KİŞİSEL VERİLERİ KORUMA KURULU’NUN 18 AĞUSTOS 2018 TARİHLİ RESMİ GAZETE’DE YAYINLANAN KARARLARINA İLİŞKİN DEĞERLENDİRME

Doç. Dr. Murat Volkan Dülger*

Kişisel Verilerin Korunması Kanunu’nun 16. maddesinde Kişisel Verileri Koruma Kurulu’nun gözetiminde Başkanlık tarafından kamuya açık olarak tutulacak olan ve kısaca “VERBİS” olarak adlandırılan Veri Sorumluları Sicili hakkında hususlar düzenlenmiştir. Kanun’un aynı maddesinin 2. fıkrasında, kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda olduğu ancak bu zorunluluğa Kurul tarafından istisna getirilebileceğine ve 3. fıkrasında da Veri Sorumluları Siciline kayıt başvurusunun hangi hususları içermesi gerektiğine yer verilmiştir. Belirtilen hususlarda değişiklik olması halinde maddenin 4. fıkrası uyarınca bu değişiklikler derhal Başkanlığa bildirilmelidir. Son olarak Kanun, aynı maddenin 5. fıkrasıyla Veri Sorumluları Siciline ilişkin diğer usul ve esasların yönetmelikle düzenleneceğini öngörmüştür.

Kişisel Verilerin Korunması Kanunu’nda öngörülmüş olan Veri Sorumluları Sicili ile ilgili kapsamlı düzenlemelere yer veren “Veri Sorumluları Sicili Hakkında Yönetmelik” 30 Aralık 2017 tarihli ve 30286 sayılı Resmi Gazete’de yayınlanarak 1 Ocak 2018 tarihi itibariyle yürürlüğe girmiştir[1]. Yönetmeliğin 16. maddesinin 2. fıkrasında; Kurulun, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haiz olduğu ve Kurul kararlarını uygun yöntemlerle yayımlayarak kamuya duyuracağı ifade edilmişti. Kurul’un, kendisine verilen bu yetkiye dayanarak Sicil’e kayıt yükümlülüğü istisnaları hakkında vermiş olduğu 2.4.2018 tarihli ve 2018/32 sayılı kararı da, 15 Mayıs 2018 tarihli ve 30422 sayılı Resmi Gazete’de yayımlandı[2].

Veri Sorumluları Sicili hakkındaki hukuki düzenlemeler bu şekilde ilerleme kaydetmiş olmakla birlikte, kişisel verilerin korunmasına ilişkin planlama yapmak durumunda olan tüm sektörlerde ve konuyla ilgilenen tüm kesimlerde konuya ilişkin beklenti ve tereddütlerin devam ettiğini görmekteyim. Sicil’e kayıt yükümlülüğünün ne zaman başlayacağı, hangi süreler içerisinde kaydolmak gerektiği ve küçük büyük fark etmeksizin bütün veri sorumlularının kaydolmasının zorunlu olup olmadığı, soru işaretlerinin en fazla yoğunlaştığı noktalardır. Bütün bu soruların cevaplanabilmesi ve tereddütlerin giderilmesi şüphesiz Kurul’un atacağı adımlar sayesinde gerçekleşecektir.

İşte tam da bu amaçla Kurul’un konuya ilişkin vermiş olduğu kararlardan dört tanesinin Kurum’un internet sayfası ile Resmi Gazete’de yayımlanmasına oy birliği ile karar verilmesi sonucu, söz konusu kararlar 18 Ağustos 2018 tarihli ve 30513 sayılı Resmi Gazete’de yayımlandı. Bu çalışmamda da ilgili kararları, Veri Sorumluları Sicili hakkında daha önce gerçekleştirilen yasal düzenlemeleri de göz önünde bulundurarak değerlendireceğim. Bu değerlendirme sonucunda Kanun’a uyumluluk projeleri yürüten veri sorumlularının Sicil’e kayıt yükümlülüğü aşamalarında nelere dikkat etmeleri gerektiği konusunda önerilerde bulunacağım. Böylece veri sorumluları açısından ciddi belirsizliklerin ve soru işaretlerinin bulunduğu “VERBİS’e kayıt yükümlülüğü” konusunun verilen kararlara ilişkin olarak bir nebze olsun anlaşılmasını sağlamaya çalışacağım.

Kişisel Verileri Koruma Kurulu’nun 18 Ağustos 2018 Tarihli Resmi Gazete’de Yayımlanan Kararları

Aşağıda detaylı olarak incelenecek olan Kurul kararlarının üç tanesi Veri Sorumluları Siciline kayıt yükümlülüğüne getirilen istisnalar hakkındadır. Bu kararları incelemeye geçmeden önce Kurul’un vereceği bütün istisna kararlarına ilişkin olarak hangi ölçütlerle bağlı olduğunu ve bu istisnaları neye göre belirleyeceğini belirtmek gerekir. Yönetmelik’in “İstisna kriterleri” başlıklı 16. maddesin göre Kurul, kayıt yükümlülüğüne istisna getirirken şu hususları göz önünde bulunduracaktır:

  • Kişisel verinin niteliği,

  • Kişisel verinin sayısı,

  • Kişisel verinin işlenme amacı,

  • Kişisel verinin işlendiği faaliyet alanı,

  • Kişisel verinin üçüncü kişilere aktarılma durumu,

  • Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması,

  • Kişisel verilerin muhafaza edilme süresi,

  • Veri konusu kişi grubu veya veri kategorileri.

