Geri Git   Frmsinsi.net - Hakkında Bilgi - Nedir > Eğitim - Öğretim - Dersler - Genel Bilgiler > Ekonomi / İktisat / İşletme

Yeni Konu Gönder Yanıtla
 
Konu Araçları
kayıt, olmak, zorundadır

çalışan Sayısı 50 Den Fazla, Mali Bilançosu 25 Milyondan Fazla Kobiler Verbis"e Kayıt Olmak Zorundadır.

Eski 09-14-2018   #1
Şengül Şirin
Varsayılan

çalışan Sayısı 50 Den Fazla, Mali Bilançosu 25 Milyondan Fazla Kobiler Verbis"e Kayıt Olmak Zorundadır.



ÇALIŞAN SAYISI 50 DEN FAZLA, MALİ BİLANÇOSU 25 MİLYONDAN FAZLA KOBİLER VERBİS'E KAYIT OLMAK ZORUNDADIR


Bu veri sorumluları 1 Ekim 2018 ile 30 Eylül 2019 tarihleri arasında başvuru işlemlerini bitirmiş olmalıdır


Özet:



Yıllık çalışan sayısı 50’den fazla ve mali bilançosu 25 milyon Türk Lirasından fazla olan KOBİ’ler açısından bu istisna hali söz konusu olmayıp; VERBİS’e kayıt yükümlülüğü ve Kişisel Veri Envanteri oluşturma zorunluluğu devam etmektedir

Doç Dr Murat Volkan DÜLGER
Kişisel Verilerin Korunması Kanunu’nun 16 maddesinde Kişisel Verileri Koruma Kurulu’nun gözetiminde Başkanlık tarafından kamuya açık olarak tutulacak olan ve kısaca “VERBİS” olarak adlandırılan Veri Sorumluları Sicili hakkında hususlar düzenlenmiştir Kanun’un aynı maddesinin 2 fıkrasında, kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda olduğu ancak bu zorunluluğa Kurul tarafından istisna getirilebileceğine ve 3 fıkrasında da Veri Sorumluları Siciline kayıt başvurusunun hangi hususları içermesi gerektiğine yer verilmiştir Belirtilen hususlarda değişiklik olması halinde maddenin 4 fıkrası uyarınca bu değişiklikler derhal Başkanlığa bildirilmelidir Son olarak Kanun, aynı maddenin 5 fıkrasıyla Veri Sorumluları Siciline ilişkin diğer usul ve esasların yönetmelikle düzenleneceğini öngörmüştür


Kişisel Verilerin Korunması Kanunu’nda öngörülmüş olan Veri Sorumluları Sicili ile ilgili kapsamlı düzenlemelere yer veren “Veri Sorumluları Sicili Hakkında Yönetmelik” 30 Aralık 2017 tarihli ve 30286 sayılı Resmi Gazete’de yayınlanarak 1 Ocak 2018 tarihi itibariyle yürürlüğe girmiştir[1] Yönetmeliğin 16 maddesinin 2 fıkrasında; Kurulun, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haiz olduğu ve Kurul kararlarını uygun yöntemlerle yayımlayarak kamuya duyuracağı ifade edilmişti Kurul’un, kendisine verilen bu yetkiye dayanarak Sicil’e kayıt yükümlülüğü istisnaları hakkında vermiş olduğu 242018 tarihli ve 2018/32 sayılı kararı da, 15 Mayıs 2018 tarihli ve 30422 sayılı Resmi Gazete’de yayımlandı[2]
Veri Sorumluları Sicili hakkındaki hukuki düzenlemeler bu şekilde ilerleme kaydetmiş olmakla birlikte, kişisel verilerin korunmasına ilişkin planlama yapmak durumunda olan tüm sektörlerde ve konuyla ilgilenen tüm kesimlerde konuya ilişkin beklenti ve tereddütlerin devam ettiğini görmekteyim Sicil’e kayıt yükümlülüğünün ne zaman başlayacağı, hangi süreler içerisinde kaydolmak gerektiği ve küçük büyük fark etmeksizin bütün veri sorumlularının kaydolmasının zorunlu olup olmadığı, soru işaretlerinin en fazla yoğunlaştığı noktalardır Bütün bu soruların cevaplanabilmesi ve tereddütlerin giderilmesi şüphesiz Kurul’un atacağı adımlar sayesinde gerçekleşecektir


İşte tam da bu amaçla Kurul’un konuya ilişkin vermiş olduğu kararlardan dört tanesinin Kurum’un internet sayfası ile Resmi Gazete’de yayımlanmasına oy birliği ile karar verilmesi sonucu, söz konusu kararlar 18 Ağustos 2018 tarihli ve 30513 sayılı Resmi Gazete’de yayımlandı Bu çalışmamda da ilgili kararları, Veri Sorumluları Sicili hakkında daha önce gerçekleştirilen yasal düzenlemeleri de göz önünde bulundurarak değerlendireceğim Bu değerlendirme sonucunda Kanun’a uyumluluk projeleri yürüten veri sorumlularının Sicil’e kayıt yükümlülüğü aşamalarında nelere dikkat etmeleri gerektiği konusunda önerilerde bulunacağım Böylece veri sorumluları açısından ciddi belirsizliklerin ve soru işaretlerinin bulunduğu “VERBİS’e kayıt yükümlülüğü” konusunun verilen kararlara ilişkin olarak bir nebze olsun anlaşılmasını sağlamaya çalışacağım


