GİRİŞ:
Ticaret ve iş hayatının bir gereği olarak gerçek ve tüzel kişiler, müşterilerinin, çalışanlarının ve ilişki içerisinde oldukları diğer gerçek kişilerin verilerini işlemektedir. Uygulamada, işlenen bu verilerin, başta özel hayatın gizliliği olmak üzere kişi hak ve hürriyetlerine uygun olarak işlenip işlenmediği sorunu bulunmaktaydı. Her ne kadar genel hükümler çerçevesinde bunların koruma altında olduğu iddia edilebilirse de bu konuda genel anlamda bir düzenleme bulunmamaktaydı. İşte tam da bu ihtiyacı gidermek için 24.03.2016 tarih ve 6698 sayılı Kişisel Verilen Korunması Kanunu kabul edilmiştir.
Kişisel Verilerin Korunması Kanunu ile -genel olarak- kişisel verilerin işlenmesine dair usul ve esaslar ile kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri düzenlenmiştir. Bu yazımızda kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerine değinilecek olmakla birlikte esas olarak kişisel verileri işleyen gerçek ve tüzel kişilerin veri siciline kayıt zorunluluğu üzerinde durulacaktır.
KİŞİSEL VERİ KAVRAMI VE İŞLENMESİ:
6698 sayılı Kişisel Verilerin Korunması Kanunu'un (bundan böyle kısaca Kanun veya KVKK olarak anılacaktır.) 3/1-d bendinde kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Burada verinin türü açısından herhangi bir ayrım yapılmamış kişinin ad-soyad, kimlik numarası, doğum tarihi, ailevi bilgileri, sağlık bilgisi gibi her türlü bilgi kapsama alınmıştır. Burada önem arz eden husus Kanun kapsamındaki kişisel verilerin yalnızca gerçek kişilere ilişkin verileri kapsıyor olduğudur. Buna göre tüzel kişilere ait kişisel verilerin işlenmesi kanun kapsamında değerlendirilemeyecektir. Kanun'un kapsamını düzenleyen 2. maddesinde de buna açıkça vurgu yapılmıştır: ''Bu kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.'' Belirmek gerekir ki verisi işlenen açısından yalnızca gerçek kişilerinki dikkate alınmakla birlikte veriyi işleyecek olan açısından gerçek ve tüzel kişiler birlikte kapsama alınmıştır.
Kişisel verilerin işlenmesi ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder (KVKK m.3/1-e). Kanun, kişisel verilerin işlenmesi sayılan halleri belirtmiş olmakla birlikte bu sayım sınırlayıcı olmayıp örnekleyicidir. Bu nedenle bu kişisel veriler üzerinde gerçekleştirilecek benzer işlemler de kişisel verilerin işlenmesi olarak kabul edilecektir. Burada dikkat edilmesi gereken husus, kişisel verilerin kısmen veya tamamen otomatik olan yollarla işlenmesi veya bu yolla elde edilmese dahi herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak üzere işlenmesi gerektiğidir. Kısmen veya tamamen otomatik olan yollarla elde edilmeyen ve herhangi bir veri kayıt sisteminin parçası olmaksızın işlenen veriler, Kanun kapsamında sayılmayacaktır.
VERİ SORUMLUSU VE VERİ İŞLEYEN*:
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorunlu olan gerçek veya tüzel kişiyi ifade eder (KVKK m.3/1-ı). Tüzel kişiler, kişisel verilerin işlenme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri ''veri sorumlusu'' olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu tüzel kişileri ve özel hukuk tüzel kişileri arasından bir ayrım yapılmamıştır. Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu olması mümkün değildir. Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı veri sorumlusu olması mümkündür.
Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki, gerçek veya tüzel kişidir (KVKK m.3/1-ğ). Bu kişiler, kişisel verileri kendilerine verilen talimat çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.
Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilir. Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını ve yönetimi belirleyen kişidir. Yani işleme faaliyetinin ''neden'' ve ''nasıl'' yapılacağı sorularının cevabını veri sorumlusu verir.
Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır:
- Kişisel verilerin toplanması ve toplama yöntemi,
- Toplanacak kişisel veri türleri,
- Toplanan verilerin hangi amaçlarla kullanılacağı,
- Hangi bireylerin kişisel verilerinin toplanacağı,
- Toplanan verilerin paylaşılıp paylaşılmayacağı,
- Verilerin ne kadar süreyle saklanacağı.
Bununla birlikte veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile, aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri işleyene bırakabilir:
- Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
- Kişisel verilerin hangi yöntemle saklanacağı,
- Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
- Kişisel verilerin aktarımının hangi yöntemlerle yapılacağı,
- Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanacak metot,
- Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi (kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir suretle kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi) yöntemleri.
Veri sorumlusuyla veri işleyen arasında ortak bazı noktaların belirtilmesi gerekir.
İlk olarak, veri sorumlusu bizatihi tüzel kişiliğin kendisidir. Veri sorumlusu (aynı şekilde veri işleyen) olmak, Kanunun hukuki yükümlülükleri tayin etmek amacıyla belirlediği bir statüdür ve tanımda verilen özellikleri karşılaması durumunda, şirketin tüzel kişiliği de bu statüde yer alacaktır. Örneğin, veri işleme faaliyetinin bir parçası olarak bir şirkette belge teslim alan ve kaydeden kişi değil, şirketin kendisi ''veri sorumlusu'' sıfatına sahiptir.
İkinci olarak, her iki kavram da hem gerçek hem de tüzel kişiler için geçerlidir. Örneğin, serbest çalışan bir mali müşavir de, mali müşavirlik firması da hem veri sorumlusu hem veri işleyen olabilir. Bir şirket bünyesinde yer alan birimlerim tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu veya veri işleyen olması mümkün değildir. Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her biri ayrı iki statüde yer alabilir.
Son olarak yukarıda belirtildiği üzere bir gerçek veya tüzel kişinin hem veri sorumlusu hem de veri işleyen olabileceğini söylemek mümkündür. Örneğin; bir bulut iletişim hizmeti sunan şirket (bulut tabanlı bir platform, altyapı, uygulama ya da depolama hizmetleri sunan üçüncü taraf bir şirkettir.) kendi çalışanlarının verileri bakımından veri sorumlusu iken, -veri işlenmesini isteyen- müşterilerinin verileri bakımında veri işleyen sıfatıyla hareket etmektedir.
VERİ SORUMLULARI SİCİLİ VERİ SORUMLUSUNUN VERİ SİCİLİNE KAYIT ZORUNLULUĞU:
KVKK'nın m. 16/1 uyarınca, Kişisel Verileri Koruma Kurulu gözetiminde, Kişisel Verile Koruma Kurumu Başkanlığı tarafından kamuya açık olarak Veri Sorumluları Sicili kurulması öngörülmüştür. Kişisel verileri işleyen gerçek veya tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicili'ne kaydolmak zorundadır. Ancak, işlenen kişisel verinin
niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere
aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak
suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna
istisna getirilebilir. Veri sorumluları siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
- Kişisel verilerin hangi amaçla işleneceği,
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Kişisel veri güvenliğine ilişkin alınan tedbirler,
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
Kanun'un 16. maddesi genel çerçeveyi çizdikten sonra diğer usul ve esasların yönetmelik ile düzenlenmesini öngörmüştür. Bu konu 30.12.2017 tarih ve 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik yayınlanmış ve ve bu yönetmelik 01.01.2018 tarihinde yürürlüğe girmiştir.
Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorundadır. Türkiye’de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanacaktır. Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade etmektedir. Kanunun 10 uncu maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınacaktır.
Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz. Ayrıca, Kanunun 28. maddesinde belirtilen durumlar saklı kalmak kaydıyla Yönetmeliğin 16. maddesinde belirtilen objektif kriterlere dayalı olarak belirli şartları taşıyan veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmayacaktır.
