Veri Sorumluları Siciline Kayıt Yükümlülüğü Hakkında Kurul Kararları


Türkiye’de kişisel verilerin korunması konusunda düzenleyici otorite olan Kişisel Verilerin Korunması Kurulu (“Kurul”), 18 Ağustos 2018 tarihli Resmi Gazete’de yayımlanan yeni kararları ile farklı veri sorumlusu grupları için Veri Sorumluları Siciline kayıt yükümlülüğü tarihlerini ve Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulan ek veri sorumlusu gruplarını açıkladı. Bu bilgi notu, Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmanın koşullarını ve Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirmesi gereken şirketler için Kurul tarafından belirlenen süreleri özetlemektedir.

Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulan Şirketler

6698 sayılı Kişisel Verilerin Korunması Kanunu ve Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca, şirketlerin Veri Sorumluları Sicili’ne kaydolmak için başvuruda bulunmaları için öncelikle Kurul tarafından sicile kayıt istisnaları hakkında bir karar ilan edilmesi beklenmiştir. Bu kapsamda Kurul’un 15 Mayıs 2018 tarihli Resmi Gazete’de yayımlanan 2018/32 sayılı kararı ve 18 Ağustos 2018 tarihli Resmi Gazete’de yayımlanan 2018/68, 2018/75 ve 2018/87 sayılı yeni kararları ile (i) herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenlerin; (ii) noterlerin; (iii) dernek, vakıf ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenlerin; (iv) siyasi partilerin; (v) avukatların; (vi) serbest muhasebeci mali müşavirlerin;(vii)yeminli mali müşavirlerin; (viii) 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin; (ix) arabulucuların ve (x) yıllık çalışa sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulduğu açıklamıştır.

Veri Sorumluları Siciline Kayıt Yükümlülüğü Süreleri

İstisnaya tabi olmayan veri sorumluları dört ayrı gruba ayrılmıştır. Bu çerçevede, belirlenen veri sorumlusu grupları ve yükümlülük süreleri aşağıdaki gibidir.

Kayıt Yükümlülüğü Bulunan Veri Sorumlusu Kategorileri
Kayıt Başlangıcı
Kayıt için Son Gün
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları 01.10.2018 30.09.2019
Yurtdışında yerleşik veri sorumluları 01.10.2018 30.09.2019 
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 31.03.2020
Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 30.06.2020 

 

Veri Sorumluları Siciline Kayıt İçin Ne Gibi Hazırlıklar Yapılmalı?

Veri Sorumluları Siciline kayıt yükümlülüğü olan şirketler, yukarıda belirtilen süreler içerisinde veri işleme amacı, veri kategorisi, veri alıcıları, veri işlemek için gerekli olan maksimum süreyi, yurtdışına aktarılacak verileri ve veri koruması için alınacak güvenlik önlemlerini içerecek şekilde bir veri envanteri hazırlamalı.

Türkiye’de yerleşik veri sorumluları Kurul’la birlikte hareket etmekten sorumlu gerçek kişi bir irtibat kişisi atamalı.

Türkiye’de yerleşik olmayan veri sorumluları Kurul ile iletişim içinde olacak, veri sorumlusuna yöneltilecek istekleri yanıtlayacak ve veri sorumlusu adına Sicil’e ilişkin işleri yapacak, Türk vatandaşlığına sahip gerçek veya tüzel kişi olan bir veri sorumlu temsilcisi atamalı ve Tüm şirketler birer veri saklama ve imha politikası hazırlamalıdır.

Veri Siciline Kayıt Yükümlülüğünün Yerine Getirilmemesinin Sonuçları

Kanun uyarınca, belirtilen süreler içerisinde Veri Sorumluları Siciline kayıt olması gerektiği halde bu yükümlülüğünü yerine getirmeyen veri sorumlularına 20.000-1.000.000 TL arasında idari para cezası uygulanacaktır.