05.09.2019 tarihinde Kişisel Verileri Koruma Kurulu, Türkiye Odalar ve Borsalar Birliği (TOBB) ve muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen Veri Sorumluları Siciline (“VERBİS”)kayıt sürelerinin uzatılmasına ilişkin taleplerin değerlendirilmesi neticesinde, 03.09.2019 tarihli ve 2019/265 sayılı Karar ile yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS’e kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına karar verdi.

İlk bakışta bu tarih uzatımı kulağa hoş gelse de VERBİS’e kayıt yükümlülüğü altındaki kişiler süre uzatım kararını kendilerinin dezavantajına olacak şekilde değerlendirmektedir. Konunun bu kısmını biraz daha açmadan önce, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”)idari yaptırım altına alınmış ihlal türlerini tekrar etmekte fayda var. Kanun’un Suçlar ve Kabahatler başlıklı Beşinci Bölümü’nün ikinci kısmında idari para cezaları düzenlenmiştir. 18.maddeye göre;

1. Aydınlatma yükümlülüğünün yerine getirilmemesi,
2. Veri güvenliğine ilişkin yükümlülüğün yerine getirilmemesi,
3. Kurul tarafından verilen kararların yerine getirilmemesi,
4. VERBİS’e kayıt ve bildirim yükümlülüğünün yerine getirilmemesi,

durumlarında ihlali yapan veri sorumlularına 5.000 TL ile 1.000.000 TL bandında idari para cezası uygulanacaktır. Görüldüğü üzere, Kanun’un yaptırıma bağladığı tek ihlal şartı VERBİS’e kayıt yükümlülüğünün yerine getirilmesi değildir. Hali hazırda, aydınlatma ve veri güvenliğine ilişkin yükümlülüklerin yerine getirilmesi kanaatimizce çok daha fazla önem arz etmektedir. Zira, aydınlatma yükümlülüğünün içeriğinde veri işleme faaliyeti kapsamında işlenecek veriler, işleme ve aktarma amaçları, aktarım yapılacak kurumlar gibi hayati ve veri sorumlularının hazırlamak zorunda oldukları Politika içeriğiyle eş değer bilgilerin yer alması gerekir. Sonuç olarak, aydınlatma ve veri güvenliğine ilişkin yükümlülüğünün yerine getirilebilmesi için öncelikle veri sorumlusunun kanuna uyumluluk sürecini tamamlaması zorunludur. Aksi taktirde aydınlatma yükümlülüğü içerisindeki bilgilerin doğru olmaması sonucu doğar. Bu durumda da veri sorumlusu KVKK 4.maddesindeki genel ilkelere aykırı hareket etmiş olur ve veri işlemenin hukuka uygunluğundan bahsedilemez.

Burada veri sorumlularının hata yaptığı bir diğer nokta, kurumların uyumluluklarının, yani kurum içi politikanın belirlenmesinin VERBİS yükümlülüğünden bağımsız olarak düşünülmesidir. Aslen, VERBİS’e beyan edilen bilgiler veri sorumlularınca hazırlanacak Kişisel Verilerin İşlenmesi Politikaları’nın özet halini oluşturmaktadır. Veri Sorumluları Sicili Hakkında Yönetmelik’in 8.maddesinde bu husus, veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır, hükmüyle veri sorumlularının VERBİS’e beyan ettikleri veri işleme şeklinin belirlenmesinin öncelikli olduğu ifade edilmiştir. Yani veri sorumluları öncelikle, elde ettikleri verileri ve bu verilerin işleme amaçlarını belirlemek, aktarım koşulları ve kişilerini tayin etmek, veri güvenliğini tam olarak sağlamak gibi kanundaki yükümlülüklerini yerine getirmeli ve sonrasında buna ilişkin kurumlarının belirlenen bu şartlara tam olarak riayet edeceğini garanti ederek VERBİS’e kayıt olmalıdır. Aksi halde, sicile yanlış veya yanıltıcı bilgi verilmesi söz konusu olur ki bu da yine 4.maddedeki genel ilkelerin ihlali anlamına gelecektir.

Yukarıda belirtmiş olduğumuz VERBİS’e kayıt süresinin uzatılması, bu bakımdan veri sorumlularınca yanlış algılanmaktadır. Veri sorumluları, henüz daha politika haline getirilmemiş hayali taahhütleri VERBİS’e kayıt sürecinde beyan edip beyanları doğrultusunda kurumlarını uyumlu hale getirebileceklerini düşünmektedirler. Böylece, uyumluluk sürecini kendilerince uzatmayı, en azından yukarıda idari para cezasına bağlanan bir yükümlülükten kurtulmayı ve buna bağlı olarak idari para cezasına muhatap olmamayı planlamaktadırlar. Ancak burada önemli olan sadece VERBİS’e kayıt yaptırmak değil, kayıt esnasında kuruma ibraz edilen bilgi ve belgelerin doğru, güncel olarak uygulanan ve gerçeklerle örtüşen nitelikte olmasıdır. Sonuç olarak, bu nitelikleri haiz olmayan bilgilerin sunulması kaydın doğru bir kayıt olmadığı ve yükümlülüğün de tam olarak yerine getirilmemesi sonucunu doğurur ki bu da 18.maddedeki idari para cezasına muhatap olma riskini beraberinde getirecektir.