Yurtdışında Yerleşik Uluslararası Sivil Toplum Kuruluşlarının Şube, Temsilcilik ve Doğrudan Faaliyet Ofisleri Bakımından Kişisel Verileri Koruma ve VERBİS’e Kayıt Yükümlülükleri
Yurtdışında Yerleşik Uluslararası Sivil Toplum Kuruluşlarının Şube, Temsilcilik ve Doğrudan Faaliyet Ofisleri Bakımından Kişisel Verileri Koruma ve VERBİS’e Kayıt Yükümlülükleri

Türkiye’den doğrudan veya temsilcilik aracılığıyla dolaylı olarak veri işleyen yurtdışında yerleşik Uluslararası Sivil Toplum Kuruluşlarının VERBİS kaydı yapması ve kişisel verilerin korunması için idari ve teknik tedbirleri alması zorunludur. Konuya ilişkin Kurul kararları ve KVK kapsamındaki yükümlülükleri bu paylaşımımızda ele aldık.

Yurtdışında Yerleşik Uluslararası Sivil Toplum Kuruluşlarının Şube, Temsilcilik ve Doğrudan Faaliyet Ofisleri Bakımından Kişisel Verileri Koruma ve VERBİS’e Kayıt Yükümlülükleri

 
2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu (“KVK”), uluslararası standartlarda veri güvenliği sağlanabilmesi adına kişisel veri işleyen gerçek ve tüzel kişilere pek çok yükümlülük getirmiştir.
Kişisel veri tanımının son derece geniş olması nedeniyle, olağan çalışma faaliyetleri kapsamında çalışanlar, hizmet sağlayıcıları, müşteriler veya başka herhangi bir gerçek kişi ile ilgili toplanan kimlik numaraları, telefon numaraları, doğum yeri ve tarihi, adres ve fotoğraf gibi birçok veri KVK kapsamında değerlendirilecektir. Bu nedenle, neredeyse tüm tüzel kişilerin kişisel veri işleme faaliyetinde bulundukları değerlendirilebilir.
 

Türkiye’de Şube, Temsilcilik veya Doğrudan Faaliyet Ofisi Üzerinden Veri İşleyen Veri Sorumlularının VERBİS’e Kayıt Yükümlülüğü


KVK kapsamında gerekli idari ve teknik tedbirlerin alınması, tüm veri işleyenler bakımından zorunlu iken; Veri Sorumluları Bilgi Sicili (“VERBİS”)’ne kayıt yükümlülüğü ile ilgili bazı istisnalar söz konusudur. Bu istisnalar özellikle şube, temsilcilik veya doğrudan faaliyet izni aracılığıyla veri işleyen yurtdışında yerleşik uluslararası sivil toplum kuruluşları (“USTK”) açısından kafa karıştırmaktadır.

22.04.2020 tarihinde yayınlanan Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararı[1] ile Türkiye’de yerleşik dernekler VERBİS kaydından muaf tutulmuştur. Bu muafiyet yurtdışında yerleşik Sivil Toplum Kuruluşlarının Türkiye’de yerleşik ofislerini de kapsamaktadır. Ancak Türkiye’den şube, temsilcilik veya doğrudan faaliyet izni aracılığıyla veya doğrudan veri işleyen yurtdışında yerleşik USTK’lar VERBİS’e kaydolmak zorundadır. Böylece, VERBİS’e kayıt olma zorunluğu şube, temsilcilik veya doğrudan faaliyet ofisinde değil, USTK’nın kendisinde olacaktır.

COVID-19 salgını nedeniyle VERBİS kaydı için son başvuru tarihi 30.09.2020 tarihine ertelenmiştir[2].
 

Kişisel Verilerin Korunması Kapsamında Alınması Gereken Diğer Yükümlülükler


Veri sorumlusu işlediği kişisel verilerin güvenliğini sağlamak için idari ve teknik tedbirleri almalıdır. Bunlar veri sahiplerini aydınlatma yükümlülüğü, veri analizi yapma, kişisel veri envanteri oluşturma, veri yönetim belgelerinin hazırlanması (Kişisel Veri Saklama ve İmha Politikası gibi), kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi, çalışanlar için farkındalık eğitimleri düzenlenmesi gibi adımları içermektedir.

VERBİS’e Kayıt Yükümlülüğünün İhlalinin Yaptırımları


Kurul, KVK ile öngörülen idari ve teknik tedbirler ile VERBİS kayıt yükümlülüklerini yerine getirmeyen kişi ve kuruluşlarla idari para cezası kesmeye yetkilidir. KVK kapsamında öngörülen bazı para cezaları aşağıda listelenmiştir:
  1. Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumluları için 9.013 TL’den TRY 180.264 TL’ye kadar,
  2. Veri güvenliğini sağlama yükümlülüğü yerine getirmeyen veri sorumluları için 24.040 TL’den 1.802.636 TL’ye kadar,
  3. Kurul tarafından şikâyet üzerine veya resen verilen kararlara uymayan veri sorumluları için 45.066 TL’den 1.802.636 TL’ye kadar,
  4. VERBİS kayıt yükümlülüğünü yerine getirmeyen veri sorumluları için 36.053 TL’den 1.802.636 TL’ye kadar.
Ayrıca Türk Ceza Kanunda kişisel verilerle ilgili birçok farklı suç düzenlenmiştir. Bu suçlar 1 ila 3 yıl arasında hapis cezası ile cezalandırılmaktadır. Kişisel verilerin korunmasına ilişkin uyum projeleri, bu suçların gerçekleştirilmesiyle ilgili riskleri önemli ölçüde azaltabilecektir.

Temsilcilikler İçin Görünmeyen Tehlike


Yurtdışında yerleşik veri sorumlusunun yükümlülüklerini yerine getirmemesi halinde uygulanacak idari para cezalarının Türkiye’de kurulmuş olan şube, temsilcilik veya doğrudan faaliyet ofisine yönlendirileceği değerlendirilmektedir. Bunların kurucusu olan yurtdışında yerleşik veri sorumlusunun ilgili para cezalarını ödememesi durumunda Amme Alacakları Tahsili Usulü Hakkında Kanun dayanak gösterilerek, kamu alacağı olan idari para cezalarının temsilciliklerden tahsil edilmesi yoluna gidilebilir.
 

Sonuç


Türkiye’den doğrudan veya temsilcilik aracılığıyla veri işleyen USTK’ların, VERBİS kaydı zorunludur. Bu yükümlülüğün yerine getirilmemesine ilişkin kanunda spesifik idari para cezaları tanımlanmıştır. VERBİS kaydı için son başvuru 30.09.2020 tarihine ertelenmiştir. Kayıt süreci, Türkiye’den işlenen kişisel verilerin analizi, kişisel veri envanteri oluşturma ve bazı resmî belgeleri hazırlamayı gerektirdiğinden 3-4 haftalık bir sürece yayılabilmektedir.