Kişisel Verileri Koruma Kurulu’nun 18 Ağustos 2018 Tarihli Resmi Gazete’de Yayımlanan Kararları


Aşağıda detaylı olarak incelenecek olan Kurul kararlarının üç tanesi Veri Sorumluları Siciline kayıt yükümlülüğüne getirilen istisnalar hakkındadır Bu kararları incelemeye geçmeden önce Kurul’un vereceği bütün istisna kararlarına ilişkin olarak hangi ölçütlerle bağlı olduğunu ve bu istisnaları neye göre belirleyeceğini belirtmek gerekir Yönetmelik’in “İstisna kriterleri” başlıklı 16 maddesin göre Kurul, kayıt yükümlülüğüne istisna getirirken şu hususları göz önünde bulunduracaktır:


Kişisel verinin niteliği,
Kişisel verinin sayısı,
Kişisel verinin işlenme amacı,
Kişisel verinin işlendiği faaliyet alanı,
Kişisel verinin üçüncü kişilere aktarılma durumu,
Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması,
Kişisel verilerin muhafaza edilme süresi,
Veri konusu kişi grubu veya veri kategorileri
Buna göre, Kurul ancak yukarıda belirtilen kriterler çerçevesinde istisna kararı verebilecektir İstisnaların kapsamı ile uygulama usul ve esaslarını belirlerken bu kriterlerden herhangi biri veya birkaçına dayanmalıdır Öyleyse bu kriterler söz konusu olmaksızın verilecek olan istisna kararı hukuka aykırı olacaktır


Değerlendirilecek olan kararlardan sonuncusu ise Sicil’e kayıt yükümlülüğünün başlama tarihlerine ilişkindir Böylece veri sorumlularının ne zaman kayıt için başvurmaya başlayabilecekleri ile hangi sürelerle bağlı oldukları gibi önemli noktalar somut olarak belirlenmiştir
Veri Sorumluları Sicili’ne kayıt yükümlülüğünün öneminin anlaşılması adına Kanun’da öngörülmüş olan yaptırımlara da değinmek gerekir Kanun’un ‘Kabahatler’ başlıklı 18 maddesinde; Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20000 Türk lirasından 1000000 Türk lirasına kadar idari para cezası verileceği düzenlenmiştir Görüldüğü gibi bu miktar oldukça yüksek olup, bu konuda dikkatli olunması gerekir


1 "Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında Görüş Talebi" ile ilgili Kişisel Verileri Koruma Kurulunun 28/06/2018 Tarihli ve 2018/68 Sayılı Kararı Kurul’un Veri Sorumluları Sicili Hakkında Yönetmelik gereğince Sicil’e kayıt yükümlülüğüne getirilen istisnaların belirlenmesine ilişkin olarak karar verdiği yukarıda belirtildi Bu karardan sonra Ankara, Bursa, İstanbul, İzmir ve Mersin Gümrük Müşaviri Dernekleri tarafından Kurul’a 2552018 tarihli bir açıklama ve talep yazısı gönderilmiştir Bu yazıyla söz konusu karara istinaden, gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin de istisna kapsamına alınması talep edilmiştir


Kurul, aldığı talebe karşılık yaptığı inceleme sonucu Kanun ve Yönetmelik’in ilgili hükümlerini de göz önünde bulundurarak gümrük müşavirleri ile yetkilendirilmiş gümrük müşavirleri olarak faaliyet gösterenler bakımından Sicil’e kayıt yükümlülüğüne istisna getirilmesine karar vermiştir
Gümrük müşavirleri, kendilerine Gümrük ve Ticaret Bakanlığınca verilen izin belgesiyle eşyanın gümrükçe onaylanmış bir işlem veya kullanıma tabi tutulmasına ilişkin gümrük işlemlerini dolaylı temsil yoluyla takip eden ve sonuçlandıran serbest meslek sahipleridir Yetkilendirilmiş gümrük müşavirleri ise ekonomik etkili gümrük rejimleri, nihai kullanım, basitleştirilmiş usul uygulamaları ve diğer gümrük işlemlerinin doğru olarak uygulanmasını sağlamak için Gümrük ve Ticaret Bakanlığınca belirlenen tespit işlemlerini yapmak üzere yetkilendirilen kişilerdir


Her iki faaliyet grubu da 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösterir Bu Kanun’un kendilerine tanımladığı yükümlülükler kapsamında gümrük işlemlerini yaptıkları kişilerin verilerini veri sorumlusu olarak işlemekte ve ilgili makamlara bu kişiler adına beyanda bulunmaktadırlar Kanun gereğince tutmaya mecbur oldukları bilgi ve belgeleri beş yıl süreyle muhafaza etmek, bunları gerekli kişilerle paylaşmak ve belli şartların sağlanması koşuluyla belirtilen görevlilere ibraz etmek zorundadırlar[3] Örneğin, bir gümrük müşaviri, gümrükçe onaylanmış kullanıma ilişkin olarak yaptığı gümrük işlemine dair yazdıklarını, ekleriyle beraber gümrük müfettişine beyan etmek zorundadır


