Kişisel Verilerin Korunması Kanunu Veri Sicil Kaydı İle İlgili Açıklama

23.9.2019

Veri sorumlusu sicil kaydına kayıt yükümlülüğü “Kişisel Verilerin Korunması Kanunu” ile getirilmiş bir yükümlülüktür. Son zamanlarda sıkça sorulan “Yayınevleri veri sorumlusu mudur? Sicil kaydına kayıt yaptırma zorunluluğu var mıdır? Yayınevleri istisna tutulmuş mudur?” soruları üzerine Meslek Birliğimiz Hukuki Danışmanı Av. Ümit Altaş tarafından hazırlanan konuyla ilgili bilgilendirme şöyle:

Kişisel veri nedir?
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Kişisel verileri işleme nedir?
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme, KVK 2. madde k veri işleme olarak tanımlanmıştır.

Veri işleme işlemlerine ilişkin örneklerden bazıları şunlardır:
• Elde edilme veya kaydetme: Kişisel verilerin ilk defa elde edildikleri an itibariyle işleme fiili başlamaktadır.
• Depolama/muhafaza etme: Dijital ya da fiziksel ortamda, kişisel verilerin saklanması, barındırılması ya da depolanması işleme kapsamında kabul edilir.
• Değiştirme / Yeniden Düzenleme: Kişisel verilerin, çeşitli yöntemler kullanılmak suretiyle değiştirilmesi ya da yeniden düzenlenmesi de işleme sayılır.
• Aktarılma / Devralınma: Kişisel verilerin çeşitli yöntemlerle iletilmesi de işleme faaliyeti kapsamındadır.

Veri sorumlusu kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Veri işleyen kimdir?
Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişilerdir.

Bir kişi hem veri sorumlusu hem işleyeni olabilir mi?
Evet. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.

İnternet üzerinden satış yapan tüzel kişilerde veri sorumlusu kimdir?

İnternet üzerinden satış gerçekleştiren bir kişinin bir ödeme hizmeti şirketi ile anlaşması suretiyle müşterilerinin verilerinin işlenmesi durumda; ödeme hizmeti şirketi, satıcının veri işleyeni değildir. Bu verilerin işlenmesi bakımından veri sorumlusu statüsündedir. Zira ödeme hizmeti şirketi; (1) Ödemelerin doğru yapılabilmesi için müşterilerden hangi verilerin toplanması gerektiğine karar vermektedir. (2) Toplanan verilerin hangi amaçla kullanılacağı konusunda kontrol sahibidir. (3) Satıcıdan bağımsız olarak doğrudan kişisel verileri işlenen müşterilere uyguladığı kendi hüküm ve şartları bulunmaktadır. (4) Satıcıdan bağımsız olarak tabi olduğu hukuki yükümlülükler bulunmaktadır. Örneğin; kredi kartı bilgilerinin silinmesi. 

Veri siciline kayıt yükümlülüğü kimler için zorunludur?

Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü bulunmaktadır.

50’den az kişi çalıştıran ve yıllık mali bilanço toplamı 25 milyondan az olan kişilerin veri siciline kayıt zorunluluğu yok mudur?

Ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları dışında bu kapsamdaki kişilerin kayıt zorunluluğu bulunmamaktadır. Özel nitelikli veriler kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. 

Veri siciline kayıt yükümlülüğü için son gün nedir?

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirmeleri için belirlenen 31.09.2019 tarihli sürenin 31.12.2019 tarihine kadar uzatılmasına karar verildi.

Veri sicil kayıt yükümlülüğünü yerine getirmemenin cezası nedir? 

20.000 TL’den 1.000.000 Türk lirasına kadar idari para cezası uygulanacak. 

Kimlere Kişisel Verileri Koruma Kanunu hükümleri uygulanmaz? 

a) 3. kişilerle paylaşılmamak şartıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi
b) Resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Ekonomik güvenliği, özel hayatın gizliliğini, kişilik haklarını veya kamu düzenini ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi
d) Kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
e) Yargı makamları veya infaz mercileri tarafından işlenmesi.

Veri Sorumluları Siciline kayıt yükümlülüğü hangi hâllerde uygulanmaz?
a. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması
b. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi
c. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
d. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.