6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumlusunu “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlamış ve bu Kanun’la veri sorumlusuna çeşitli yükümlülükler getirilmiştir. Kişisel veri işleme faaliyeti, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade eder ve veri sorumlularının kişisel veri işleme faaliyetlerinde KVKK ve ilgili mevzuat ile Kurul kararlarına her zaman uygun davranması gerekmektedir.

Veri sorumlularının uymaları gereken yükümlülüklerinden en önemlilerinden biri ve Kurul’un verdiği süreler sebebiyle en gündemde olanı ise Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt ve bildirim yükümlülüğüdür. Kanun’a göre kişisel verileri işleyen gerçek ve tüzel kişilerin VERBİS’e kaydolması gereken tarihler Kişisel Verileri Koruma Kurulunca ilan edilmiştir. Bu ilana göre;

• Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için 09.2020 tarihine kadar,

• Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için 09.2020 tarihine kadar,

• Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için 03.2021 tarihine kadar,

• Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için 03.2021 tarihine kadar süre verilmiştir.

01.10.2020 tarihinde yayımlanan Sicile Kayıt Yükümlülüğü Hakkında Kamuoyu Duyurusunda, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olmasına rağmen 01.10.2020 tarihi itibariyle henüz VERBİS kayıt başvurusunda bulunmayan veya başvuruda bulunduğu halde bildirimini tamamlamayan veri sorumlularının olduğu belirtilmiştir. Kurul, bu noktada yaptığı inceleme ve değerlendirme sonucunda, ülkemizde ve dünyada yaşanmakta olan COVID-19 ile mücadele kapsamında bazı veri sorumlularının fiili, teknik ya da hukuki imkansızlıklar nedeniyle Sicile kayıt yükümlülüğünü yerine getirmediği sonucuna ulaşmıştır.

Bu sebeple Kurul’un 01.10.2020 tarihli ve 2020/760 sayılı kararı ile kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bu durumun bir yazı ile bildirilmesi ve bu yükümlülüklerini yerine getirmeleri için ilgili veri sorumlusuna yazının gönderildiği tarihten itibaren işlemeye başlayacak bir süre verilmesi uygun bulunmuştur. Kurul’un gönderdiği bu yazı ile başlayacak süre sonunda ise hala ilgili yükümlülüğünü yerine getirmeyen veri sorumluları için ise Kanun’un “Kabahatler” başlıklı 18 inci maddesinin ç bendinde öngörülen idari para cezaları gündeme gelecektir.

Buna göre, VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanacaktır. Bu sebeple, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularından henüz VERBİS’e kayıt yaptırmamış olanların derhal, yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının ise 31.03.2021 tarihine kadar bu kaydı gerçekleştirmeleri gerekmektedir.

Bunların dışında kalan veri sorumlularının kayıt yükümlülükleri olmamakla birlikte, kayıt yaptırmaları mümkündür. VERBİS kamuya açık bir sicil olduğundan, bir veri sorumlusunun bu kaydı yaptırması kamuyu nezdinde KVKK ve ilgili mevzuata uyumluluğu göstereceğinden her halükârda veri sorumlusunun güvenilirliğini arttıracak ve bu açıdan faydalı olacaktır. Bu nedenle bu yükümlülükten istisna tutulan veri sorumlularının da kayıt yaptırması önerilmektedir.

Aynı zamanda, KVKK hakkında VERBİS’e kayıt yükümlülüğünden istisna tutulan veri sorumlularının Kanun’da belirtilen diğer yükümlülüklerden de muaf olduğuna dair yanlış bir kanı bulunmakta olup diğer yükümlülükler de VERBİS’e kaydı zorunlu olsun olmasın bütün veri sorumluları için geçerli olmaya devam etmektedir. Bu sebeple yalnızca VERBİS kaydını gerçekleştirmek KVKK ile tamamen uyumlu olunduğunu göstermemekte ve 1.000.000 Türk lirasına kadar çıkabilen idari para cezaları ve diğer yaptırım riskleri, bu yükümlülükleri yerine getirmeyen veri sorumluları için devam etmektedir.

Buna göre veri sorumlularının ilgili kişiyi veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin hakları konusunda aydınlatma yükümlülüğü devam etmektedir. Bunun yanında veri sorumlusu, veri güvenliğine ilişkin yükümlülükleri kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacaktır.

Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumlularının en önemli yükümlülüklerinden biri de ilgili kişilerin başvurularının cevaplanması yükümlülüğüdür. İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerekmektedir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Veri sorumluları için diğer bir önemli yükümlülük ise yurtdışına veri aktarımı yapılıyor olması halinde gündeme gelecektir. Kişisel verilerin yurt dışına aktarılabilmesi için ilgili kişinin bu konuda açık rızasının alınması gerekmektedir. İlgili kişinin açık rızası olmadan yurt dışına veri aktarımı ise bu aktarım için Kanun’da belirtilen hukuki sebeplerden birinin bulunması ve aktarım yapılacak ülkenin Kurulca yeterli korumanın bulunduğu ilan edilen ülkelerden biri olması gerekmektedir. Mevcut durumda Kurul herhangi bir ülkeyi yeterli korumanın bulunduğu ülke olarak ilan etmemiş olduğu için bu noktada Türkiye’deki ve aktarımın yapılacağı yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kuruldan izin alınması gerekmektedir. Bu nedenle eğer veri sorumlusu yurt dışına veri aktarımı yapıyorsa ilgili açık rızaların alınması, aksi halde taahhütnamelerin hazırlanarak Kuruldan izin alınması son derece önemlidir.

Kişisel verilerin hukuka aykırı olarak işlenmesi ve aktarılması sonucu cezai yaptırımlar düzenlenmiş olup aynı zamanda kişisel verilerine ilişkin hakları ihlal edildiği için zarara uğrayan veri sahiplerinin de tazminat talep etme hakkı mevcuttur. Ayrıca veri güvenliğinin ihlal edilmesi gibi hallerde Kişisel Verileri Koruma Kurulu tarafından uygulanacak idari para cezasına maruz kalma ihtimali mevcuttur. Bu nedenle veri işleme ve aktarımında hukuka uygun hareket edilmesi önemlidir. VERBİS’e kayıt ve bildirim yapma yükümlülüğü veri sorumlusuna getirilen yükümlülükler arasından sadece biri olup bunu yerine getirmiş olmakla KVKK uyumluluğu tamamlanmış olmayacak ve diğer sorumluluklar devam edecektir.