Dolayısıyla gümrük müşavirleri faaliyet gösterdikleri Kanun uyarınca kişisel verileri tutmak, saklamak, paylaşmak ve aktarmakla yükümlüdür Ayrıca bu faaliyetlerini kanun gereğince yapmak zorunda olduklarından 6698 sayılı Kanun gereğince açık rıza almaları da gerekmemektedir Kurul’a yöneltilen istisna kapsamına alınma talebiyle de zaten Kanun gereğince yapmak zorunda oldukları söz konusu kişisel veri işleme faaliyetlerinin, Kanun hükümlerinin ihlali gibi değerlendirilebileceği tehlikesi sonucu doğabilecek olası mağduriyetlerin önlenmesi amaçlanmıştır


Belirtmek gerekir ki, 6698 sayılı Kanun, kişisel verilerin işlenmesi faaliyetinin kanunlarda açıkça öngörülmesi veya veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması gibi şartların varlığı halinde veri sahibinin açık rızası olmaksızın zaten işlenebilmesine imkân tanır Dolayısıyla gümrük müşavirlerinin tabi oldukları mevzuat uyarınca kendilerine verilen yükümlülükleri yerine getirebilmek amacıyla yapacakları kişisel veri işleme faaliyetlerinin Kanun hükümlerinin ihlali anlamına gelmesi mümkün değildir


Bununla birlikte Sicil’e kayıt yükümlülüğü kişisel verilerin işlenmesi koşullarından farklı bir husustur Gümrük ve Ticaret Bakanlığı’nın 2 Mayıs 2017 tarihi itibariyle güncel verileri içeren raporuna göre; 9411 gümrük müşaviri yardımcısı, 3127 gümrük müşaviri ve 383 yetkilendirilmiş gümrük müşaviri bulunmaktadır[4] Kurul, gümrük müşavirleri ile yetkilendirilmiş gümrük müşavirlerini istisna kapsamına dahil ederek önemli sayıda veri sorumlusunun sisteme giriş yapmasını önlemeyi amaçlamıştır


Ayrıca kişisel veri işleme faaliyetinin kanunlardan kaynaklanması Kurul’un istisna getirirken göz önünde bulunduracağı kriterler arasında sayılmıştır Bu nedenle belirtilen meslek gruplarının istisna kapsamına alınma nedeninin söz konusu kriter olduğunu düşünmekteyim Bununla birlikte Kurul’un yayımlamış olduğu kararda, yalnızca istisna kararına yer vermiş olmasını ve istisna kapsamına alma gerekçelerini açıklamamış olmasını büyük bir eksiklik olarak değerlendiriyorum Kurul’un neden istisna kapsamına almaya ihtiyaç duyduğunun açıklanması, veri sorumluları ve konunun ilgilenenleri açısından daha faydalı olabilirdi Ayrıca istisna kapsamına alınmayan veri sorumluları bulunduğundan istisna kararının gerekçeli olması hukuka uygunluk açısından önemlidir Nitekim hukuki güvenlik ve hukuki belirlilik ilkeleri gereğince bireylerin tabi oldukları rejimi ve bunun gerekçelerini bilmeye, dolayısıyla konu özelinde veri sorumlularının neden istisna kapsamına alınmadığını açık ve kesin bir şekilde öğrenmeye hakkı olmalıdır
Sonuç olarak zaten 6698 sayılı Kanun gereğince veri sahibinin açık rızası olmaksızın kişisel veri işleyebilecek olan gümrük müşavirleri ile yetkilendirilmiş gümrük müşavirleri söz konusu kararla VERBİS’e kayıt yaptırma zorunluluğundan da muaf tutulmuştur


Öte yandan veri sorumlusunun VERBİS’e kayıt yükümlülüğü açısından istisna kapsamına alınmasının, hiçbir şekilde Kanun ve ilgili Yönetmeliklerle getirilen yükümlülüklerden de ayrı tutulduğu anlamına gelmediğinin altını önemle çizmek isterim Gümrük müşavirleri ile yetkilendirilmiş gümrük müşavirleri Sicil’e kayıt olmak zorunda değilse de, kişisel verilerle ilgili her türlü aşamada Kanun ve Yönetmeliklere uyumlu hareket etmek zorundadır Örneğin, belirlediği amacına ulaşmak için gerekmeyen verileri tutmamalı, tuttuğu verileri gerekenden fazla kişiyle paylaşmamalı veya ibraz etmekle yükümlü olmadığı kişilere aktarmamalıdır Kanuni yükümlülük veya Sicil’e kayıttan muaf tutulma kişisel verilerin 6698 sayılı Kanun’a aykırı bir şekilde kişisel verilerin işlenmesine haklı bir gerekçe olamaz


2 "Arabulucuların Veri Sorumluları Siciline Kayıt Zorunluluğundan İstisna Tutulması" ile ilgili Kişisel Verileri Koruma Kurulunun 05/07/2018 Tarihli ve 2018/75 Sayılı Kararı Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığı tarafından 25052018 tarihinde Kurul’a gönderilen yazıda Arabulucuların, Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin talepte bulunulmuştur Kurul, yaptığı inceleme sonucunda Kanun ve Yönetmelik hükümlerini de göz önünde bulundurarak talebi kabul etmiş ve Arabulucular bakımından istisna getirilmesine karar vermiştir


