Kişisel Verileri Koruma Kurulu’nun 07.05.2020 tarihli dernek,vakıf ve sendikalar açısından belirlenen istisna kapsamında bazı değişiklikler yapılmasına dair 22/04/2020 Tarihli ve 2020/315 Sayılı Kararı hakkında değerlendirmelerimiz kaleme alınmıştır.
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu veri işleyen veri sorumlularına birçok yükümlülük getirmiştir. Bunlardan biri de veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri kayıt sistemi olan Veri Sorumluları Siciline kayıt yükümlülüğüdür. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmalarının zorunlu olduğu ilgili mevzuatta düzenlenmiş olup bu yükümlülüğe bazı istisnalar getirilmiştir.
Kişisel Verilerin Korunması Kanunu’nun “Veri Sorumluları Sicili” başlıklı 16 ncı maddesi şu şekilde düzenlenmiştir:
(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır: a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri. b) Kişisel verilerin hangi amaçla işleneceği. 12307 c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar. ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları. d) Yabancı ülkelere aktarımı öngörülen kişisel veriler. e) Kişisel veri güvenliğine ilişkin alınan tedbirler. f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.
Görüleceği üzere maddenin ikinci fıkrasında Kurulun belirleyeceği objektif kriterler dikkate alınarak Kurul tarafından sicile kayıt yükümlülüğüne istisnalar getirilebileceği düzenlenmiştir. Beşinci fıkra kapsamında sicile ilişkin usul ve esasların belirlenmesi amacıyla “Veri Sorumluları Sicili Hakkında Yönetmelik” çıkarılmış ve yönetmeliğin 15 inci maddesinde kayıt yükümlülüğünde istisna uygulanacak haller ve 16 ncı maddesinde de istisna kriterleri belirlenmiştir. 16 ncı maddenin ikinci fıkrasına göre :
“Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak kamuya duyurur.” ibaresi düzenlenmiştir.
Kurul’un 02.04.2018 Tarihli ve 2018/32 Sayılı Kararı
Kişisel Verilerin Korunması Hakkında Kanun’un getirmiş olduğu yükümlülükleri uygulamaya başlayan kurum ve kuruluşlar VERBİS’e kayıt yükümlülüğü kapsamında kalıp kalmadıklarını merak içinde oldukları süreçte Kurul’un buna ilişkin olarak 02.04.2018 tarihli ve 2018/32 sayılı kararı, 15 Mayıs 2018 tarihli ve 30422 sayılı Resmi Gazete’de yayımlanmıştır. Kurul’un kararına göre istisna kapsamında kalan veri sorumluları:
“a)Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan
yollarla kişisel veri işleyenler b) 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler c) 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler ç)22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler d) 19/03/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar e) Gümrük müşavirleri f) Arabulucular g) 01/06/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirlerğ) Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar,” şeklinde belirlenmiştir.
Sizler için bu yazımızda dernek, vakıf ve sendikaların istisna kapsamında tutulması ve Kişisel Verileri Koruma Kurulu’nun 07.05.2020 tarihinde yayımlamış olduğu dernek ,vakıf ve sendikalar açısından belirlenen istisna kapsamında bazı değişiklikler yapılmasına dair 22/04/2020 Tarihli ve 2020/315 Sayılı Kararı hakkında değerlendirmelerimizi sunacağız.
Görüleceği üzere Kurul’un yayımlamış olduğu istisnalar kapsamında kalan dernek, vakıf ya da sendikaların VERBİS’e kayıt yükümlülüğü kapsamında değerlendirilmemeleri için üç şartın bir arada olması zorunluluğu düzenlenmiştir. Bunlardan ilki; işledikleri kişisel verinin bu tüzel kişilerin ilgili mevzuatı ile sınırlı, ikincisi; amaçlarına uygun faaliyet alanları ile sınırlı ve üçüncüsü; sadece kendi çalışanlarına, mensuplarına ve bağışçılarına yönelik kişisel verilerin işlenmesidir. Söz konusu kararın lafzından anlaşılacağı üzere bu şartlardan biri dahi gerçekleşmezse ilgili tüzel kişinin VERBİS’ e kayıt yaptırması gerekecektir.
Kurul’un getirmiş olduğu istisna düzenlemesi ve belirlenen şartlar vakıf, dernek ve sendikaların VERBİS’e kayıt yükümlülüğü hakkında merak edilen bazı soruları cevaplamış olsa da ilgili kararda düzenlenen şartların oluşmaması halinde ortaya çıkma ihtimali olan durumlar kafalarda yeni soru işaretleri oluşturmuştur. Şöyle ki istisna kapsamında kalan dernek, vakıf ve sendikaların şartlarda belirlenen sınırlamalar dışında bir kişisel veri işlemesi halinde VERBİS’e kayıt yükümlülüğü ve bunun akabinde kişisel veri envanteri oluşturması gerekliliği söz konusu olacaktır. Böyle bir durum oluşması halinde VERBİS’e kayıt yükümlülüğünün ve veri envanteri oluşturma yükümlülüğünün sınırlama dışında kalan kişisel verileri mi yoksa tüm kişisel verileri mi kapsaması gerekeceği yoruma açık bırakılmış bir mevzudur.
Bunun yanında Kurum’un istisnaları düzenlediği kararında, belirlemeyi yaparken kişisel veri işleme faaliyetlerini esas alması gerekirken, doğrudan veri sorumlularını işaret etmesi benzer kişisel veri işleme faaliyetleri yapan veri sorumluları arasında sadece bağlı oldukları mevzuat sebebiyle ayrıma sebep olmuştur.
