6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), Türkiye’de kişisel verilerin işlenmesi, korunması ve bu verilere ilişkin hakların kullanımını düzenleyen en temel yasal düzenlemedir.

KVKK’nın temel amacı ise kişisel verilerin işlenmesi ve işlenen verilen korunmasına ilişkin belli standartları belirlemek akabinde kanunun ilkelerine uygun bir şekilde hareket edilmesini sağlamaktır. Bu ilkelerle kanun tarafından, kişisel verilerin güvenliğini sağlamak, özel hayata saygı göstermek ve veri sahiplerinin haklarını korumak amaçlanmaktadır.

KVKK, veri sorumlularının ve veri işleyenlerin (veri işleme süreçlerine katılan tüm tarafların) uyacakları kuralları belirlerken bununla paralel olarak kişisel verilerin işlenmesine dair genel ilkeleri de ortaya koymaktadır.

Kanun koyucunun KVKK kapsamında veri sorumlularına yüklediği sorumlulardan biri de veri sorumluları siciline kayıt yükümlülüğüdür.

KVKK’nın “Veri Sorumluları Sicili” başlıklı 16. maddesinin 2. fıkrası;

“Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.”

şeklinde düzenlenmiştir.

Sicile kayıt yükümlülüğüne ilişkin detaylardan bahsetmeden önce veri sorumlusu ve veri sorumluları sicili kavramlarından kısaca bahsetmek faydalı olacaktır.

KVKK’nın “Tanımlar” başlıklı 3. maddesi uyarınca Veri Sorumlusu;

“Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi”

ifade eder. Bir başka ifadeyle; veri sorumlusu, kişisel verilerin işleme amaçlarını ve araçlarını belirleyen ve bu işlemlerden sorumlu olan gerçek veya tüzel kişidir.

KVKK kapsamında “Veri Sorumluları Sicili” veya kısa adıyla “VERBİS” ise özetle veri sorumlularının yasal yükümlülüklerini yerine getirebilmeleri için oluşturulan bir kayıt sistemidir. VERBİS’e kayıt, veri sorumlularının kişisel veri işleme faaliyetlerini daha şeffaf ve denetlenebilir hale getirmeyi amaçlar. Bu kayıt sistemi, kişisel verilerin korunması ve güvenliği açısından önemli bir adımdır ve veri sorumlularının yasal yükümlülüklerini yerine getirebilmeleri için gereklidir.

KVKK’nın 16. maddesinin 2. fıkrası uyarınca kural olarak veri sorumlularının sicile kayıt yükümlülüğü açıkça belirtilmiştir. Aynı maddenin devamında ise Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından bu yükümlüğe ilişkin istinaslar getirilebileceği düzenlenmiştir.

KVKK’nın “Veri Sorumluları Sicili” başlıklı 16. maddesinin 2. fıkrasına göre;

“Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.”

şeklinde hüküm bulunmaktadır.

Kanun koyucunun, Kişisel Verileri Koruma Kurulu’na veri sorumlularının sicile kayıt yükümlülüğüne ilişkin bir takım düzenleme yetkisi tanıması; her geçen gün hızla değişen toplum düzenlerine Kurul’un aldığı kararla ile kanun hükümlerinin değişen toplum düzenlerine uygulanabilirliğini sağlamaktadır.

Bu kapsamda, KVKK sınırları çerçevesinde 18 Ağustos 2018 tarihli Resmi Gazete’de yayımlanan 2018/87 sayılı Kurul Kararı ile düzenleme getirilmiştir. Bu düzenlemeye göre,

“Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar”

sicile kayıt yükümlülüğünden istisna kılınmıştır.

Anılan Kurul kararının yayımlandığı tarihten itibaren ülkedeki ekonomik değişiklikler dikkate alındığında 2018 yılında esas alınan 25 milyon TL limitinin mevcut yıllık mali bilanço toplamlarına göre düşük kaldığı, bu doğrultuda 2018/87 sayılı Kurul Kararı’nda yer alan yıllık mali bilanço toplamı tutarının da güncellenmesine karar verilmiştir.

Kurul kararındaki istisna kriterinin belirlenmesinde esas alınan Küçük ve Orta Büyüklükteki İşletmelerin Tanımı, Nitelikleri ve Sınıflandırılması Hakkında Yönetmelik uyarınca “küçük işletme” tanımı, 25.05.2023 tarihli ve Resmi Gazete’de yayımlanan Küçük ve Orta Büyüklükteki İşletmeler Yönetmeliği ile güncellenerek;

“Yıllık çalışan sayısı elli kişiden az olan ve yıllık net satış hasılatı veya mali bilançosundan herhangi biri yüz milyon Türk Lirasını aşmayan işletmeler”

şeklinde belirlenmiştir.

Bu doğrultuda; değişen toplum düzenlerine kanun hükümlerinin uyum sağlayabilmesi adına Kurul  06.07.2023 tarihli ve 2023/1154 sayılı kararı ile; yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar sicile kayıt yükümlülüğünden istisna tutulmuştur.

SONUÇ: 25 Temmuz 2023 tarihine kadar yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından sicile kayıt yükümlülüğünden istisna tutulurken kurulun aldığı yeni karar ile yıllık mali bilanço sınırı 100 miyon TL olarak değiştirilmiştir.