Arabuluculuk; “Sistematik teknikler uygulayarak, görüşmek ve müzakerelerde bulunmak amacıyla tarafları bir araya getiren, onların birbirlerini anlamalarını ve bu suretle çözümlerini kendilerinin üretmesini sağlamak için aralarında iletişim sürecinin kurulmasını gerçekleştiren, tarafların çözüm üretemediklerinin ortaya çıkması hâlinde çözüm önerisi de getirebilen, uzmanlık eğitimi almış olan tarafsız ve bağımsız bir üçüncü kişinin katılımıyla ve ihtiyarî olarak yürütülen uyuşmazlık çözüm yöntemini” ifade eder Arabulucu ise açıklanan faaliyeti yürüten kişidir


Bu kişiler 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu uyarınca faaliyet gösterirler Kanun’a göre arabulucu, gösterdiği faaliyeti çerçevesinde kendisine sunulan veya diğer şekilde elde ettiği bilgileri tutmaya yetkili olsa da, bu bilgi, belge ve kayıtları gizli tutmakla yükümlüdür Bununla birlikte bazı bilgilerin bir kanun hükmü tarafından emredildiği veya arabuluculuk süreci sonunda varılan anlaşmanın uygulanması ve icrası için gerekli olduğu ölçüde açıklanması mümkün ve gereklidir Böylece arabulucuların tabi oldukları mevzuat gereğince kişisel verileri tutmak, işlemek ve gerekli şartların sağlanması koşuluyla bu verileri paylaşmak noktasında hak ve yetkileri bulunur


Arabulucu, mesleki yükümlülüğünü yerine getirebilmek üzere yürüttüğü faaliyetler kapsamında bireylere ilişkin önemli sayıda ve çoğu zaman da özel nitelikli kişisel veriler elde eder Örneğin, bir işçi-işveren davasında görev yapan arabulucunun işçinin sendika üyeliğine ilişkin verilerini elde etmesi mümkünken; bir hastane ile bu hastanede tedavi görmüş hasta arasında yürütülen tazminat davasında görev yapan arabulucunun ise kişinin sağlık verilerini elde etmesi muhtemeldir Elde ettiği verileri tabi olduğu Kanun uyarınca gizli bir şekilde kayıt altına almaya, yine aynı Kanun ile belirtilen şartlarda gerekli ölçüde açıklamakla yükümlüdür


Dolayısıyla arabulucular kişisel veriler üzerinde veri sorumlusu sıfatıyla gerçekleştirdikleri işleme faaliyetlerini, kanunlarda açıkça öngörülmesi veya yükümlülüğün yerine getirilmesi için zorunlu olması gibi işleme şartlarına dayandırabilmekte ve veri sahibinin açık rızasına ihtiyaç duymamaktadırlar Söz konusu kararla da arabuluculuk faaliyetini yürüten kişiler, açık rıza olmaksızın kişisel veri işleyebilecek olmanın yanı sıra VERBİS’e kayıt yaptırma zorunluluğundan da muaf tutulmuştur


Bu istisna kararına da iki farklı açıdan değinmek gerekir İlk olarak Kurul’un arabuluculuk mesleği açısından vermiş olduğu istisna kapsamına alma kararının da kişisel veri işleme faaliyetinin kanunlardan kaynaklanması kriterine dayandığını düşünmekteyim Nitekim açıklandığı gibi arabulucular tabi oldukları mevzuat gereğince kişisel veri işleme faaliyetini yürütmek zorundadırlar Bununla birlikte Kurul’un hangi kriter veya kriterlere dayandığını açıklamayarak istisna kararını gerekçelendirmemiş olmasına ilişkin bir önceki kararda belirttiğim eleştirilerim, bu karar açısından da geçerlidir
İstisna kararının diğer açıdan gerekçesine baktığımızda ise yine karar konusu faaliyeti yürüten çok sayıda veri sorumlusunun bulunduğunu görürüz Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığı tarafından yayınlanan arabulucular listesine göre Türkiye çapında 7832 arabulucu faaliyet göstermektedir[5] Dolayısıyla Kurul’un bu kararıyla da önemli sayıda veri sorumlusunun sisteme giriş yapmasını önlemeyi amaçladığı söylenebilir


Son olarak, VERBİS’e kayıt yükümlülüğü açısından istisna kapsamına alınan arabulucular açısından da Kanun ve Yönetmeliklerle getirilen diğer yükümlülüklerin devam ettiği unutulmamalıdır


3 "Veri Sorumluları Siciline Kayıt Yükümlülüğünde İstisna Tutulacak Veri Sorumluları" ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/87 Sayılı Kararı Kurul son olarak kendisine yöneltilen herhangi bir talep olmaksızın 18 Ağustos 2018 tarihinde yayınlanan kararı ile Sicil’e kayıt yükümlülüğünden istisna tutulan veri sorumlularına yeni istisnalar belirlemiştir Buna göre yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar istisna kapsamına dahil edilmiştir Böylece Sicil’e kayıt yükümlülüğüne getirilecek istisnalara ilişkin en büyük merak konusu giderilmiş ve büyük bir istisna kapsamı oluşturulmuştuır


