Veri güvenliğini sağlamayı amaçlayan Kişisel Verilerin Korunması Kanunu, belirli süjelere birtakım hak ve yükümlülükler tanımıştır. Bu süjeler, ilgili kişi, veri işleyen ve veri sorumlusu olmak üzere üç kategoriye ayrılmaktadır. İlgili kişi, kişisel verileri işlenen gerçek kişileri; veri sorumlusu, verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ve veri işleyen, veri sorumlusunda aldığı yetki ile kişisel verileri veri sorumlusu adına işleyen gerçek ve tüzel kişileri ifade etmektedir. Kanun tarafından konulan düzenlemeler uyarınca veri güvenliğinin sağlamasında en büyük sorumluluk veri sorumlularına düşmektedir. Veri sorumluları tarafından yerine getirilmesi yükümlülükler şu şekildedir:

  • Aydınlatma yükümlülüğü
  • Veri güvenliğine ilişkin yükümlülükler -Veri sorumluları siciline kayıt yükümlülüğü
  • İlgili kişilerce yapılan başvuruların cevaplanması yükümlülüğü ve
  • Kişisel Verileri Koruma Kurulunun (“Kurul”) kararlarının yerine getirilmesi yükümlülüğü

Bu bilgi notunda veri sorumlularının Veri Sorumluları Siciline kaydolma yükümlülüğüne ve istisnalarına yer verilmektedir.

Veri sorumluları, kişisel verileri işlemeden önce internet üzerinden Veri Sorumluları Sicili’ne (“VERBİS”) kayıt yaptırmakla yükümlüdür. Sicile kayıt istisnaları ise Kurulun 2018 tarihli kararları ile ilan Resmi Gazetede ilan edildi.

Sicile kayıt yükümlülüğüne uymayanlar hakkında ise KVKK’nın 18. Maddesi uyarınca, 20.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar idari para cezası uygulanmaktadır. Söz konusu idari para cezalarının miktarları, Kurul tarafından aykırılığın önemi ve veri sorumlusunun özellikleri dikkate alınarak objektif olarak belirlenmektedir.

Veri sorumluları sicile kaydolma yükümlülüklerini bulundukları kategoriye ve aşağıdaki sürelere uygun olarak getirmelidirler:

  1. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları, 01.10.2018 – 30.09.2019
  2. Yurtdışında yerleşik veri sorumluları, 01.10.2018 – 30.09.2019
  3. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları, 01.01.2019 – 31.02.2020
  4. Kamu kurum ve kuruluşu veri sorumluları, 01.04.2019 – 30.06.2020

2018 tarihli Kurul kararları uyarınca, Veri Sorumları Siciline Kayıt Yükümlülüğünden istisna tutulan şirketler şu şekildedir: (i) Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, (ii) 1512 s. Noterlik Kanunu uyarınca faaliyet gösteren noterler, (iii) 5253 s. Dernekler Kanunu’na göre kurulmuş derneklerden, 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu’na göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler, (iv) 2820 sayılı Siyasi Partiler Kanunu’na göre kurulmuş olan siyasi partiler, (v) 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar, (vii) 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren serbest ve yeminli mali müşavirler, (vi) 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren Gümrük Müşavirleri ve Yetkilendirilmiş Gümrük Müşavirleri, (vii) Arabulucular, (vii) Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar.

Av. Nazlı SEZER