Buna göre, Kurul ancak yukarıda belirtilen kriterler çerçevesinde istisna kararı verebilecektir. İstisnaların kapsamı ile uygulama usul ve esaslarını belirlerken bu kriterlerden herhangi biri veya birkaçına dayanmalıdır. Öyleyse bu kriterler söz konusu olmaksızın verilecek olan istisna kararı hukuka aykırı olacaktır.

Değerlendirilecek olan kararlardan sonuncusu ise Sicil’e kayıt yükümlülüğünün başlama tarihlerine ilişkindir. Böylece veri sorumlularının ne zaman kayıt için başvurmaya başlayabilecekleri ile hangi sürelerle bağlı oldukları gibi önemli noktalar somut olarak belirlenmiştir.

Veri Sorumluları Sicili’ne kayıt yükümlülüğünün öneminin anlaşılması adına Kanun’da öngörülmüş olan yaptırımlara da değinmek gerekir. Kanun’un ‘Kabahatler’ başlıklı 18. maddesinde; Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği düzenlenmiştir. Görüldüğü gibi bu miktar oldukça yüksek olup, bu konuda dikkatli olunması gerekir.

1.         "Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında Görüş Talebi" ile ilgili Kişisel Verileri Koruma Kurulunun 28/06/2018 Tarihli ve 2018/68 Sayılı Kararı

Kurul’un Veri Sorumluları Sicili Hakkında Yönetmelik gereğince Sicil’e kayıt yükümlülüğüne getirilen istisnaların belirlenmesine ilişkin olarak karar verdiği yukarıda belirtildi. Bu karardan sonra Ankara, Bursa, İstanbul, İzmir ve Mersin Gümrük Müşaviri Dernekleri tarafından Kurul’a 25.5.2018 tarihli bir açıklama ve talep yazısı gönderilmiştir. Bu yazıyla söz konusu karara istinaden, gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin de istisna kapsamına alınması talep edilmiştir.

Kurul, aldığı talebe karşılık yaptığı inceleme sonucu Kanun ve Yönetmelik’in ilgili hükümlerini de göz önünde bulundurarak gümrük müşavirleri ile yetkilendirilmiş gümrük müşavirleri olarak faaliyet gösterenler bakımından Sicil’e kayıt yükümlülüğüne istisna getirilmesine karar vermiştir.

Gümrük müşavirleri, kendilerine Gümrük ve Ticaret Bakanlığınca verilen izin belgesiyle eşyanın gümrükçe onaylanmış bir işlem veya kullanıma tabi tutulmasına ilişkin gümrük işlemlerini dolaylı temsil yoluyla takip eden ve sonuçlandıran serbest meslek sahipleridir. Yetkilendirilmiş gümrük müşavirleri ise ekonomik etkili gümrük rejimleri, nihai kullanım, basitleştirilmiş usul uygulamaları ve diğer gümrük işlemlerinin doğru olarak uygulanmasını sağlamak için Gümrük ve Ticaret Bakanlığınca belirlenen tespit işlemlerini yapmak üzere yetkilendirilen kişilerdir.

Her iki faaliyet grubu da 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösterir. Bu Kanun’un kendilerine tanımladığı yükümlülükler kapsamında gümrük işlemlerini yaptıkları kişilerin verilerini veri sorumlusu olarak işlemekte ve ilgili makamlara bu kişiler adına beyanda bulunmaktadırlar. Kanun gereğince tutmaya mecbur oldukları bilgi ve belgeleri beş yıl süreyle muhafaza etmek, bunları gerekli kişilerle paylaşmak ve belli şartların sağlanması koşuluyla belirtilen görevlilere ibraz etmek zorundadırlar[3]. Örneğin, bir gümrük müşaviri, gümrükçe onaylanmış kullanıma ilişkin olarak yaptığı gümrük işlemine dair yazdıklarını, ekleriyle beraber gümrük müfettişine beyan etmek zorundadır.

Dolayısıyla gümrük müşavirleri faaliyet gösterdikleri Kanun uyarınca kişisel verileri tutmak, saklamak, paylaşmak ve aktarmakla yükümlüdür. Ayrıca bu faaliyetlerini kanun gereğince yapmak zorunda olduklarından 6698 sayılı Kanun gereğince açık rıza almaları da gerekmemektedir. Kurul’a yöneltilen istisna kapsamına alınma talebiyle de zaten Kanun gereğince yapmak zorunda oldukları söz konusu kişisel veri işleme faaliyetlerinin, Kanun hükümlerinin ihlali gibi değerlendirilebileceği tehlikesi sonucu doğabilecek olası mağduriyetlerin önlenmesi amaçlanmıştır.

Belirtmek gerekir ki, 6698 sayılı Kanun, kişisel verilerin işlenmesi faaliyetinin kanunlarda açıkça öngörülmesi veya veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması gibi şartların varlığı halinde veri sahibinin açık rızası olmaksızın zaten işlenebilmesine imkân tanır. Dolayısıyla gümrük müşavirlerinin tabi oldukları mevzuat uyarınca kendilerine verilen yükümlülükleri yerine getirebilmek amacıyla yapacakları kişisel veri işleme faaliyetlerinin Kanun hükümlerinin ihlali anlamına gelmesi mümkün değildir.

