Yıllık çalışan sayısı 50'den fazla veya yıllık mali bilanço toplamı 25 milyon TL'den fazla olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik tüm gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Sicili'ne kayıt olma zorunluluğunun son günü 31.12.2019 tarihine uzatıldı. Bu yükümlülüğü yerine getirilmemesi durumunda veri sorumluları hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmedilebilir.

Veri Sorumlusu Kimdir?

6698 sayılı Kişisel Verileri Koruma Kanunu (KVKK)'na göre veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Kişisel Verileri Koruma Kanunu'nun sınırlar ötesi olması nedeniyle Türkiye Cumhuriyeti vatandaşlarının verilerini işleyen yurtdışında yerleşik tüm gerçek ve tüzel kişiler de veri sorumlusudur.

Veri Sorumluları Sicili Nedir, Kayıt Kimlere Zorunludur?

Kişisel Verileri Koruma Kurulu "Kurul" gözetiminde, Kurum Başkanlığı tarafından kamuya açık olarak Veri Sorumluları Sicili tutulmaktadır. Kişisel Verileri Koruma Kanununa göre veri sorumlularının Veri Sorumluları Sicili'ne kaydolması zorunludur.

Kişisel Verileri Koruma Kurulu tarafından yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olan gerçek ve tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar için Veri Sorumluları Siciline kayıt zorunluluğu konusunda istisna getirilmiştir. Bu istisna yurt dışında yerleşik veri sorumluları için geçerli değildir.

Veri Sorumluları Sicili'ne Kayıt Yükümlülüğüne Uyulmaz İse Ne Olur?

Kişisel Verileri Koruma Kanunu'nun "Kabahatlar" başlıklı 18. Maddesine uyarınca Veri Sorumluları Sicili'ne kayıt ve bildirim yükümlülüğüne yerine getirmeyenler hakkında Kurul tarafından 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmedilebilir.

Veri Sorumluları Sicili'ne Kayıt İçin Son Gün Ne Zaman?

Kişisel Verileri Koruma Kurulu'nun 19.07.2018 tarihli 2018/88 sayılı kararına göre Veri Sorumluları Sicili'ne kayıt olmak için;

  • Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları için 30.09.2019 tarihine kadar süre verilmişti.
  • Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü için veri sorumlularına 30.09.2019 tarihine kadar süre verilmişti.
  • Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için 31.03.2020 tarihine kadar süre verilmişti.

Veri Sorumluları Sicili'ne Kayıt İçin Süre Ne Zamana Kadar Uzatıldı?

Kurul kendisine yapılan talepleri değerlendirerek 03.09.2019 tarihli ve 2019/265 sayılı kararı ile;

  • Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları ile
  • Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına karar vermiştir.

Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için 31.03.2020 tarihine kadar olan sürede bir değişiklik olmamıştır.

Yıllık Çalışan Sayıları Nasıl Hesaplanır?

Yıllık çalışan sayılarının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisindeki 12 aydan en az 7'sinin her birinde veri sorumlularınca yetkili kamu ve kuruluşlarına aylık verilmekte olan Muhtasar ve Prim Hizmet Beyannamesinde bildirilen çalışan sayısının dikkate alınması gerekmektedir. Ayrıca söz konusu 7 ayın yıl içerisinde olmak kaydıyla ardışık olması zorunlu değildir.

Buna göre, bir veri sorumlusu 2017 yılı içerisinde Sosyal Güvenlik Kurumu'na vermiş olduğu Muhtasar ve Prim Hizmet Beyannamelerinin en az 7'sinin her birinde bildirmiş olduğu çalışan sayısının 50'den çok olması halinde kayıt yükümlülüğü vardır.

Yıllık Mali Bilanço Toplamı Nasıl Hesaplanır?

Yıllık mali bilanço toplamının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisinde veri sorumlusu tarafından yetkili kamu kurumuna yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyanname ekindeki mali tablolarda yer alan mali bilanço bilgisinin dikkate alınması gerekmektedir. Buna göre, veri sorumlusunun beyannamesi ekindeki bilançoda yer alan "aktif" ve "pasif" bölümünde yer alan toplam rakam esas alınmalıdır. Yıllık ciro ya da net satış / brüt satış hasılatı bilgisi dikkate alınmayacaktır.

Veri Sorumluları Siciline Kayıt Başvurusunda Neler Bildirilmelidir?

Veri Sorumluları Siciline kayıt başvurusunda;

a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,

b) Kişisel verilerin hangi amaçla işleneceği,

c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

d) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

e) Yabancı ülkelere aktarımı öngörülen kişisel veriler,

f) Kişisel veri güvenliğine ilişkin alınan tedbirler,

g) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre,

h) Bu bilgilerde meydana gelen değişiklikler derhâl,

bildirilir. Bu bilgilendirme Kişisel Veri İşleme Envanteri'ne dayalı olarak yapılmalıdır.

Kişisel Veri İşleme Envanteri Nedir?

Veri Sorumluları'nın iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini, kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter olarak tanımlanmıştır. Envanter ile birlikte veri saklama ve imha politikaları hazırlanmalıdır.

Kişisel Veri İşleme Envanteri hazırlanmazsa ne olur?

Kurul tarafından yayınlanan teknik ve idari tedbirlere ilişkin rehberde envanterin hazırlanması alınacak idari tedbirler arasında sayılmıştır. Bu nedenle, envanterin hazırlanmaması durumunda KVKK'nın 12. maddesinde belirtilen veri güvenliğine ilişkin tedbirler yerine getirilmemiş olacaktır. Bu sebeple Kurul tarafından 15.000 Türk lirası ila 1.000.000 Türk lirası idari para cezasına hükmedilebilecektir.

Veri Sorumluları Siciline Kayıt Nasıl Yapılacaktır?

Veri Sorumluları Sicili'ne kayıt Kurul'un internet sitesinde bulunan VERBİS üzerinden yapılacaktır. Türkiye'de yerleşik olmayan veri sorumluları için Kurul ile iletişimde olacak, veri sorumlusu adına Veri Sorumluları Sicil'ine ilişkin işlemleri yapacak Türk vatandaşlığına sahip gerçek veya tüzel kişiliği olan bir veri sorumlusu temsilcisi atanmalıdır.

Veri sorumluları için VERBİS üzerinden Sicil'e kayıt işlemlerini yürütecek irtibat kişisi atanmalıdır. İrtibat kişisi veri sorumlusu ile Kurul arasında iletişimin sağlanması ve Sicil işlemlerinin yürütülmesi görevlerini yerine getirmesi sebebiyle gerçek kişi olmalıdır. İrtibat kişisi olarak gerçek kişi veri sorumlusunun kendisi veya temsilcisi, şirket yönetim/müdürler kurulundan birisi belirlenebileceği gibi herhangi üçüncü bir kişi de irtibat kişisi olarak atanabilecektir. İrtibat kişisinin şirkette işlenen kişisel veriler konusunda bilgisi olan kişilerden seçilmesi Kurul tarafından tavsiye edilmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.