Veri sorumluları sicili ve dikkat edilmesi gerekenler

Av. Begüm Yavuzdoğan Okumuş

Kdm. Av. Yalçın Umut Talay

Bilindiği üzere, kişisel veri işleyen veri sorumlularının, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Veri Sorumluları Sicili Yönetmeliği (Yönetmelik) uyarınca Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolmaları gerekmektedir.
Kişisel Verileri Koruma Kurumu, bu yükümlülüğü yerine getirmeyen veri sorumlularını takip etmeye ve bu veri sorumluları hakkında uyarı vermeksizin ceza vermeye başlamıştır. Hâlihazırda yükümlülüğünü yerine getirmeyen firmalar olabileceği gibi yükümlülüğü 2023 yılı itibariyle başlayacak pek çok firma da bulunmaktadır.

VERBİS kayıt yükümlülüğü altında olduğu halde bu yükümlülüğünü yerine getirmeyen veya VERBİS kayıtları güncel olmayan VERBİS’e yansıtmayan veri sorumluları hakkında 119 bin 428 TL ila 5 milyon 971 bin 989 TL arasında idari para cezası uygulanabilir. Bu ceza, mevcut durumda yükümlülük altında olan, ancak yükümlülüğünü yerine getirmeyen veri sorumlularına uygulanabileceği gibi 2022 yılı ve sonraki yıllarda yükümlülük altına giren ve 30 gün içerisinde yükümlülüğünü yerine getirmeyen veri sorumluları için de uygulanabilecektir.

Kayıt yükümlülüğü hangi veri sorumluları için geçerli?

Kayıt yükümlülüğü, aşağıdaki veri sorumluları için geçerlidir:
i) Yurt dışında yerleşik veri sorumluları,
ii) yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ve
iii) ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları.
KVKK tarafından belirlenen ilk kayıt yükümlülüğünün 31.12.2021 tarihi itibariyle sona ermesi sebebiyle, bu tarihten önce koşulları sağlamayan pek çok veri sorumlusu kaydolmamıştır. Ancak 2022 ve sonraki yıllarda da bu koşulların sağlanması halinde kayıt yapılması gerekmektedir ve kayıt yükümlülüğü devam etmektedir. Yine kayıt yükümlülüğünü yerine getiren veri sorumlularının da düzenli olarak envanterlerini ve VERBİS’e açıkladıkları bilgilerin güncelliğini kontrol etmesi gerekmektedir.

Veri sorumluları nelere dikkat etmelidir?

Bilindiği üzere, Kişisel Verileri Koruma Kurulu Türkiye’de yerleşik veri sorumlularını Sosyal Güvenlik Kurumu (SGK) ve vergi dairelerine yaptıkları bildirimler ışığında aktif olarak takip etmekte ve eşikleri geçen veri sorumlularına kayıt yükümlülüklerini yerine getirmemeleri halinde uyarı vermeksizin idari para cezası vermektedir. Kurul aynı zamanda yurtdışında yerleşik olan ve Türkiye’de mukim kişilerin verilerini işleyen veri sorumlulularını da araştırmakta ve bu veri sorumlularına da ceza vermektedir.
Geç kayıt durumunda da idari para cezası riski bulunsa dahi koşulları sağlayan, ancak henüz kayıt yükümlülüğünü yerine getirmeyen tüm veri sorumlularının da en kısa süre içerisinde VERBİS’e kaydolması önerilmektedir. Ayrıca, VERBİS’e sunulan bilgilerin güncelliği de çok önemlidir. Bu nedenle kayıt yükümlülüğünü yerine getirmiş olan veri sorumlularının da dikkat etmesi gereken hususlar bulunmaktadır.

Kayıt yükümlülüğünüz yeni başlamış/başlayacak olabilir

31.12.2021 tarihinden önce koşulları sağlamayan veri sorumluları da 31.12.2021 tarihinden sonra kayıt yükümlüsü haline gelmiş ya da gelecek olabilir.
Türkiye’de yerleşik tüm gerçek ve tüzel kişilerin 2021 ve 2022 yıllarında kamu kurum ve kuruluşlarına aylık verilmekte olan muhtasar ve prim hizmet beyannamelerini ve yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyanname ekindeki mali tabloları kontrol etmelerini öneririz.
Bu beyannameler kapsamında kamu kurumlarına verilen bilgiler uyarınca şirketlerin aşağıdaki hususları kontrol etmeleri gerekmektedir:
1- Tamamlanmış bir yıl içerisindeki 12 aydan en az 7’sinin her birinde bildirilen çalışan sayısı 50’den çok ise kayıt yükümlülüğü başlamış olacaktır. Yıllık çalışan sayısı bu kritere göre hesaplanacaktır. İlgili 7 ayın ardışık aylar olması da zorunlu değildir. Aynı yıl içerisindeki herhangi 7 veya daha fazla ayda 50’den fazla çalışan bildiren tüm gerçek ve tüzel kişilerin kaydolması gerekmektedir.
2- Tamamlanmış bir yıla ilişkin beyanname ekinde sunulan/sunulacak bilançoda yer alan “aktif” ya da “pasif” bölümünde yer alan değerin 25 milyon TL’den yüksek olması halinde kayıt yükümlülüğü başlamış olacaktır.
VERBİS kayıt yükümlülüğünün Türkiye’de yerleşik veri sorumluları açısından başlaması için 2 koşuldan birinin gerçekleşmiş olması yeterlidir.
Başlangıçta kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini takip eden 30 gün içerisinde VERBİS’e kaydolmalıdır.

VERBİS kaydı için neler yapılmalıdır?

VERBİS kaydı için özetle ve öncelikle aşağıdakilerin yapılması gerekmektedir:
- Kişisel veri işleme süreçlerine ilişkin detaylı, açık, güncel ve doğru bir veri envanteri hazırlanmalıdır.
- Türkiye’de yerleşik olmayan veri sorumluları, Türkiye’de yerleşik bir veri sorumlu temsilcisi atamalıdır.
- Türkiye’de yerleşik veri sorumluları ve veri sorumlusu temsilcileri, VERBİS kayıtlarını tamamlamak üzere Türkiye Cumhuriyeti vatandaşı ve Türkiye’de yerleşik bir irtibat kişisi belirlemelidir.

Envanterlerin ve VERBİS formlarının güncel tutulması

Kayıt yükümlülüğünü yerine getirmiş veri sorumlularının dahi kişisel veri işleme envanterlerini ve VERBİS kayıtlarını güncel tutması çok önemlidir. Her yeni veri işleme süreci şirket envanterine yansıtılmalı ve VERBİS’e daha önce kayıt yapılmışsa VERBİS’te güncellenmelidir. Yeni veri işleme süreçlerinin kaydı da en geç ilgili veri işleme sürecinin başlamasından sonraki 30 gün içerisinde tamamlanmalıdır.

Tüm yazılarını göster