Bununla birlikte Sicil’e kayıt yükümlülüğü kişisel verilerin işlenmesi koşullarından farklı bir husustur. Gümrük ve Ticaret Bakanlığı’nın 2 Mayıs 2017 tarihi itibariyle güncel verileri içeren raporuna göre; 9411 gümrük müşaviri yardımcısı, 3127 gümrük müşaviri ve 383 yetkilendirilmiş gümrük müşaviri bulunmaktadır[4]. Kurul, gümrük müşavirleri ile yetkilendirilmiş gümrük müşavirlerini istisna kapsamına dahil ederek önemli sayıda veri sorumlusunun sisteme giriş yapmasını önlemeyi amaçlamıştır.

Ayrıca kişisel veri işleme faaliyetinin kanunlardan kaynaklanması Kurul’un istisna getirirken göz önünde bulunduracağı kriterler arasında sayılmıştır. Bu nedenle belirtilen meslek gruplarının istisna kapsamına alınma nedeninin söz konusu kriter olduğunu düşünmekteyim. Bununla birlikte Kurul’un yayımlamış olduğu kararda, yalnızca istisna kararına yer vermiş olmasını ve istisna kapsamına alma gerekçelerini açıklamamış olmasını büyük bir eksiklik olarak değerlendiriyorum. Kurul’un neden istisna kapsamına almaya ihtiyaç duyduğunun açıklanması, veri sorumluları ve konunun ilgilenenleri açısından daha faydalı olabilirdi. Ayrıca istisna kapsamına alınmayan veri sorumluları bulunduğundan istisna kararının gerekçeli olması hukuka uygunluk açısından önemlidir. Nitekim hukuki güvenlik ve hukuki belirlilik ilkeleri gereğince bireylerin tabi oldukları rejimi ve bunun gerekçelerini bilmeye, dolayısıyla konu özelinde veri sorumlularının neden istisna kapsamına alınmadığını açık ve kesin bir şekilde öğrenmeye hakkı olmalıdır.

Sonuç olarak zaten 6698 sayılı Kanun gereğince veri sahibinin açık rızası olmaksızın kişisel veri işleyebilecek olan gümrük müşavirleri ile yetkilendirilmiş gümrük müşavirleri söz konusu kararla VERBİS’e kayıt yaptırma zorunluluğundan da muaf tutulmuştur.

Öte yandan veri sorumlusunun VERBİS’e kayıt yükümlülüğü açısından istisna kapsamına alınmasının, hiçbir şekilde Kanun ve ilgili Yönetmeliklerle getirilen yükümlülüklerden de ayrı tutulduğu anlamına gelmediğinin altını önemle çizmek isterim. Gümrük müşavirleri ile yetkilendirilmiş gümrük müşavirleri Sicil’e kayıt olmak zorunda değilse de, kişisel verilerle ilgili her türlü aşamada Kanun ve Yönetmeliklere uyumlu hareket etmek zorundadır. Örneğin, belirlediği amacına ulaşmak için gerekmeyen verileri tutmamalı, tuttuğu verileri gerekenden fazla kişiyle paylaşmamalı veya ibraz etmekle yükümlü olmadığı kişilere aktarmamalıdır. Kanuni yükümlülük veya Sicil’e kayıttan muaf tutulma kişisel verilerin 6698 sayılı Kanun’a aykırı bir şekilde kişisel verilerin işlenmesine haklı bir gerekçe olamaz.

2.         "Arabulucuların Veri Sorumluları Siciline Kayıt Zorunluluğundan İstisna Tutulması" ile ilgili Kişisel Verileri Koruma Kurulunun 05/07/2018 Tarihli ve 2018/75 Sayılı Kararı

Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığı tarafından 25.05.2018 tarihinde Kurul’a gönderilen yazıda Arabulucuların, Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin talepte bulunulmuştur. Kurul, yaptığı inceleme sonucunda Kanun ve Yönetmelik hükümlerini de göz önünde bulundurarak talebi kabul etmiş ve Arabulucular bakımından istisna getirilmesine karar vermiştir.

Arabuluculuk; “Sistematik teknikler uygulayarak, görüşmek ve müzakerelerde bulunmak amacıyla tarafları bir araya getiren, onların birbirlerini anlamalarını ve bu suretle çözümlerini kendilerinin üretmesini sağlamak için aralarında iletişim sürecinin kurulmasını gerçekleştiren, tarafların çözüm üretemediklerinin ortaya çıkması hâlinde çözüm önerisi de getirebilen, uzmanlık eğitimi almış olan tarafsız ve bağımsız bir üçüncü kişinin katılımıyla ve ihtiyarî olarak yürütülen uyuşmazlık çözüm yöntemini” ifade eder. Arabulucu ise açıklanan faaliyeti yürüten kişidir.

Bu kişiler 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu uyarınca faaliyet gösterirler. Kanun’a göre arabulucu, gösterdiği faaliyeti çerçevesinde kendisine sunulan veya diğer şekilde elde ettiği bilgileri tutmaya yetkili olsa da, bu bilgi, belge ve kayıtları gizli tutmakla yükümlüdür. Bununla birlikte bazı bilgilerin bir kanun hükmü tarafından emredildiği veya arabuluculuk süreci sonunda varılan anlaşmanın uygulanması ve icrası için gerekli olduğu ölçüde açıklanması mümkün ve gereklidir. Böylece arabulucuların tabi oldukları mevzuat gereğince kişisel verileri tutmak, işlemek ve gerekli şartların sağlanması koşuluyla bu verileri paylaşmak noktasında hak ve yetkileri bulunur.