Kurul, bir önceki istisna kararının Karara Ek Liste, 1 maddesiyle “kişisel verileri tamamen veya kısmen otomatik yollarla” veri işleyen tüm veri sorumlularının VERBİS’e kayıt yaptırma yükümlülüğü bulunduğunu belirtmişti Bu ifadeden tam olarak neyin anlaşılması gerektiğinin, daha da ötesi bunun gerçekten bir istisna hali olup olmadığının belirsiz olduğuna ilişkin eleştirilerimi belirtilen Karara ilişkin olarak yaptığım değerlendirmede açıklamıştım Günümüzün gelişen, yaygınlaşan ve buna paralel olarak da maliyeti düşen bilgi işlem teknolojileri sayesinde çok küçük işletmelerde bile bir veri kayıt sistemi aracılığıyla otomatik yollarla veri işlendiği görülmektedir Dolayısıyla her anlamda otomatikleşmenin yaşandığı günümüzde, bu istisna haline girecek veri sorumlularının bulunması çok güç olduğundan esasen bana göre, tam olarak bir istisna kapsamından söz edilememekteydi
Kanun’un yürürlüğe girmesinden bu yana veri sorumlularının beklentisi ve benim de tahminim çalışan sayısı veya yıllık ciroya göre bir sınırlama yapılması ve belli bir çalışan sayısı ve/veya yıllık cironun altındaki veri sorumlularının istisna kapsamı altında tutulması yönündeydi İşte, Kurul’un bu kararıyla belirtilen noktalardaki eksiklik veya belirsizlikleri giderdiği söylenebilir Zira hem içeriği tam olarak doldurulamayan önceki istisna halinin kapsamını genişletmiş hem de konuya ilişkin beklentileri karşılamıştır
Karar ile belirtilen istisna kapsamına dahil olmak için veri sorumlusunda şu şartların var olup olmadığına bakmalıdır:


Yıllık çalışan sayısı 50’den az olmalıdır
Yıllık mali bilanço toplamı 25 milyon TL’den az olmalıdır


Ana faaliyet konusu özel nitelikli kişisel veri işleme olmamalıdır
Bu Karar, en önemli etkisini şüphesiz konuya ilişkin beklentilerin en fazla yoğunlaştığı KOBİ’ler üzerinde gösterecektir Bir önceki kararda KOBİ’lere yönelik bir istisna belirlenmediği için Karara ilişkin yaptığım değerlendirmede bunların da VERBİS’e kayıt olmak noktasında yükümlülük altında bulundukları ve dolayısıyla da Kişisel Veri Envanteri oluşturmak zorunda olduklarını belirtmiştim


Ancak bu kararla durum değişmiş ve bazı KOBİ’ler de Sicil’e kayıt yaptırma yükümlülüğü konusunda istisna kapsamına dahil edilmiştir Peki hangi büyüklük ve ölçekteki KOBİ’ler bu istisnadan faydalanabilecektir? Bunun için KOBİ sayılan işletmeler ile Kurul’un çalışan sayısı ve yıllık mali bilanço toplamına ilişkin belirlediği şartlar karşılaştırılmalıdır


Ülkemizde reel sektörün önemli bir kısmını oluşturan KOBİ’ler küçük ve orta boyutlu işletmeleri ifade eder Hangi işletmelerin bu kapsamda sayıldığı ise “Küçük ve Orta Büyüklükteki İşletmelerin Tanımı, Nitelikleri ve Sınıflandırılması Hakkında Yönetmelik” ile belirlenmiştir Buna göre 250 kişiden az yıllık çalışan istihdam eden ve yıllık net satış hasılatı veya mali bilançosundan herhangi biri 125 milyon Türk Lirasını aşmayan ekonomik birimler KOBİ olarak adlandırılmaktadır[6] Öyleyse yıllık çalışan sayısı 50’den fazla ve mali bilançosu 25 milyon Türk Lirasından fazla olan KOBİ’ler açısından bu istisna hali söz konusu olmayıp; VERBİS’e kayıt yükümlülüğü ve Kişisel Veri Envanteri oluşturma zorunluluğu devam etmektedir
Dolayısıyla Kurul, vermiş olduğu bu kararla çok ciddi sayıdaki veri sorumlusunu kayıt yükümlülüğünden muaf tutarak bu veri sorumlularının sisteme giriş yapmasını önlemiştir Türkiye İstatistik Kurumu’nun 25 Kasım 2016 tarihli “Küçük ve Orta Büyüklükteki Girişim İstatistikleri, 2016” haber bültenine göre KOBİ’ler 2014 yılında toplam girişim sayısının %99,8’ini oluşturmuştur[7] Türkiye Ekonomi Politikaları Araştırma Vakfı (TEPAV) İstihdam İzleme Bülteni’nin 67’nci sayısında ise 2017 yılının eylül ayına ait verilerine göre KOBİ sayısının bir yılda 101 bin artarak toplamda 1 milyon 826 sayısına ulaştığı belirtilmiştir[8] Görüldüğü gibi veri sorumlularının büyük bir çoğunluğu KOBİ’lerden oluşmaktadır[9]