Kurul’un 22/04/2020 Tarihli ve 2020/315 Sayılı Kararı
Kişisel Verileri Koruma Kurulunun; dernek, vakıf ve sendikalar açısından istisnalar hakkında yayımlamış olduğu kararda bazı değişiklikler yapılmasına dair 22/04/2020 Tarihli ve 2020/315 Sayılı Kararı 07.05.2020 tarihinde yayımlanmıştır.Bu karara göre:
“6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesi gereği Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan dernek, vakıf ve sendikalarla ilgili istisna hususundaki başvurular üzerine Kurul tarafından yapılan değerlendirme sonucunda;
Sicile kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” olarak değiştirilmesine şeklinde karar verilmiştir.
Kurul’un açıklamış olduğu yeni kararında eski kararında yer alan “sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik” ibaresinin düzenleme kapsamından çıkarıldığını görmekteyiz. Bu değişiklik hakkında değerlendirme yapacak olursak burada çalışan, üye, mensup ve bağışçı kavramları çıkarılarak bu tüzel kişiliklerin daha önceden kararda belirlenmiş olan ilgili kişi grupları haricinde kalan kişilerin kişisel verilerini işleme faaliyeti gerçekleştirmeleri halinde VERBİS’e kayıt yükümlülüğü kapsamına girmeleri durumu önlenmiş olmuştur. Fakat burada belirtmekte fayda gördüğümüz husus kararda geçen “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere” ibaresinin iyi değerlendirilmesi gerektiğidir. Vakıf, dernek ve sendikalar mevzuat ve amaçlarına uygun olmayan ve faaliyet alanlarına girmeyen konularda kişisel veri işledikleri anda yine VERBİS’e kayıt yükümlülüğü ve bununla bağlantılı olarak kişisel veri işleme envanteri oluşturmak zorunda kalacaklardır. Örneğin bir vakfın resim yarışması düzenlemesi durumunda düzenlenen bu resim yarışması sırasında vakıf tarafından üçüncü kişilerin kişisel verileri toplanacaktır. Resim yarışması düzenlenmesinin faaliyeti vakfın mevzuat ve amacına uygun kendi faaliyet alanı ile sınırlı olduğu değerlendirmesi yapıldığında burada artık vakfın üçüncü kişilerden almış olduğu kişisel verileri VERBİS’e kaydetme yükümlülüğü olmayacağı gibi bu kişisel veriler için bir envanter hazırlama yükümlülüğü de söz konusu olmayacaktır. Fakat düzenlenen bu resim yarışmasının vakfın amacı ve mevzuatına uygun olmaması ve faaliyet alanı kapsamında kalmaması durumunda burada vakıf, kararda düzenlenen şartlar oluşmadığından toplamış olduğu üçüncü kişi kişisel verileri açısından kendisini istisna kapsamında değerlendiremeyecektir. Burada ilgili tüzel kişilerin dikkat etmesi gereken en önemli kıstas kişisel veri işleme faaliyetinin mevzuatları ve faaliyet alanı kapsamında kalıp kalmadığının tespitinin iyi yapılmasıdır. Bu değerlendirme iyi yapılmadan Kurul kararının getirdiği istisna kapsama girdiğini düşünen ve VERBİS’e kayıt yükümlülüğünü yerine getirmeyen vakıf, dernek ve sendikalar idari para cezası ödemek zorunda kalabileceklerdir.
Yukarıda da bahsettiğimiz üzere istisna kapsamına çıkan kişisel veri işleme faaliyetleri olması durumunda VERBİS’e kayıt yükümlülüğünün ne şekilde olacağı , sadece istisna kapsamına çıkmaya sebep olan faaliyet ve kişisel veriler açısından mı VERBİS’e kayıt yapma yükümlülüğü olacağı , istisna kapsamında kalan kişisel veri işleme faaliyetinde sadece bu kişisel veriler açısından mı envanter oluşturulacağı ve bu envanterin ne kadar sağlıklı olacağı gibi hususlar yoruma ve tartışmaya açık kalmıştır.
Buna ek olarak düzenlemeye “Türkiye’de yerleşik” ibaresi eklenerek Türkiye’de yerleşik olmayan dernek, vakıf ve sendikaların VERBİS’e kayıt yükümlülüğünün olduğu netleşmiştir. Bu durumda vakıf, dernek ve sendikaların VERBİS’e kayıt yükümlülüğünden istisna tutulabilmesi için aranan şartlar, yalnızca ilgili mevzuat ve amaçlarına uygun,faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işlemek ve Türkiye’de yerleşik olma olarak belirlenmiştir.
Bahsetmiş Olduğumuz Kurul Kararları ile Getirilen İstisnalar Sadece VERBİS’e Yönelik Olup İlgili Kuruluşların Kanun’dan Doğan Diğer Yükümlülükleri Devam Etmektedir.
Önemle belirtmek isteriz ki vakıf, dernek ve sendikalar Kişisel Verilerin Korunması Kanunu ile veri sorumlularına getirilen VERBİS’e kayıt yükümlülüğünden belirli şartların varlığı halinde istisna tutulsalar bile bu kuruluşların Kanun ile getirilen diğer yükümlülükleri devam etmektedir. İstisna sadece VERBİS’e yönelik olup kanuna uyum ve gerekliliklerini yerine getirme noktasında bu kişi ve kuruluşların yükümlülükleri devam etmektedir. Bu kapsamda bu kuruluşlar kişisel verileri işlerken ve paylaşırken Kanun’da yer alan düzenlemelere dikkat etmeliler ve kişisel verileri korumak için gerekli olan tüm veri güvenliği önlemlerini almalıdırlar.
AV. DİLARA ÖNSUR