Arabulucu, mesleki yükümlülüğünü yerine getirebilmek üzere yürüttüğü faaliyetler kapsamında bireylere ilişkin önemli sayıda ve çoğu zaman da özel nitelikli kişisel veriler elde eder. Örneğin, bir işçi-işveren davasında görev yapan arabulucunun işçinin sendika üyeliğine ilişkin verilerini elde etmesi mümkünken; bir hastane ile bu hastanede tedavi görmüş hasta arasında yürütülen tazminat davasında görev yapan arabulucunun ise kişinin sağlık verilerini elde etmesi muhtemeldir. Elde ettiği verileri tabi olduğu Kanun uyarınca gizli bir şekilde kayıt altına almaya, yine aynı Kanun ile belirtilen şartlarda gerekli ölçüde açıklamakla yükümlüdür.

Dolayısıyla arabulucular kişisel veriler üzerinde veri sorumlusu sıfatıyla gerçekleştirdikleri işleme faaliyetlerini, kanunlarda açıkça öngörülmesi veya yükümlülüğün yerine getirilmesi için zorunlu olması gibi işleme şartlarına dayandırabilmekte ve veri sahibinin açık rızasına ihtiyaç duymamaktadırlar. Söz konusu kararla da arabuluculuk faaliyetini yürüten kişiler, açık rıza olmaksızın kişisel veri işleyebilecek olmanın yanı sıra VERBİS’e kayıt yaptırma zorunluluğundan da muaf tutulmuştur.

Bu istisna kararına da iki farklı açıdan değinmek gerekir. İlk olarak Kurul’un arabuluculuk mesleği açısından vermiş olduğu istisna kapsamına alma kararının da kişisel veri işleme faaliyetinin kanunlardan kaynaklanması kriterine dayandığını düşünmekteyim. Nitekim açıklandığı gibi arabulucular tabi oldukları mevzuat gereğince kişisel veri işleme faaliyetini yürütmek zorundadırlar. Bununla birlikte Kurul’un hangi kriter veya kriterlere dayandığını açıklamayarak istisna kararını gerekçelendirmemiş olmasına ilişkin bir önceki kararda belirttiğim eleştirilerim, bu karar açısından da geçerlidir.

İstisna kararının diğer açıdan gerekçesine baktığımızda ise yine karar konusu faaliyeti yürüten çok sayıda veri sorumlusunun bulunduğunu görürüz. Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığı tarafından yayınlanan arabulucular listesine göre Türkiye çapında 7832 arabulucu faaliyet göstermektedir[5]. Dolayısıyla Kurul’un bu kararıyla da önemli sayıda veri sorumlusunun sisteme giriş yapmasını önlemeyi amaçladığı söylenebilir.

Son olarak, VERBİS’e kayıt yükümlülüğü açısından istisna kapsamına alınan arabulucular açısından da Kanun ve Yönetmeliklerle getirilen diğer yükümlülüklerin devam ettiği unutulmamalıdır.

3.         "Veri Sorumluları Siciline Kayıt Yükümlülüğünde İstisna Tutulacak Veri Sorumluları" ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/87 Sayılı Kararı

Kurul son olarak kendisine yöneltilen herhangi bir talep olmaksızın 18 Ağustos 2018 tarihinde yayınlanan kararı ile Sicil’e kayıt yükümlülüğünden istisna tutulan veri sorumlularına yeni istisnalar belirlemiştir. Buna göre yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar istisna kapsamına dahil edilmiştir. Böylece Sicil’e kayıt yükümlülüğüne getirilecek istisnalara ilişkin en büyük merak konusu giderilmiş ve büyük bir istisna kapsamı oluşturulmuştuır.

Kurul, bir önceki istisna kararının Karara Ek Liste, 1. maddesiyle “kişisel verileri tamamen veya kısmen otomatik yollarla” veri işleyen tüm veri sorumlularının VERBİS’e kayıt yaptırma yükümlülüğü bulunduğunu belirtmişti. Bu ifadeden tam olarak neyin anlaşılması gerektiğinin, daha da ötesi bunun gerçekten bir istisna hali olup olmadığının belirsiz olduğuna ilişkin eleştirilerimi belirtilen Karara ilişkin olarak yaptığım değerlendirmede açıklamıştım. Günümüzün gelişen, yaygınlaşan ve buna paralel olarak da maliyeti düşen bilgi işlem teknolojileri sayesinde çok küçük işletmelerde bile bir veri kayıt sistemi aracılığıyla otomatik yollarla veri işlendiği görülmektedir. Dolayısıyla her anlamda otomatikleşmenin yaşandığı günümüzde, bu istisna haline girecek veri sorumlularının bulunması çok güç olduğundan esasen bana göre, tam olarak bir istisna kapsamından söz edilememekteydi.

            Kanun’un yürürlüğe girmesinden bu yana veri sorumlularının beklentisi ve benim de tahminim çalışan sayısı veya yıllık ciroya göre bir sınırlama yapılması ve belli bir çalışan sayısı ve/veya yıllık cironun altındaki veri sorumlularının istisna kapsamı altında tutulması yönündeydi. İşte, Kurul’un bu kararıyla belirtilen noktalardaki eksiklik veya belirsizlikleri giderdiği söylenebilir. Zira hem içeriği tam olarak doldurulamayan önceki istisna halinin kapsamını genişletmiş hem de konuya ilişkin beklentileri karşılamıştır.

