Bu mevzuat yayınındaki süreler; ertelenmeler ve yeni açıklamalar doğrultusunda güncelliğini yitirmiş olabilir. Bu yayınında bahsi geçen VERBİS kayıt yükümlülüğü ile ilgili güncel tarihlere ulaşmak için lütfen burayı tıklayınız.
Türkiye veri koruma mevzuatı olan 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") 7 Nisan 2016 tarihinde yürürlüğe girmiş; mevzuatla birlikte Türkiye'de yerleşik gerçek kişilerin Türk Anayasası ile daha önce güvence altına alınan kişisel verileri, bu konuya ilişkin bir kanun ile korunmaya başlanmıştır. Bu Kanun ile kişisel verinin, gerçek ve tüzel kişilerin yükümlülüklerinin ve kişisel veriler ile ilgili diğer hususların çerçevesi çizilmiştir.
Kanun, gerçek kişilerin verilerini korumakla birlikte, gerçek ve tüzel kişilere bu kapsamda yükümlülük getirmektedir. Verileri korunan kişilerin Türkiye mukimi olma şartı aranmaktaysa da yükümlülüğü olan kişilerin Türkiye mukimi/vatandaşı olması gibi bir şart bulunmamaktadır. Yani Türkiye'de yaşayan, yerleşiklik şartlarını sağlayan kişilerin verilerini işleyen herkes, Kanun kapsamında sorumludur ve Kanunda yer alan yükümlülükleri yerine getirmek zorundadır.
Bu durumda Kanunun 16'ncı maddesinde yer alan Veri Sorumluları Sicili'ne kaydolma yükümlülüğü Türkiye'deki tüzel kişilerde olduğu gibi, yurt dışında yerleşik tüzel kişiler için de getirilmiş bir yükümlülüktür. Bu yükümlülüğe ilişkin detaylar daha sonra Veri Sorumluları Sicili Hakkında Yönetmelik ("Yönetmelik") ile düzenlenmiş ve yurt dışında yerleşik kişilerin Veri Sorumluları Sicili'ne ne şekilde kaydolacağı ve ne şekilde beyanda bulunacağı açıklanmıştır.
Veri Sorumluları Sicili'ne, Veri Sorumluları Sicil Bilgi Sistemi üzerinden online şekilde erişilerek kayıt ve bildirim yükümlülükleri yerine getirilmektedir. Uygulamada bu yükümlülüğe kısaca VERBİS yükümlülüğü veya VERBİS'e kayıt yükümlülüğü de denilmektedir.
Yönetmeliğin 5'inci maddesinin b bendinde, "Türkiye'de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce, veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır." denilerek yurt dışında yerleşik tüzel kişiler için bu yükümlülük açıkça dile getirilmiştir. Bununla birlikte, Yönetmeliğin 11'inci maddesinde veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisi ile ilgili şartlar belirlenmiş ve VERBİS'e kayıt için izlenecek yol ve yöntem belirtilmiştir.
İzlenecek yol ve yöntemin açıklanmasından önce bu yükümlülüğün niçin ve hangi şartlarda doğduğunu incelemek yerinde olacaktır.
Bölgesel Kapsam
Avrupa Birliği Veri Koruma Tüzüğü’nün ("GDPR") 3'üncü maddesinin 2'nci fıkrası "Kanun, birlik içerisinde bulunan veri sahiplerinin, kişisel verilerinin Birlik içerisinde kurulu olmayan bir kontrolör veya işleyici tarafından işlenmesine de uygulanır." hükmünü düzenlemektedir. KVKK'da bu kapsamda bir hüküm bulunmasa da mütekabiliyet esasına bağlı olarak; yerel kanunumuzun da Türkiye'de yerleşik olmayan veri sorumluları tarafından, Türkiye sınırları içindeki verilerin işlenmesi hâlinde uygulanacağı Kişisel Verileri Koruma Kurumu ("Kurum") tarafından kabul edilmektedir. Buna bağlı olarak, yurt dışında yerleşik veri sorumluları VERBİS'e kayıt yaptırmak zorundadır.
