Anasayfa / Blog
Kişisel Verileri Koruma Kurumu (KVKK) yürürlüğe girdikten sonra kişisel verileri işleyen gerçek ve tüzel kişilere yönelik yükümlülükler getirdi. Bu yükümlülüklerin en önemlisi VERBİS (Veri Sorumluları Sicil Bilgi Sistemi)’ tir. Yasaya göre kişisel verileri işleyen gerçek ve tüzel kişiler kişisel veri işlemeye başlamadan önce VERBİS e kayıt olmak zorundadır.
Kanun’a göre ilgili gerçek ve tüzel kişiler, veri işleme faaliyetleriyle ilgili bilgileri kategorik bazda VERBİS sistemine beyan etmek zorundadır. VERBİS sistemi ile, gerçek ve tüzel kişilerin veri sorumlularının kimler olduğu açıklanır ve kişisel verilerin korunması hakkında nasıl bir yol, yöntem izleyeceklerini sisteme tanımlamış olur.
VERBİS, veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur. Dolayısıyla veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir.
Kişisel Verileri Koruma Kurumunun (“Kurum”) internet sitesi olan http://www.kvkk.gov.tr aracılığıyla giriş yapılır. Ekrana gelen sayfada yer alan VERBİS butonuna tıklanır ve ilgili alanlar doldurularak VERBİS’ e kayıt olunur.
VERBİS’ e ne zaman kayıt olunmalıdır?
Kanuna göre, Veri Sorumluları Siciline kayıt yükümlülüğünün başlama tarihleri ile ilgili karar alma ve bunu ilan etme görev ve yetkisi Kişisel Verileri Koruma Kuruluna (“Kurul”) verilmiştir.
Bu kapsamda Kurulca alınan ve 18.08.2018 tarihli Resmî Gazete’ de yayımlanan 2018/88 sayılı Kararda veri sorumluları için kayıt başlama tarihleri aşağıdaki gibi belirlenmiştir:
-Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları 01.10.2018- 30.09.2020,
-Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019- 31.03.2020,
-Kamu kurum ve kuruluşu veri sorumluları 01.04.2019- 30.06.2020,
-Yurtdışında yerleşik veri sorumluları 01.10.2018- 30.09.2020 tarihleri arasında Sicile kayıt olmak zorundadır.
Hangi Veri Sorumluları VERBİS’ e Kayıt olmakla Yükümlüdür?
Kanunun 16. maddesine göre, kişisel verileri işleyen gerçek ve tüzel kişilerin kişisel veri işlemeye başlamadan önce Sicile kaydolmaları gerekmektedir.
Türkiye’de yerleşik gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının Türkiye’de kişisel veri işlemeleri halinde genel kural olarak VERBİS’ e kayıt olmaları gerekmektedir.
Hangi Veri Sorumluları VERBİS’ e Kayıt Yükümlülüğünden İstisna Tutulmuştur?
Kanunun 16. maddesinde, “işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir” hükmü yer almaktadır.
Bu hüküm doğrultusunda Kurulca bazı veri sorumluları için Sicile kayıt yükümlülüğüne istisna getirilmiştir. Bu kapsamda alınmış olan 2018/32 sayılı Kurul Kararı 15.05.2018 tarihli Resmî Gazete’ de; 2018/68, 2018/75 ve 2018/87 sayılı Kurul Kararları ise 18.08.2018 tarihli Resmî Gazete’ de yayımlanmıştır. Buna göre;
Bununla birlikte, Sicile kayıt yükümlülüğünden istisna olma durumunun Kanun hükümlerinden de istisna olmak anlamına gelmediği unutulmamalıdır.
VERBİS’ e kayıt yükümlülüğü ile ilgili bazı KVKK Kurul Kararlarını inceleyebiliriz.