Karar ile belirtilen istisna kapsamına dahil olmak için veri sorumlusunda şu şartların var olup olmadığına bakmalıdır:

  • Yıllık çalışan sayısı 50’den az olmalıdır.

  • Yıllık mali bilanço toplamı 25 milyon TL’den az olmalıdır.

  • Ana faaliyet konusu özel nitelikli kişisel veri işleme olmamalıdır.

Bu Karar, en önemli etkisini şüphesiz konuya ilişkin beklentilerin en fazla yoğunlaştığı KOBİ’ler üzerinde gösterecektir. Bir önceki kararda KOBİ’lere yönelik bir istisna belirlenmediği için Karara ilişkin yaptığım değerlendirmede bunların da VERBİS’e kayıt olmak noktasında yükümlülük altında bulundukları ve dolayısıyla da Kişisel Veri Envanteri oluşturmak zorunda olduklarını belirtmiştim.

Ancak bu kararla durum değişmiş ve bazı KOBİ’ler de Sicil’e kayıt yaptırma yükümlülüğü konusunda istisna kapsamına dahil edilmiştir. Peki hangi büyüklük ve ölçekteki KOBİ’ler bu istisnadan faydalanabilecektir? Bunun için KOBİ sayılan işletmeler ile Kurul’un çalışan sayısı ve yıllık mali bilanço toplamına ilişkin belirlediği şartlar karşılaştırılmalıdır.

 Ülkemizde reel sektörün önemli bir kısmını oluşturan KOBİ’ler küçük ve orta boyutlu işletmeleri ifade eder. Hangi işletmelerin bu kapsamda sayıldığı ise “Küçük ve Orta Büyüklükteki İşletmelerin Tanımı, Nitelikleri ve Sınıflandırılması Hakkında Yönetmelik” ile belirlenmiştir. Buna göre 250 kişiden az yıllık çalışan istihdam eden ve yıllık net satış hasılatı veya mali bilançosundan herhangi biri 125 milyon Türk Lirasını aşmayan ekonomik birimler KOBİ olarak adlandırılmaktadır[6]. Öyleyse yıllık çalışan sayısı 50’den fazla ve mali bilançosu 25 milyon Türk Lirasından fazla olan KOBİ’ler açısından bu istisna hali söz konusu olmayıp; VERBİS’e kayıt yükümlülüğü ve Kişisel Veri Envanteri oluşturma zorunluluğu devam etmektedir.

Dolayısıyla Kurul, vermiş olduğu bu kararla çok ciddi sayıdaki veri sorumlusunu kayıt yükümlülüğünden muaf tutarak bu veri sorumlularının sisteme giriş yapmasını önlemiştir. Türkiye İstatistik Kurumu’nun 25 Kasım 2016 tarihli “Küçük ve Orta Büyüklükteki Girişim İstatistikleri, 2016” haber bültenine göre KOBİ’ler 2014 yılında toplam girişim sayısının %99,8’ini oluşturmuştur[7]. Türkiye Ekonomi Politikaları Araştırma Vakfı (TEPAV) İstihdam İzleme Bülteni’nin 67’nci sayısında ise 2017 yılının eylül ayına ait verilerine göre KOBİ sayısının bir yılda 101 bin artarak toplamda 1 milyon 826 sayısına ulaştığı belirtilmiştir[8]. Görüldüğü gibi veri sorumlularının büyük bir çoğunluğu KOBİ’lerden oluşmaktadır[9].

Karar ile belirtilen istisna kapsamına dahil olmak için veri sorumlusu, çalışan sayısı ve mali bilançoya ilişkin koşullardan sonra ana faaliyet konusuna ilişkin şartı sağlamalıdır. Buna göre veri sorumlusunun bu istisna halinden faydalanabilmesi için ana faaliyet konusunun özel nitelikli kişisel veri işleme olmaması gerekmektedir. Ancak “ana faaliyet konusu” kavramından tam olarak ne anlaşılması gerektiği bana göre belirsizdir. Bununla kastedilebilecek iki farklı anlam olabileceğini düşünmekteyim:

  • İlk olarak istisna kapsamında olabilmek için özel nitelikli kişisel verilerin işlenmesi faaliyetlerinin veri sorumluları açısından merkezde olmaması gerektiği kastedilmiş olabilir. Ancak bu durumda da özel nitelikli kişisel verilerin merkezde olması veya veri sorumlusu açısından esas olmasının ne demek olduğu belirsizdir. Zira sırf kişisel veri işlemek üzere faaliyete başlamış bir girişimden söz etmek mümkün değildir. Öyleyse bu açıdan bakıldığında veri sorumlusunun yürüttüğü işin niteliği gereği temel olarak özel nitelikli kişisel veri işleyip işlemediğine bakılmalıdır. Örneğin, yürüttüğü faaliyetin gereği olarak temel faaliyetleri sağlık verileri ve dolayısıyla özel nitelikli kişisel verileri işlemek olan hastaneler, daha ufak çapta düşünürsek küçük sağlık kuruluşları için ana faaliyet konusunun özel nitelikli kişisel veri işleme olduğu söylenebilecekse, bu kuruluşların istisnadan yararlanamayacağı anlamı çıkacaktır.