VERİ SORUMLULARI SİCİLİNE KAYIT TARİHLERİ:
Veri sorumlularının, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorunda oldukları yukarıda ifade edilmişti. Kanun'un geçici 2. maddesine göre veri sorumluları, Kurul tarafından
belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak
zorundadır. Kişisel Verileri Koruma Kurulu, ''Sicile Kayıt Yükümlülüğünün Başlama Tarihleri'' ile ilgili 19.07.2018 tarihli ve 2018/88 kararı ile ilgili süreleri tayin etmiştir. Anılan karar ile;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,
- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne,
- Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne karar verilmiştir.
Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluların, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolmaları öngörülmüştür. Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilecektir.
VERİ SORUMLULARI SİCİLİNE KAYIT PROSEDÜRÜ:
Sicile ilişkin işlemler, veri sorumluları tarafından VERBİS üzerinden gerçekleştirilir. VERBİS yani Veri Sorumluları Sicil Bilgi Sistemi, veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini ifade etmektedir.
Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:
a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
Veri sorumluları tarafından bu bentlerden (b), (c), (ç) ve (d) bentleri uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir. Veri sorumluları tarafından bu bentlerden (e) bendi uyarınca Sicile açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları kapsayacak şekilde VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir. Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır.
Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;
a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,
dikkate alınır.
Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.
VERBİS içerisinde belirtilen başlıkların ve içeriklerinin, veri sorumlusunun gerçekleştirdiği faaliyetleri ve Sicile iletmesi gereken bilgileri tam olarak kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS içerisinde bu amaca ilişkin ayrılan “Diğer” başlıklı bölümlere girerek Sicile bildirimini tamamlar.
Veri sorumluları, yukarıda belirtilen bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır.
VERİ SİCİLİNE KAYIT ZORUNLULUĞUNUN İSTİSNALARI:
Veri sorumlularının kişisel verileri işlemeden önce veri siciline kayıt yaptırması zorunlu olmakla birlikte Kanun'un 16/2. fıkrası işlenen kişisel verinin
niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere
aktarılma durumu gibi Kişisel Verileri Koruma Kurulunca belirlenecek objektif kriterler göz önüne alınmak
suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna
istisna getirilebileceğini düzenlemiştir. Veri Sorumluları Sicili Hakkında Yönetmelik'in 16. maddesi Kurul tarafından getirilecek istisnalara ilişkin kriterleri belirlemiştir. Buna göre Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne istisna getirebilir:
- Kişisel verinin niteliği.
- Kişisel verinin sayısı.
- Kişisel verinin işlenme amacı.
- Kişisel verinin işlendiği faaliyet alanı.
- Kişisel verinin üçüncü kişilere aktarılma durumu.
- Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.
- Kişisel verilerin muhafaza edilmesi süresi.
- Veri konusu kişi grubu veya veri kategorileri.
Kişisel verileri koruma kurulu yukarıdaki yetkisine dayanarak bazı gerçek ve tüzel kişi veri sorumlularını, veri sorumluları siciline kaydolmaktan istisna tutmuştur. İlgili kararlar ve istisna kapsamları şu şekildedir.
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
- 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
- 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanuna göre kurumuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
- 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
- 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
- 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,
- 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri,
- Arabulucular,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar,
Ayrıca Veri Sorumluları Sicili Hakkında Yönetmeliğinin 15. maddesi de kanunen istisna tutulacak halleri saymıştır. Buna göre:
''Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.''
İDARİ YAPTIRIM:
Kanun'un 16. maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim
yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına
kadar,
idari para cezası verileceği öngörülmüştür (KVKK m.18/1-ç).
Av. Kerem ÖLMEZ
Elinize sağlık. Çok güzel olmuş.
YanıtlaSilgerçekten elinize sağlık çok güzel ve aydınlatıcı bir yazı olmuş.
YanıtlaSilTebrik ederim, çok faydalı bir yazı olmuş. Emeğinize sağlık
YanıtlaSil