“Ülkemizde temsilciliği bulunan bir yabancı bankanın 6698 sayılı Kanun kapsamında veri sorumlusu sayılıp sayılmayacağı ve Veri Sorumluları Siciline kayıt yükümlülüğü hakkındaki görüş talebi” ile ilgili olarak Kişisel Verileri Koruma Kurulunun 23.06.2020 tarihli ve 2020/471 sayılı Karar Özeti
‘‘…hizmet verdikleri tüzel kişiler bünyesinde çalışan gerçek kişilere ait kişisel verileri işlemekte olan ve ülkemizde temsilciliği bulunan bir yabancı bankanın, yürüttüğü bu işleme faaliyetleri sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) göre veri sorumlusu sıfatını haiz olup olmayacağı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün bulunup bulunmadığı hususundaki görüş talebi…’’
‘‘Görüş talebinde bulunan bankanın, sağladığı finansman hizmetleri kapsamında Türkiye’de mukim ilgili kişilerin kişisel verilerini işlediği anlaşılmaktadır. Bu kapsamda, mezkûr bankanın temsilciliğinin ülkemizde gerçekleştirdiği faaliyetler, bu bankanın bankacılık faaliyetleri çerçevesinde gerçekleştirdiği kişisel veri işleme faaliyetlerinden ayrı tutulamayacaktır. Zira, anılan Tebliğin 4. maddesinde de belirtildiği üzere temsilciliğin, bankanın sunduğu hizmetler hakkında ülkemizde tanıtım faaliyetlerinde bulunması ve piyasa araştırması yaparak bağlı bulunduğu bankaya elde ettiği bilgileri aktarması mümkündür. Bu etkinliklerin, yurt dışında yerleşik bankanın faaliyetlerine katkı yapacağı açıktır. Bu sebeple, temsilciliğin faaliyetlerinin bankanın kişisel veri işleme faaliyetleri ile sıkı bir bağlantı içerisinde olduğunun kabul edilmesi gerekmektedir.’’
‘‘Resmî Gazetede yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesinin birinci fıkrasının (b) bendinde ülkemizde yerleşik olmayan veri sorumlularının kişisel veri işlemeye başlamadan önce temsilcileri vasıtasıyla Sicile kaydolmak zorunda oldukları hükme bağlanmıştır.’’
Öte yandan, Kurulun 24/01/2019 tarihli ve 2019/10 sayılı Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kararında da “Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına (…) karar verilmiştir.” ifadesine yer verilmiştir.
‘‘…yukarıda yer verilen açıklamalar doğrultusunda Kişisel Verileri Koruma Kurulunca yapılan değerlendirme sonucunda;
Kişisel verilerin korunmasını isteme hakkının Anayasanın 20. maddesinin üçüncü fıkrasında düzenlenmiş bir temel hak ve özgürlük olduğu, veri koruma düzenlemelerinin yer bakımından uygulama alanının belirlenmesinde, bireylere en üst düzeyde ve en geniş kapsamda korumayı sağlayan bir yaklaşımın benimsenmesi gerektiği, görüş talebinde bulunan yabancı bankanın temsilciliği vasıtasıyla ülkemizdeki sürekli mevcudiyeti hususları göz önünde bulundurulduğunda, mezkûr bankanın kişisel veri işleme faaliyetleri açısından 6698 sayılı Kanunun uygulama alanı bulacağına ve bu kapsamda söz konusu yabancı bankanın veri sorumlusu sıfatını haiz olduğuna ve Sicile kayıt yükümlülüğünün bulunduğuna karar verilmiştir.’’
Kişisel veri işleme süreçlerinin şeffaf bir biçimde yürütülmesine yönelik olarak Kanunun 16. maddesinde öngörülen Sicile bildirim ve kayıt yükümlülüğü ile, ilgili kişilerin kişisel verileri üzerinde en üst düzeyde kontrolünün sağlanmasının amaçlandığı göz önünde bulundurulduğunda yurtdışında yerleşik veri sorumlusu bankanın işleme faaliyetleri bakımından Kanuna tabi olması gerektiği ve bu kapsamda Sicile kayıt yükümlülüğünün bulunduğu değerlendirilmektedir.
İlgili KVKK Kurul Karar Özetine buradan ulaşabilirsiniz.
Yurtdışında yerleşik Tüzel kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Sicile Kayıt Yükümlülüğü Hakkındaki Görüş Talebi ile ilgili Kişisel Verileri Koruma Kurulunun 23/07/2019 tarih ve 2019/225 sayılı Karar Özeti
‘‘…Kurumumuza iletilen; yurtdışında yerleşik tüzel kişilerin Türkiye’de işlemekte oldukları kişisel veriler nedeniyle; yurtdışında yerleşik tüzel kişiler, yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri ve yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat bürolarının 6698 sayılı Kanuna göre veri sorumlusu sıfatına haiz olup olmayacağı, Sicile kayıt yükümlülüğü ve istisna kriterleri açısından değerlendirilmesi konusundaki görüş talebinin incelenmesi neticesinde…’’
‘‘Yurtdışında yerleşik tüzel kişiler açısından;
6698 sayılı Kişisel Verilerin Korunması Kanununda (Kanun) veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmış olup bunlar gerçek kişiler olabileceği gibi kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.’’