  • İkinci olarak veri sorumlusunun bu istisnadan faydalanabilmek için ana faaliyet olarak adlandırdığı süreçlerinde hiçbir şekilde özel nitelikli kişisel verileri işlememesi gerektiği anlaşılabilir. Ancak bu durumda çalışan sayısı ve mali bilanço açısından bu istisna kapsamına girecek çok sayıda KOBİ bulunsa da ana süreçlerinde hiçbir şekilde özel nitelikli kişisel veri işlemeyen veri sorumlularını bulmak çok güç olduğundan belirtilen istisnanın uygulamada herhangi bir önemi olmayacaktır. Günümüzde küçük işletmelerde bile en azından işçilere ilişkin sağlık verileri veya sendika üyeliğine ilişkin bilgiler tutulmaktadır.

Ben, Kurul’un verdiği kararda istisna kapsamına dahil olabilmek için belirlenen “ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan” kavramından ilkinin kastedildiğini düşünmekteyim. Bu halde çalışan ve mali bilanço açısından daraltılan mevcut KOBİ sayısından bir de, ilk duruma göre işinin niteliği gereği temel faaliyeti özel nitelikli kişisel veri işleme olanlar açısından bir küçülme olacak ve istisna kapsamına dahil edilen veri sorumlusu sayısı makul bir düzeyde olacaktır.

Öte yandan bu kararında da hangi kriterlere dayanarak istisna belirlediğini açıklamayan Kurul’un ilk olarak kişisel verilerin işlendiği faaliyet alanının büyüklüğüne dayanarak karar verdiği görülmektedir. Ayrıca özel nitelikli veri bakımından ayrım yapılması kişisel verinin niteliği kriterinin de esas alındığını göstermektedir. Kurul’un dayandığı kriter ve gerekçeleri açıklamaması bakımından yukarıdaki kararlarda belirttiğim eleştiriler bu noktada da geçerlidir.

Her üç koşul bakımından da uyumlu olan ve VERBİS’e kayıt yükümlülüğü bakımından istisna kapsamında olduğu anlaşılan veri sorumluları kayıt yaptırmak ve envanter oluşturmak zorunda olmamakla birlikte yukarıda belirttiğim üzere Kanun ve Yönetmelikler ile getirilen diğer yükümlülükler bakımından sorumluluk devam etmektedir.

Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesinden ve veri sorumluları için bu Kanun’a uyumlu hale gelme yükümlülüğü doğmasından bu yana KOBİ’lerin VERBİS’e kayıt yükümlülüğünden istisna tutulacakları ve dolayısıyla uyumluluk süreçlerinin ilk aşaması olan Kişisel Veri Envanteri oluşturmak zorunda olmayacakları noktasında beklentisi bulunmaktaydı. Bu beklenti nedeniyle de büyük ölçekli veri sorumlularının birçoğu bu süreçleri bitirmiş, başlamak üzere veya teklif alma aşamasındayken; KOBİ’lerde uyumluluk süreçlerini başlatma veya devam ettirme noktasında haklı çekinceler bulunmaktadır. Öyle ki Kurul tarafından istisnalara ilişkin ilk olarak 15 Mayıs 2018 tarihinde yayınlanan karara rağmen KOBİ’lerin istisna kapsamına alınacakları konusunda beklentileri devam etmekteydi. Bu karar ise belirsizlikleri her açıdan tam olarak gidermesi ve istisna kapsamını somut bir biçimde belirlemesi bakımından konuya ilişkin tereddütleri ve çekinceleri giderecek niteliktedir. Dolayısıyla bu tür sebeplerden dolayı uyum süreçlerini yürütmek konusunda geç kalmış olan veri sorumlularına önerim, belirtilen çalışan sayısı, mali bilanço ve veri niteliği şartlarından herhangi birini sağlayamamaları halinde bir an önce Kanun’a uyumlu hale gelmek üzere somut adımlar atmalarıdır. Nitekim hali hazırda Kanun’un belirlediği hükümlere uyumlu olunmasına ilişkin belirttiği son tarih olan 7 Nisan 2018 geçmiştir. Bu bağlamda ihlal kararları ile idari para cezasına yönelik yaptırımlar kendisini göstermeye başlamıştır. Bu nedenle istisna altında olacakları yönünde beklentileri karşılanmayan veri sorumlularına bu konuda ısrarcı davranmamaları ve idari para cezaları ile karşı karşıya kalmamak için bir an önce Kanun’a uyumlu olmak için çalışmalara başlamalarını öneriyorum.

4.         "Sicile Kayıt Yükümlülüğünün Başlama Tarihleri" ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/88 Sayılı Kararı

Kurul, bu kararıyla şüphesiz konuya ilişkin olarak en çok merak edilen ve yürüttüğümüz uyumluluk projelerinde en çok karşılaştığımız sorulardan birine cevap vererek büyük bir boşluğu doldurmuştur. Karar ile veri sorumlularının hangi tarihte Sicil’e kayıt yaptırmak için başvuruda bulunmaya başlayacağı ve bu başvuru süresinin ne kadar devam edeceği belirlenmiştir. Kararın dayanağını ise Kanun’un Geçici 1. maddesinin 2. fıkrası oluşturur: “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.”

Veri sorumlularının Sicil’e kayıt yükümlülüğünü yerine getirmek üzere bağlı olduğu süreler şu şekildedir:

· Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01.10.2018 iken; Sicile kayıt yaptırmaları için son süre 30.09.2019 tarihidir.

· Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01.10.2018 iken; Sicile kayıt yaptırmaları için son süre 30.09.2019 tarihidir.

· Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01.01.2019 iken; Sicile kayıt yaptırmaları için son süre 31.03.2020 tarihidir.

· Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01.04.2019 iken; Sicile kayıt yaptırmaları için son süre 30.06.2020 tarihidir.

Görüldüğü üzere Kararda veri sorumlularının büyüklüğü ve niteliği bakımından ayrım yapılmıştır. Buna göre ilk sıra yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan ve belirlenen kriterlere göre kayıt yükümlülüğü bulunup yurtdışında yerleşik olan veri sorumlularına verilmiştir. Bu veri sorumluları 1 Ekim 2018 ile 30 Eylül 2019 tarihleri arasında başvuru işlemlerini bitirmiş olmalıdır. Bu noktada yine belirtilen kriterlere uymayarak kayıt yükümlülüğü devam eden KOBİ’lere değinmek gerekir. Zira bu nitelikteki veri sorumlularının birçoğunun henüz uyum süreçlerinin başlangıç aşamasında dahi olmadığını gözlemlemekteyim. Ancak başvuru tarihinin yakın bir tarihte başladığı ve uyumluluk süreçlerinin zaman ve emek gerektirdiği göz önüne alındığında söz konusu veri sorumlularının da daha fazla geç kalmadan bu süreçleri başlatmaları gerekir.

            Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olsa da ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumlularının istisna kapsamında olmadığı ve Sicil’e kayıt yaptırmak zorunda olduğu yukarıda belirtildi. Bu nitelikteki veri sorumluları ise 1 Ocak 2019 ile 31 Mart 2020 tarihleri arasında başvuruda bulunacaktır. Bu açıdan daha geç ve daha kısa tarihlerin belirlendiği görülmektedir. Bunun nedeninin belirtilen nitelikteki veri sorumlularının ilk sıraya konulan veri sorumlularına kıyasla daha küçük ölçekli olması ve buna paralel olarak daha az sayıda kişisel veri işlemesine bağlı olduğunu düşünüyorum.

            Sicil’e en son kayıt yaptıracak veri sorumluları ise kamu kurum ve kuruluşları olarak belirlenmiştir. Bu kurumlar da 1 Nisan 2019 ile 30 Haziran 2020 tarihleri arasında başvuru yükümlülüklerini yerine getirmelidir. Bu son derece önemli bir vurgudur. Zira yapmış olduğum temaslarda kamu kurum ve kuruluşlarının birçoğunda “bu Kanun bize uygulanmaz” şeklinde bir düşüncenin hakim olduğunu görmekteyim. Oysa Kanun, kolluk ve istihbarat kurumları dışında bir başka kamu kurum ve kuruluşunu istisna kapsamına almamıştır. İşte bu karar, bunlara ilişkin bir istisnanın olmadığının açık kanıtı ve ilanıdır. Dolayısıyla kamu kurum ve kuruluşları da bir an önce KVKK’ya uyum süreçlerini başlatarak, kişisel veri envanteri çıkarmalı ve zamanı geldiğinde VERBİS’e kayıt yükümlülüğünü yerine getirmelidir.

İlk olarak Karar ile veri sorumlularının hangi tarihte Sicil’e kayıt yaptırmak için başvuruda bulunmaya başlayacağı ve bu başvuru süresinin ne kadar devam edeceğinin daha fazla geç kalınmadan açık ve net bir biçimde belirlenmesini yerinde bir adım olarak değerlendirmekteyim. Kayıt yaptıracak veri sorumluları açısından tahmin ettiğimiz üzere nitelik ve büyüklüklerine göre kademeli bir yaklaşım benimsenmesi ise oldukça faydalı olmuştur. En büyük ölçekli veri sorumlularının çok sayıda kişisel veri işlemesi ve dolayısıyla tehlikenin daha büyük olması nedeniyle ilk sırada olması, bununla birlikte bu nitelikteki veri sorumluları açısından ciddi bir yükümlülük söz konusu olduğundan uzun bir tarih aralığının verilmiş olması, yükümlülüğün etkin bir şekilde yerine getirilmesi ve uygulanabilir nitelik taşıması bakımından etkilidir. Dolayısıyla Kurul’un kararını bu açıdan çok yerinde bir gelişme olarak değerlendirmekteyim.

Sonuç

Kişisel Verilerin Korunması Kurulu tarafından verilen ve 18 Ağustos 2018 tarihli ve 30513 sayılı Resmi Gazete’de yayımlanan kararların değerlendirilmesi sonucu varılan sonuçlar ve veri sorumlularına öneriler şu şekilde sıralanabilir:

  • 6698 sayılı Kanun gereğince veri sahibinin açık rızası olmaksızın kişisel veri işleyebilecek olan gümrük müşavirleri ile yetkilendirilmiş gümrük müşavirleri, Kurul’a yöneltilen talep sonucunda, VERBİS’e kayıt yaptırma zorunluluğundan da muaf tutulmuştur.

  • Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığı tarafından Kurul’a yapılan talep sonucu, arabuluculuk faaliyetini yürüten kişiler de VERBİS’e kayıt yaptırma zorunluluğundan da muaf tutulmuştur.

