“Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması İle İlgili Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/482 Sayılı Kararı
| Karar Tarihi | : | 23/06/2020 |
| Karar No | : | 2020/482 |
| Konu Özeti | : | Veri Sorumluları Siciline kayıt tarihlerinin uzatılması |
Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
- Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
kadar uzatılmasına,
- Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına oybirliği ile karar verilmiştir.
| Kararın Yayımlandığı Resmî Gazete’nin | |
| Tarihi | Sayısı |
| 25/06/2020 | 31166 |
- Amaç: Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu amaçla 6698 Sayılı Kişisel Verilerin Korunması Kanunu 24.03.2016 tarihinde mecliste kabul edilmiş 07.04.2016 tarihinde ise Resmi Gazete ’de yayımlanmış ve yürürlüğe girmiştir.
- Kişisel verilerin korunması, temelde verilerin değil, bu kişisel verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.
- Kimliği belirli ya da belirlenebilir nitelikteki gerçek kişiye ilişkin her türlü bilgiye kişisel veri denir. Kişisel veriden söz edebilmek için, verinin gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.
Buna göre:
a) Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı, adresi, vergi kimlik numarası, MERSİS numarası ve cirosu gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.
b) Gerçek kişiyi belirli veya belirlenebilir kılması: Kişisel veri, T.C. kimlik numarasında olduğu üzere ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte araç plaka numarasında olduğu üzere herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.
c) Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin sadece kimliğini ortaya koyan, adı, soyadı, doğum tarihi ve doğum yeri gibi bilgiler olabileceği gibi; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler de kişisel veri olarak kabul edilmektedir. Kanunda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım esası benimsenmediğinden, kişisel verilerin kapsamının genişletilmesi mümkündür. Önemli olan, verinin herhangi bir gerçek kişi ile ilişkilendirilebiliyor olması ya da o gerçek kişiyi tanımlayabilmesidir.
d) Özel nitelikli kişisel veriler, işlenmeleri halinde ilgili kişilerin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanunun 6. maddesi gereğince özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”dir. Bu veriler Kanunda sınırlı sayıda belirlenmiş olduğundan bunların genişletilmesi mümkün değildir.
- Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kişisel Verileri Koruma Kurulu, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, bu kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilmelidir. Kişisel Verileri Koruma Kurulu, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir. Ayrıca, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kişisel Verileri Koruma Kurulu, bu konuda ilke kararı alır.
- Veri sorumluları için 6698 sayılı Kanunda ve Veri Sorumluları Sicili Hakkında Yönetmelikte bazı yükümlülükler getirilmiştir.
- 6698 sayılı Kanun kapsamında veri sorumluları hakkında getirilmiş olan yükümlülükler;
• Kanunun Geçici 1. maddesinin 2 nci fıkrasına göre veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır. Bu kapsamda öncelikle Kişisel Verileri Koruma Kurulunca kayıt yükümlülüğü için bir başlangıç tarihinin belirlenmesi gerekmektedir. Söz konusu tarihin Kurul tarafından belirlenerek ilan edilmesiyle Veri Sorumluları Siciline kayıt yükümlülüğü başlayacaktır.
• Kanunun 16 ncı maddesi 2 nci fıkrasında, Kurul tarafından Veri Sorumluları Siciline (Sicil) kayıt zorunluluğuna istisna getirilebileceği hükmü yer almaktadır. Bu kapsamda Kurulca kayıt yükümlülüğüne istisna konusunda Karar alınarak ilan edilmesi gerekmektedir. Kararın ilan edilmesiyle birlikte kayıt yükümlüsü veri sorumluları da belirlenmiş olacaktır.
• Kanunun 16 ncı maddesi 1 inci fıkrasında, Veri Sorumluları Sicilinin Başkanlık tarafından kamuya açık olarak tutulacağı hükmü yer almaktadır. Bu kapsamda Veri Sorumluları Sicili Bilgi Sisteminin (VERBİS) hazırlanarak hizmete açılması akabinde veri sorumluları için kayıt yükümlülüğü başlayacaktır.
• Kanunun Geçici 1 inci maddesinin 3 üncü fıkrasına istinaden, daha önce işlenmiş olan kişisel veriler Kanun hükümlerine uygun hâle getirilmelidir. Buna göre, Kanunun 4. maddesindeki ilkelere aykırı olarak veya 5 ve 6. maddelerinde sayılan işlenme şartları olmaksızın işlenmiş kişisel veriler, bu ilke ve şartlara uygun hale getirilmeli, getirilemiyorsa derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.
• Kanunun Geçici 1 inci maddesinin 5 inci fıkrasına istinaden, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Kişisel Verileri Koruma Kurumuna bildirilmelidir.
- Yönetmelikle veri sorumluları hakkında getirilmiş olan yükümlülükler;
• Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumlularının “kişisel veri işleme envanteri” ve “kişisel veri saklama ve imha politikası” hazırlaması gerekmektedir.
• Kamu kurumunun istisna kapsamında olmaması halinde ve Kurulca kayıt yükümlülüğü başlangıç tarihinin belirlenerek VERBİS’in hizmete açılması akabinde Kanunun Geçici 1. maddesine istinaden kamu kurum ve kuruluşlarınca Başkanlığımıza bildirilen üst düzey yönetici tarafından Yönetmeliğin 11 inci maddesi gereği irtibat kişisi olarak VERBİS’e kayıt yapılması gerekmektedir.
- İDARİ PARA CEZALARI :
a) Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
- TCK KAPSAMINDA SUÇLAR VE CEZALARI :
a) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümleri uygulanır. Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
b) TCK Madde 135- Kişisel verilerin kaydedilmesi –
(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.
(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
c) TCK Madde 136- Verileri hukuka aykırı olarak verme veya ele geçirme-
(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.
d) TCK Madde 137- Nitelikli haller –
(1) Yukarıdaki maddelerde tanımlanan suçların;
a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır.
e) TCK Madde 138- Verileri yok etmeme –
(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
Hukuk büromuz konusunda uzman avukatlar ve bilişim uzmanları eşliğinde KVKK denetimi ve çözüm ortaklığı sürecini en baştan kurmak ve yönetmek noktasında çalışmaktadır.