Veri Sorumlusu Temsilciliğinin Hukuki Mahiyeti
Veri sorumlusu temsilcisi, Yönetmelik'te "Türkiye'de yerleşik olmayan veri sorumlularını, bu Yönetmeliğin 11'inci maddesinin 2'nci fıkrasında belirtilen konularda; asgari temsile yetkili, Türkiye'de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişi" olarak tanımlanmıştır. Bu tanımdan hareketle, kişisel verilerin korunması hukukundan kaynaklanan tazminat ve cezaların muhatabı temsilci değil, veri sorumlusudur. Ancak genel hükümler kapsamında, temsilcinin bir kusuru olması hâlinde, veri sorumlusu rücu hakkını kullanabilecektir. Yani veri sorumlusu temsilcisinin hukuki niteliği genel kurallar çerçevesinde belirlenmelidir.
Türkiye'de Şubesi veya İrtibat Bürosu Bulunmayan Ancak Türkiye Mukimlerinin Kişisel Verilerini İşleyen Tüzel Kişiler
Türkiye'de ticari merkezi olmaksızın, yurt dışındaki bir merkezden Türkiye mukimi olan kişilere hizmet veren ve bu kapsamda bu kişilerin verilerini işleyen organizasyonlar bulunmaktadır. Bu organizasyonlar, Türkiye mukimi olan bir gerçek veya tüzel kişiyi veri sorumlusu temsilcisi olarak atamalı ve VERBİS'e kayıt işlemini bu kişi aracılığıyla gerçekleştirmelidir. Ayrıca bu veri sorumlusu temsilcisi, organizasyonun Kurum ve ilgili kişilerle iletişim kurması konusunda iletişim noktası olacaktır. Bu sebeple veri sorumlusu temsilcisinin gerçek kişi ise, Türk olması veya tüzel kişi tarafından atanacak irtibat kişisinin Türk vatandaşı olması şartı bulunmaktadır.
Türkiye'deki Şubesi veya İrtibat Bürosu Aracılığı ile Kişisel Veriyi Kendi Amaçları için Kullanan veya Türkiye'deki Organizasyonun Veri Kayıt Sistemini Yöneten Yurt Dışındaki Yerleşik Tüzel Kişiler
Kişisel verilerin bir kısmının veya tamamının yurt dışında yerleşik kurucu/ortak yabancı şirkete aktarılması ve yurt dışında yerleşik şirketin bu verileri kendi amaçları doğrultusunda kullanması durumunda, yurt dışındaki şirketin VERBİS'e kayıt yükümlülüğü doğmaktadır. Bu aktarımlar, genel bir ifade ile yurt dışında bulunan şirket tarafından sağlanan ve yönetilen bir kayıt sistemine Türkiye'deki tüzel kişiliğe ait çalışan, tedarikçi ve müşterilere ait verilerinin tamamının veya bir kısmının kaydedilmesi ile oluşmaktadır. Veri sorumlusu tanımından hareketle, veri işleme faaliyetini Türkiye'de yerleşik tüzel kişi gerçekleştirmekteyse de veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu ise, yurt dışındaki kurucu/ortak tüzel kişi de veri sorumlusu sıfatına haiz olacaktır. Yani salt kişisel verilerin yurt dışı ortak tarafından bir kayıt sisteminde tutulması, VERBİS kayıt yükümlülüğü meydana getirmemekte, yurt dışı ortağın bu veri kayıt sisteminin yönetilmesinden sorumlu olması, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirlemesi gerekmektedir.
Bu kapsamda aynı kişilere ait verileri hem yurt içindeki hem de yurt dışındaki şirket işliyor olsa bile bu iki veri sorumlusu da VERBİS'e ayrı ayrı kayıt yaptırmakla yükümlüdür.
Bu açıklama çerçevesinde; Türkiye'de bir şirketin ortağı ya da kurucusu hüviyetine sahip yurt dışında yerleşik tüzel kişiliğin bir Veri Sorumlusu Temsilcisi marifetiyle her durumda; Türkiye'de yerleşik tüzel kişi veri sorumlusu şirketin ise Kanundaki yıllık çalışan sayısı, mali bilanço toplamı veya ana faaliyet alanı şartlarından birini sağlaması durumunda VERBİS kaydı oluşturarak beyanda bulunması gerekmektedir. Veri sorumlusu temsilcisi Türkiye'de yerleşik olmayan şirketin kurucusu veya ortağı olan şirket veya işbu şirketten tamamen bağımsız bir gerçek veya tüzel kişi olabilir.