‘‘Yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri açısından;
6102 sayılı Türk Ticaret Kanunu (TTK) “Tescil” başlıklı 40.maddesinin üçüncü fıkrasında “Merkezi Türkiye’de bulunan ticari işletmelerin şubeleri de bulundukları yerin ticaret siciline tescil ve ilan olunur. Ticaret unvanına ve imza örneklerine ilişkin birinci ve ikinci fıkra hükümleri bu işletmelere de uygulanır. Kanunda aksine hüküm bulunmadıkça merkezin bağlı olduğu sicile geçirilen kayıtlar şubenin bağlı bulunduğu sicile de tescil olunur. Ancak, bu hususta şubenin bulunduğu yer sicil müdürlüğünün ayrı bir inceleme zorunluluğu yoktur.” hükmü, 4. fıkrasında ise “Merkezleri Türkiye dışında bulunan ticari işletmelerin Türkiye’deki şubeleri, kendi ülkelerinin kanunlarının ticaret unvanına ilişkin hükümleri saklı kalmak şartıyla, yerli ticari işletmeler gibi tescil olunur. Bu şubeler için yerleşim yeri Türkiye’de bulunan tam yetkili bir ticari mümessil atanır. Ticari işletmenin birden çok şubesi varsa, ilk şubenin tescilinden sonra açılacak şubeler yerli ticari işletmelerin şubeleri gibi tescil olunur” hükmü yer almaktadır.’’
‘‘…yukarıda yer verilen açıklamalar çerçevesinde yapılan değerlendirme sonucunda;
Türkiye’de doğrudan veya şubeleri aracılığıyla kişisel veri işleme faaliyetinde bulunan yurt dışında yerleşik veri sorumlularının Sicile kayıt olmalarının gerektiğine,
Yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin, Kanunda yer alan veri sorumlusu tanımı gereği kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemesi ve veri kayıt sisteminin kurulması ile yönetilmesinden sorumlu olması halinde yurt dışında yerleşik tüzel kişiden ayrı olarak Türkiye’de yerleşik veri sorumlusu olarak değerlendirileceğine, bu durumda olan yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubeleri için Kişisel Verileri Koruma Kurulunun 2018/88 sayılı ve 2019/265 sayılı kararlarında yer alan “yıllık çalışan sayısı” ve “yıllık mali bilanço toplamı” kriterleri açısından yapılacak değerlendirme sonucunda Sicile kayıt yükümlülüğü bulunup bulunmadığına karar verileceğine, bu durumda olmayan yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin ise Sicile kayıt yükümlülüğünün bulunmadığına,
Türkiye’de irtibat bürosu açılabilmesi için şirket tüzel kişiliklerinin yabancı ülke kanunlarına göre kurulması ve kurulan irtibat bürolarının Türkiye’de ticari faaliyette bulunmaması gerektiği, irtibat bürolarının ticari faaliyet dışında haberleşme, fizibilite araştırması yapma, sosyal ve kültürel alanlarda bazı çalışmaları yürütme, şirketler arasında birleşme ve devirler için ön hazırlık yapma, tanıtım ve reklam, ülkedeki iş olanaklarının yakından takip etme ve bu konular hakkında merkez firmaya bilgi verme amacı doğrultusunda açılan bürolar olması ve şube özelliği bulunmadığı hususu dikkate alındığında söz konusu irtibat bürolarının Sicile kayıt olma yükümlülüğünün bulunmadığına karar verilmiştir.’’
Faaliyetin geçtiği ülkenin şartlarına göre değerlendirilirken, genel kurallar bütünü de göz ardı edilmeksizin ve irtibat bürolarında, yasal hükümlerin doğru uygulanmasını kontrol mekanizmalarını olası kötüye kullanımı engellemek adına genişletilmesi gerekmektedir.
İlgili KVKK Kurul Karar Özetine buradan ulaşabilirsiniz.