Karar ile belirtilen istisna kapsamına dahil olmak için veri sorumlusu, çalışan sayısı ve mali bilançoya ilişkin koşullardan sonra ana faaliyet konusuna ilişkin şartı sağlamalıdır Buna göre veri sorumlusunun bu istisna halinden faydalanabilmesi için ana faaliyet konusunun özel nitelikli kişisel veri işleme olmaması gerekmektedir Ancak “ana faaliyet konusu” kavramından tam olarak ne anlaşılması gerektiği bana göre belirsizdir Bununla kastedilebilecek iki farklı anlam olabileceğini düşünmekteyim:
- İlk olarak istisna kapsamında olabilmek için özel nitelikli kişisel verilerin işlenmesi faaliyetlerinin veri sorumluları açısından merkezde olmaması gerektiği kastedilmiş olabilir Ancak bu durumda da özel nitelikli kişisel verilerin merkezde olması veya veri sorumlusu açısından esas olmasının ne demek olduğu belirsizdir Zira sırf kişisel veri işlemek üzere faaliyete başlamış bir girişimden söz etmek mümkün değildir Öyleyse bu açıdan bakıldığında veri sorumlusunun yürüttüğü işin niteliği gereği temel olarak özel nitelikli kişisel veri işleyip işlemediğine bakılmalıdır Örneğin, yürüttüğü faaliyetin gereği olarak temel faaliyetleri sağlık verileri ve dolayısıyla özel nitelikli kişisel verileri işlemek olan hastaneler, daha ufak çapta düşünürsek küçük sağlık kuruluşları için ana faaliyet konusunun özel nitelikli kişisel veri işleme olduğu söylenebilecekse, bu kuruluşların istisnadan yararlanamayacağı anlamı çıkacaktır


- İkinci olarak veri sorumlusunun bu istisnadan faydalanabilmek için ana faaliyet olarak adlandırdığı süreçlerinde hiçbir şekilde özel nitelikli kişisel verileri işlememesi gerektiği anlaşılabilir Ancak bu durumda çalışan sayısı ve mali bilanço açısından bu istisna kapsamına girecek çok sayıda KOBİ bulunsa da ana süreçlerinde hiçbir şekilde özel nitelikli kişisel veri işlemeyen veri sorumlularını bulmak çok güç olduğundan belirtilen istisnanın uygulamada herhangi bir önemi olmayacaktır Günümüzde küçük işletmelerde bile en azından işçilere ilişkin sağlık verileri veya sendika üyeliğine ilişkin bilgiler tutulmaktadır


Ben, Kurul’un verdiği kararda istisna kapsamına dahil olabilmek için belirlenen “ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan” kavramından ilkinin kastedildiğini düşünmekteyim Bu halde çalışan ve mali bilanço açısından daraltılan mevcut KOBİ sayısından bir de, ilk duruma göre işinin niteliği gereği temel faaliyeti özel nitelikli kişisel veri işleme olanlar açısından bir küçülme olacak ve istisna kapsamına dahil edilen veri sorumlusu sayısı makul bir düzeyde olacaktır


Öte yandan bu kararında da hangi kriterlere dayanarak istisna belirlediğini açıklamayan Kurul’un ilk olarak kişisel verilerin işlendiği faaliyet alanının büyüklüğüne dayanarak karar verdiği görülmektedir Ayrıca özel nitelikli veri bakımından ayrım yapılması kişisel verinin niteliği kriterinin de esas alındığını göstermektedir Kurul’un dayandığı kriter ve gerekçeleri açıklamaması bakımından yukarıdaki kararlarda belirttiğim eleştiriler bu noktada da geçerlidir


Her üç koşul bakımından da uyumlu olan ve VERBİS’e kayıt yükümlülüğü bakımından istisna kapsamında olduğu anlaşılan veri sorumluları kayıt yaptırmak ve envanter oluşturmak zorunda olmamakla birlikte yukarıda belirttiğim üzere Kanun ve Yönetmelikler ile getirilen diğer yükümlülükler bakımından sorumluluk devam etmektedir


Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesinden ve veri sorumluları için bu Kanun’a uyumlu hale gelme yükümlülüğü doğmasından bu yana KOBİ’lerin VERBİS’e kayıt yükümlülüğünden istisna tutulacakları ve dolayısıyla uyumluluk süreçlerinin ilk aşaması olan Kişisel Veri Envanteri oluşturmak zorunda olmayacakları noktasında beklentisi bulunmaktaydı Bu beklenti nedeniyle de büyük ölçekli veri sorumlularının birçoğu bu süreçleri bitirmiş, başlamak üzere veya teklif alma aşamasındayken; KOBİ’lerde uyumluluk süreçlerini başlatma veya devam ettirme noktasında haklı çekinceler bulunmaktadır Öyle ki Kurul tarafından istisnalara ilişkin ilk olarak 15 Mayıs 2018 tarihinde yayınlanan karara rağmen KOBİ’lerin istisna kapsamına alınacakları konusunda beklentileri devam etmekteydi Bu karar ise belirsizlikleri her açıdan tam olarak gidermesi ve istisna kapsamını somut bir biçimde belirlemesi bakımından konuya ilişkin tereddütleri ve çekinceleri giderecek niteliktedir Dolayısıyla bu tür sebeplerden dolayı uyum süreçlerini yürütmek konusunda geç kalmış olan veri sorumlularına önerim, belirtilen çalışan sayısı, mali bilanço ve veri niteliği şartlarından herhangi birini sağlayamamaları halinde bir an önce Kanun’a uyumlu hale gelmek üzere somut adımlar atmalarıdır Nitekim hali hazırda Kanun’un belirlediği hükümlere uyumlu olunmasına ilişkin belirttiği son tarih olan 7 Nisan 2018 geçmiştir Bu bağlamda ihlal kararları ile idari para cezasına yönelik yaptırımlar kendisini göstermeye başlamıştır Bu nedenle istisna altında olacakları yönünde beklentileri karşılanmayan veri sorumlularına bu konuda ısrarcı davranmamaları ve idari para cezaları ile karşı karşıya kalmamak için bir an önce Kanun’a uyumlu olmak için çalışmalara başlamalarını öneriyorum