  • Kurul 15 Mayıs 2018 tarihinde yayınlanan kararı ile belirttiği istisna kapsamını genişletmiştir. Buna göre yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar istisna kapsamına dahil edilmiştir. Böylece bir önceki kararla hiçbir şekilde istisna kapsamında olmadığı anlaşılan KOBİ’lerden bir kısmı bu yükümlülükten muaf tutulmuştur.

  • Belirtilen koşullardan “ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” kavramından ne anlaşılması gerektiği açıklanmaya ihtiyaç duymaktadır.

  • Kurul, vermiş olduğu kararlarla zaten kanunlara dayanarak işleme faaliyetini gerçekleştiren ciddi sayıda veri sorumlusunun, sisteme giriş yapmasını önlemiştir.

  • Kurul, istisna kararı verirken ilgili Yönetmeliğin “İstisna kriterleri” başlıklı 16. maddesiyle bağlı olmasına karşılık, vermiş olduğu üç kararda da Sicil’e kayıt yaptırmak konusunda istisna kapsamına dahil edilen veri sorumluları açısından neden böyle bir istisnaya ihtiyaç duyulduğuna ilişkin açıklama yapmamıştır. Gerekçeli bir şekilde verilmeyen kararların belirlilik ilkesine aykırı düşmesinin yanı sıra gerekçeli verilmiş olması halinde daha faydalı olacağını düşünmekteyim.

  • İstisna kapsamına alınan veri sorumluları, ayrıca bir istisna hali düzenlenmedikçe Kanun ve ilgili Yönetmeliklerle getirilen diğer yükümlülüklerle, bağlı olduklarını hiçbir şekilde unutmamalıdır. Belirtilen istisna yalnızca VERBİS’e kayıt yaptırma yükümlülüğüne ilişkindir. Dolayısıyla istisna kapsamında olup olmadığı fark etmeksizin her veri sorumlusu, kişisel verilerle ilgili her türlü aşamada Kanun’a uyumlu bir şekilde hareket etmek zorundadır.

  • Kurul tarafından önceki yayınlanan Karar da dahil olmak üzere belirlenen hiçbir istisna kapsamına dahil olmayan veri sorumluları açısından Sicil’e kayıt başvurularının hangi tarihlerde başlayıp hangi tarihlerde sona ereceği net bir şekilde belirlenmiştir.

  • Kamu kurum ve kuruluşlarının istisna kapsamında olmadıkları açık bir biçimde ifade edilmiştir.

  • Sicil’e kayıt başvurusu yapacak veri sorumlularının başvuru yapacakları tarihlerin, nitelik, büyüklük ve kapsamlarına göre kademeli olarak ayrılması oldukça yerinde olmuştur.


*     Akademisyen/Avukat.

[3]     Madde 30 - Gümrük müşavirleri, kanunlara göre tutmaya mecbur oldukları ticari veya kanuni defterlerini, vekaletname ve sözleşmelerini, işlerine dair yazdıkları ve aldıkları mektup, faks, telgraf ve benzeri belgeler ile düzenledikleri fatura, makbuz ve masraflarına ilişkin belgelerin asıllarını ve örneklerini özel kanunlardaki hükümler saklı kalmak kaydıyla beş yıl muhafaza etmeye; bunları gümrük müfettişi, gümrük müfettiş yardımcısı, kontrolör, stajyer kontrolör ve yetkili gümrük amir ve memurlarına göstermeye; bunların incelenmesine, denetlenmesine izin vermeye ve gerektiğinde yazılı istek üzerine bunları yukarıda belirtilen görevlilere ibraz etmeye mecburdurlar.

[4]     Raporun tamamı için bkz: http://risk.gtb.gov.tr/data/572b3a8a1a79f50cd8a22b1a/34-Gumruk%20Musavir %20ve%20Yardimcisi%20Sayilari.pdf

[5]     Listeye ulaşmak için bkz: http://www.adb.adalet.gov.tr/arabulucu/.

[6]           24 Haziran 2018 tarihli ve 30458 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Küçük ve Orta Büyüklükteki İşletmelerin Tanımı, Nitelikleri ve Sınıflandırılması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik ile yıllık net satış hasılatı ve mali bilanço üst limiti 40 milyon TL’den 125 milyon TL’ye yükseltilmiştir. Yıllık çalışan personel sayısı üst limiti ise 250 çalışan olarak korunmuştur.

[7]     TÜİK, söz konusu istatistiklerde mali büyüklüğe (yıllık net satış hasılatı veya mali bilanço) ilişkin herhangi bir kriter uygulanmaksızın sadece çalışan sayısı 250’den az olan girişimleri KOBİ olarak tanımlanmıştır. Haber bülteninin tamamı için bkz: http://tuik.gov.tr/PreHaberBultenleri.do?id=21540.

[8]     TEPAV, İstihdam İzleme Bülteni, 21/12/2017, Sayı:67, http://www.tepav.org.tr/upload/files/1513838381-3.TEPAV_Istihdam_Izleme_Bulteni___Eylul_2017.pdf.

[9]     Yapılan araştırmaların 24 Haziran 2018 tarihinde yapılan değişiklikten önceki KOBİ tanımına ilişkin olduğu unutulmamalıdır. Bunların yanı sıra yıllık net satış hasılatı veya mali bilançosu 40 milyon TL ile 125 milyon TL arasında olan ekonomik birimler de KOBİ statüsüne dahil olmuştur.