yaparak, “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar”ın VERBİS’e kayıt yükümlülüğünden muaf olacağı yönünde karar verdi. Bu durumda, dernek, vakıf ve sendikaların ana faaliyet alanı dışında işletilen ticari işletmelerinin VERBİS kayıt yükümlülüğünün devam ettiği söylenebilecektir.
VERBİS kayıt yükümlülüğü süresi dolan “ilk aşama” veri sorumluları yönünden Kurul tarafından Covid-19 nedeni ile sağlanan esnekliğin, yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşları bakımından sağlanıp sağlanmayacağı ve uygulamanın ne yönde şekilleneceğini ilerleyen günlerde hep birlikte deneyimleyeceğiz.
Görseller; Zeugma Museum, Gaziantep