4 "Sicile Kayıt Yükümlülüğünün Başlama Tarihleri" ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/88 Sayılı Kararı
Kurul, bu kararıyla şüphesiz konuya ilişkin olarak en çok merak edilen ve yürüttüğümüz uyumluluk projelerinde en çok karşılaştığımız sorulardan birine cevap vererek büyük bir boşluğu doldurmuştur Karar ile veri sorumlularının hangi tarihte Sicil’e kayıt yaptırmak için başvuruda bulunmaya başlayacağı ve bu başvuru süresinin ne kadar devam edeceği belirlenmiştir Kararın dayanağını ise Kanun’un Geçici 1 maddesinin 2 fıkrası oluşturur: “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır”


Veri sorumlularının Sicil’e kayıt yükümlülüğünü yerine getirmek üzere bağlı olduğu süreler şu şekildedir:


- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01102018 iken; Sicile kayıt yaptırmaları için son süre 30092019 tarihidir


- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01102018 iken; Sicile kayıt yaptırmaları için son süre 30092019 tarihidir


- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01012019 iken; Sicile kayıt yaptırmaları için son süre 31032020 tarihidir


- Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01042019 iken; Sicile kayıt yaptırmaları için son süre 30062020 tarihidir


Görüldüğü üzere Kararda veri sorumlularının büyüklüğü ve niteliği bakımından ayrım yapılmıştır Buna göre ilk sıra yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan ve belirlenen kriterlere göre kayıt yükümlülüğü bulunup yurtdışında yerleşik olan veri sorumlularına verilmiştir Bu veri sorumluları 1 Ekim 2018 ile 30 Eylül 2019 tarihleri arasında başvuru işlemlerini bitirmiş olmalıdır Bu noktada yine belirtilen kriterlere uymayarak kayıt yükümlülüğü devam eden KOBİ’lere değinmek gerekir Zira bu nitelikteki veri sorumlularının birçoğunun henüz uyum süreçlerinin başlangıç aşamasında dahi olmadığını gözlemlemekteyim Ancak başvuru tarihinin yakın bir tarihte başladığı ve uyumluluk süreçlerinin zaman ve emek gerektirdiği göz önüne alındığında söz konusu veri sorumlularının da daha fazla geç kalmadan bu süreçleri başlatmaları gerekir


Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olsa da ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumlularının istisna kapsamında olmadığı ve Sicil’e kayıt yaptırmak zorunda olduğu yukarıda belirtildi Bu nitelikteki veri sorumluları ise 1 Ocak 2019 ile 31 Mart 2020 tarihleri arasında başvuruda bulunacaktır Bu açıdan daha geç ve daha kısa tarihlerin belirlendiği görülmektedir Bunun nedeninin belirtilen nitelikteki veri sorumlularının ilk sıraya konulan veri sorumlularına kıyasla daha küçük ölçekli olması ve buna paralel olarak daha az sayıda kişisel veri işlemesine bağlı olduğunu düşünüyorum


Sicil’e en son kayıt yaptıracak veri sorumluları ise kamu kurum ve kuruluşları olarak belirlenmiştir Bu kurumlar da 1 Nisan 2019 ile 30 Haziran 2020 tarihleri arasında başvuru yükümlülüklerini yerine getirmelidir Bu son derece önemli bir vurgudur Zira yapmış olduğum temaslarda kamu kurum ve kuruluşlarının birçoğunda “bu Kanun bize uygulanmaz” şeklinde bir düşüncenin hakim olduğunu görmekteyim Oysa Kanun, kolluk ve istihbarat kurumları dışında bir başka kamu kurum ve kuruluşunu istisna kapsamına almamıştır İşte bu karar, bunlara ilişkin bir istisnanın olmadığının açık kanıtı ve ilanıdır Dolayısıyla kamu kurum ve kuruluşları da bir an önce KVKK’ya uyum süreçlerini başlatarak, kişisel veri envanteri çıkarmalı ve zamanı geldiğinde VERBİS’e kayıt yükümlülüğünü yerine getirmelidir


İlk olarak Karar ile veri sorumlularının hangi tarihte Sicil’e kayıt yaptırmak için başvuruda bulunmaya başlayacağı ve bu başvuru süresinin ne kadar devam edeceğinin daha fazla geç kalınmadan açık ve net bir biçimde belirlenmesini yerinde bir adım olarak değerlendirmekteyim Kayıt yaptıracak veri sorumluları açısından tahmin ettiğimiz üzere nitelik ve büyüklüklerine göre kademeli bir yaklaşım benimsenmesi ise oldukça faydalı olmuştur En büyük ölçekli veri sorumlularının çok sayıda kişisel veri işlemesi ve dolayısıyla tehlikenin daha büyük olması nedeniyle ilk sırada olması, bununla birlikte bu nitelikteki veri sorumluları açısından ciddi bir yükümlülük söz konusu olduğundan uzun bir tarih aralığının verilmiş olması, yükümlülüğün etkin bir şekilde yerine getirilmesi ve uygulanabilir nitelik taşıması bakımından etkilidir Dolayısıyla Kurul’un kararını bu açıdan çok yerinde bir gelişme olarak değerlendirmekteyim