Yurt Dışında Yerleşik Veri Sorumlularının VERBİS'e Kaydının Usulü
Yönetmeliğin 11'inci maddesinin 2'nci fıkrası ile "Türkiye'de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kurum'a sunulur." hükmü düzenlenmiştir. Buna göre, veri sorumlusunun bir atama kararı ile veri sorumlusu temsilcisini belirlemesi ve bunu resmi bir belge ile Kurum'a sunması gerekmektedir.
Atama kararı, yönetim kurulu kararı şeklinde olabileceği gibi, şirketin karar almaya yetkili herhangi bir organı veya kişisi tarafından da alınabilir. Alınan kararın apostilli veya noter onaylı hâli Kurum'a ıslak imzalı şekilde iletilmelidir.
Atama Kararının Şekli ve Veri Sorumlusu Temsilcisine Verilecek Yetkiler
Veri Sorumluları Sicili Hakkında Yönetmelik m. 11 ile atama kararının nasıl alınacağı ve buna ilişkin usul ve yöntemler açıklanmıştır. Buna göre; yurt dışında yerleşik veri sorumlusu aşağıda açıklanacağı şekilde alacağı atama kararının ıslak imzalı hâlini, apostil veya noter onayı ile sicile kayıt yapmadan önce Kurul'a posta yoluyla iletmelidir. Kurul, KEP üzerinden gönderilen başvuruyu atama kararını da değerlendirdikten sonra onaylar ya da reddeder. (31 Aralık 2019'a kadar Kurul, KEP üzerinden başvuru formu ile birlikte gönderilen atama kararlarını da kabul etmektedir.)
Veri sorumlusu temsilcisi atama kararı, asgari olarak aşağıda belirtilen hususları kapsayacak şekilde düzenlenmelidir:
- Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme,
- Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme,
- Kurul tarafından başkaca bir esasın belirlenmemiş olması hâlinde; ilgili kişilerin Kanunun 13'üncü maddesinin 1'inci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,
- Kurul tarafından başkaca bir esasın belirlenmemiş olması hâlinde; ilgili kişilere Kanunun 13'üncü maddesinin 3'üncü fıkrası uyarınca veri sorumlusunun cevabını iletme,
- Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma.
İrtibat Kişisi - DCR - DPO Karşılaştırması
KVKK ve GDPR kapsamında yer alan, görev ve yetkileri birbirine benzer üç kurum bulunmaktadır. DCR ve irtibat kişisi kavramları KVKK'da yer almakta, DPO ise GDPR'da yer almaktadır. DCR yukarıda da açıklandığı üzere, yurt dışında yerleşik veri sorumlularının kendilerini Kurum nezdinde temsil etmesi için atadıkları kişilerdir. İrtibat kişisi ise Türkiye'de yerleşik olan tüzel kişiler ile Türkiye'de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicil'e kayıt esnasında bildirilen gerçek kişidir. İrtibat kişisi, VERBİS'e kayıt sırasında ve Kurumla iletişim kurmak üzere atanan kişidir ve bu kapsamda cezai bir sorumluluğu bulunmamaktadır. VERBİS üzerinden yapılan bildirim ve irtibat kişisinin gerçekleştirdiği diğer işlemler için veri sorumlusunun (veri sorumlusu yurt dışında ise temsilcisinin) gözetim yükümlülüğü bulunduğundan, sorumluluk yine bu kişilerde olacaktır. İrtibat kişisi sadece iletişim noktası olacak ve sicile beyan esnasında operasyonu yürütecektir.
DPO ise veri işleme faaliyeti bir kamu otoritesi tarafından yürütülüyorsa, veri sorumlusu ve veri işleyenin ana faaliyeti büyük çapta bireyleri düzenli ve sistematik biçimde gözetlemek veya büyük ölçüde özel nitelikli kişisel veri işlemekten oluşuyorsa atanmak zorundadır. Veri koruma görevlisi, ilgili organizasyonun bordrolu çalışanı olabileceği gibi, organizasyon dışından da atanabilir. DPO'nun sorumluluğu ise veri sorumlusu temsilcisi ile benzer biçimde geniş yetki ve yükümlülük içermektedir.