Sonuç


Kişisel Verilerin Korunması Kurulu tarafından verilen ve 18 Ağustos 2018 tarihli ve 30513 sayılı Resmi Gazete’de yayımlanan kararların değerlendirilmesi sonucu varılan sonuçlar ve veri sorumlularına öneriler şu şekilde sıralanabilir:


- 6698 sayılı Kanun gereğince veri sahibinin açık rızası olmaksızın kişisel veri işleyebilecek olan gümrük müşavirleri ile yetkilendirilmiş gümrük müşavirleri, Kurul’a yöneltilen talep sonucunda, VERBİS’e kayıt yaptırma zorunluluğundan da muaf tutulmuştur


- Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığı tarafından Kurul’a yapılan talep sonucu, arabuluculuk faaliyetini yürüten kişiler de VERBİS’e kayıt yaptırma zorunluluğundan da muaf tutulmuştur


- Kurul 15 Mayıs 2018 tarihinde yayınlanan kararı ile belirttiği istisna kapsamını genişletmiştir Buna göre yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar istisna kapsamına dahil edilmiştir Böylece bir önceki kararla hiçbir şekilde istisna kapsamında olmadığı anlaşılan KOBİ’lerden bir kısmı bu yükümlülükten muaf tutulmuştur


- Belirtilen koşullardan “ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” kavramından ne anlaşılması gerektiği açıklanmaya ihtiyaç duymaktadır


- Kurul, vermiş olduğu kararlarla zaten kanunlara dayanarak işleme faaliyetini gerçekleştiren ciddi sayıda veri sorumlusunun, sisteme giriş yapmasını önlemiştir


- Kurul, istisna kararı verirken ilgili Yönetmeliğin “İstisna kriterleri” başlıklı 16 maddesiyle bağlı olmasına karşılık, vermiş olduğu üç kararda da Sicil’e kayıt yaptırmak konusunda istisna kapsamına dahil edilen veri sorumluları açısından neden böyle bir istisnaya ihtiyaç duyulduğuna ilişkin açıklama yapmamıştır Gerekçeli bir şekilde verilmeyen kararların belirlilik ilkesine aykırı düşmesinin yanı sıra gerekçeli verilmiş olması halinde daha faydalı olacağını düşünmekteyim


- İstisna kapsamına alınan veri sorumluları, ayrıca bir istisna hali düzenlenmedikçe Kanun ve ilgili Yönetmeliklerle getirilen diğer yükümlülüklerle, bağlı olduklarını hiçbir şekilde unutmamalıdır Belirtilen istisna yalnızca VERBİS’e kayıt yaptırma yükümlülüğüne ilişkindir Dolayısıyla istisna kapsamında olup olmadığı fark etmeksizin her veri sorumlusu, kişisel verilerle ilgili her türlü aşamada Kanun’a uyumlu bir şekilde hareket etmek zorundadır


- Kurul tarafından önceki yayınlanan Karar da dahil olmak üzere belirlenen hiçbir istisna kapsamına dahil olmayan veri sorumluları açısından Sicil’e kayıt başvurularının hangi tarihlerde başlayıp hangi tarihlerde sona ereceği net bir şekilde belirlenmiştir


- Kamu kurum ve kuruluşlarının istisna kapsamında olmadıkları açık bir biçimde ifade edilmiştir


- Sicil’e kayıt başvurusu yapacak veri sorumlularının başvuru yapacakları tarihlerin, nitelik, büyüklük ve kapsamlarına göre kademeli olarak ayrılması oldukça yerinde olmuştur

__________________
Arkadaşlar, efendiler ve ey millet, iyi biliniz ki, Türkiye Cumhuriyeti şeyhler, dervişler, müritler, meczuplar memleketi olamaz En doğru, en hakiki tarikat, medeniyet tarikatıdır
Alıntı Yaparak Cevapla
 
Üye olmanıza kesinlikle gerek yok !

Konuya yorum yazmak için sadece buraya tıklayınız.

Bu sitede 1 günde 10.000 kişiye sesinizi duyurma fırsatınız var.

IP adresleri kayıt altında tutulmaktadır. Aşağılama, hakaret, küfür vb. kötü içerikli mesaj yazan şahıslar IP adreslerinden tespit edilerek haklarında suç duyurusunda bulunulabilir.

« Önceki Konu   |   Sonraki Konu »
Konu Araçları Bu Konuda Ara
Bu Konuda Ara:

Gelişmiş Arama
Görünüm Modları


frmsinsi.net
Powered by vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
FrmSinsi.net hakkında yapılacak tüm şikayetlerde ilgili adresimizle iletişime geçilmesi halinde kanunlar ve yönetmelikler çerçevesinde en geç 1 (Bir) Hafta içerisinde gereken işlemler yapılacaktır. İletişime geçmek için buraya tıklayınız.