KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA DERNEKLERİN YÜKÜMLÜLÜKLERİ

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) gerek kamu gerekse özel sektörde faaliyet gösteren şirketler için birtakım yükümlülükler getirdi. Bunlar arasında en çok konuşulan yükümlülüklerden biri de şüphesiz Veri Sorumluları Sicil Bilgi Sistemi’ne (“VERBİS”) kayıt yükümlülüğü oldu. Bunun başlıca sebepleri hem Kişisel Verileri Koruma Kurulu’nun (“Kurul”) sık duyuruları hem de aykırılık durumunda uygulanacak yüksek para cezası olarak sıralanabilir[1]. Diğer taraftan Kurul’un bazı veri sorumluları için VERBİS’e kayıt zorunluluğuna istisna getirdiği gözlenmektedir. Örneğin Kurul dernek, vakıf ve sendikaları belirli durumlarda VERBİS’e kayıt yükümlülüğünden muaf tutmuştur. Bu blog yazımızda da derneklerin kişisel verileri koruma mevzuatı uyarınca yükümlü olduğu ve istisna tutulduğu halleri konu alacağız.

Kişisel Verileri Koruma Kurulu dernekleri belirli durumlarda VERBİS’e kayıt yükümlülüğünden muaf tutmuştur.

A. Derneklerin VERBİS’e Kayıt Yükümlülüğü

KVKK m.16/2 hükmü uyarınca;

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.”

Hükmün lafzından, kişisel veri işleyen gerçek ve tüzel kişilerin VERBİS’e kayıt yükümlülüğünün genel kural olduğu ancak bu yükümlülüğe Kurul tarafından istisna getirebileceği anlaşılmaktadır.

Dernekler KVKK’nın yürürlük tarihi (2016) itibariyle VERBİS yükümlüsüyken; daha sonra Kurul’un 22/04/2020 tarihli ve 2020/315 sayılı Kararı ile değişik 02/04/2018 tarihli ve 2018/32 sayılı Kararı uyarınca “Türkiye’de yerleşik dernekler, yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı kişisel veri işlemesi şartıyla” VERBİS’e kayıt yükümlülüğünden muaf tutulmuştur.   

Kurul’un derneklerin VERBİS’e kayıt yükümlülüğüne istisna getirdiği 2018/32 sayılı kararının 3 üncü maddesinde; “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesi yer almaktadır. Çalışanların, üyelerin, mensupların ve bağışçıların sınırlı sayma yöntemiyle belirlenmiştir. Başka bir ifadeyle, VERBİS’e kayıt yükümlülüğünden istisna yalnızca bu kişilerin verilerinin işlendiği durumlarda geçerlidir. Kurul’un daha sonra bilgi vermek amacıyla yayımladığı kararında[2] bu kişi grupları arasına, faaliyet alanlarıyla sınırlı olmak üzere kendisine bağış yapılanların da dahil olduğu belirtilmiştir.

Uygulamada yaşanan tereddütlerin akabinde Kurul 09/06/2021 tarihli ve 2021/571 sayılı kararını yayımlamış ve konuya açıklık getirmiştir. Söz konusu kararla birlikte “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik derneklerden kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” için VERBİS’e kayıt yükümlülüğüne istisna getirilmiştir[3].

O halde yalnızca Türkiye’de yerleşik olup kendisine bağlı iktisadi işletmesi bulunmayan derneklerin VERBİS yükümlülüğünün bulunmadığını söyleyebiliriz.

Fakat Türkiye’de yerleşik olup kendisine bağlı iktisadi işletmesi bulunmayan derneklerin

  • faaliyet alanının dışına çıkması veya
  • mevzuata ve amaçlarına aykırı veri işleme faaliyeti gerçekleştirmesi ya da
  • yukarıda yer verilen sınırlı sayıdaki kişi grupları dışındaki kişilerin dışına çıkarak veri işlemesi

hallerinde VERBİS kayıt yükümlülüğünün devam ettiğine dikkat etmek gerekir[4]. Diğer taraftan, Türkiye’de yerleşik olup kendisine bağlı herhangi bir iktisadi işletmesi bulunan derneklerin ise VERBİS’e kayıt yükümlülüğü devam etmektedir. Fakat bu kayıt esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapılacak dernek faaliyetlerine ilişkin bilgi girişi yapılmayacaktır.

Newham Democracy and Civic Participation Commission
Derneklerin VERBİS kaydı dışındaki diğer yükümlülükleri devam etmektedir.

B. Derneklerin KVKK Kapsamındaki Diğer Yükümlülükleri

Kurul tarafından 1 Nisan 2018 tarihinde yayımlanan “Kanun Kapsamındaki Hak ve Yükümlülükler” rehberinde veri sorumlusunun kanun kapsamında pek çok yükümlülüğünün bulunduğu belirtilmiştir. Bunlardan bazıları:

  1. Aydınlatma Yükümlülüğü
  2. Veri Güvenliğine İlişkin Yükümlülükler
  3. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
  4. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
  5. Veri Sorumluları Siciline (VERBİS) Kayıt Yükümlülüğü
  6. Bildirim Yükümlülüğü

olarak sıralanmıştır. Görüldüğü üzere veri sorumlularının VERBİS kaydı dışında pek çok yükümlülüğü bulunmaktadır. Blog yazımızın A başlığı altında açıklandığı üzere, Türkiye’de yerleşik derneklerin uygun koşulları sağladığında VERBİS kayıt yükümlülüğünden istisna tutulduğu görülmektedir. Ancak veri sorumlusu konumundaki derneklerin diğer yükümlülükleri devam etmektedir. Dolayısıyla derneklerin VERBİS’e kayıt yükümlülüğüne getirilen istisnanın diğer yükümlülükleri de kapsadığı kaanatine ulaşmak yanlış olacaktır. Bu da derneklerin idari para ve hapis cezası alması sonucunu doğurabilir. Bu doğrultuda Kurul’un 10/09/2020 tarihli ve 2020/691 sayılı kararı incelenebilir.   

Kararın konusu ilgili kişinin cep telefonuna açık rızası olmadığı halde bir dernek tarafından reklam içerikli SMS gönderilmesine ilişkindir. İlgili kişi verilerinin nasıl toplandığına ilişkin bilgi almak amacıyla derneğe başvurmuş fakat dernekten herhangi bir yanıt alamamıştır. Bunun üzerinen ilgili kişi derneği Kurul’a şikayet etmiştir.

Kurul değerlendirmesinde; derneğin şikayetçinin kişisel verisi niteliğindeki cep telefonu numarasının işlenme sebebini ve toplama yöntemini gösteremediği gibi net bir açıklama da yapmadığını, ayrıca şikayetçinin SMS gönderimine ilişkin açık rızasını da tespit edemediğini belirterek şikayetçinin cep telefonu numarasının elde edilmesi ve reklam içerikli SMS gönderimi için kullanılması şeklide gerçekleşen kişisel veri işleme faaliyetinin KVKK’ya aykırılık teşkil ettiğini ifade etmiştir. Bu durumun ise veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini yerine getirmediğinin göstergesi olduğunu eklemiştir.

Dahası Kurul, derneğin ilgili kişinin başvurusuna cevap vermemesinin KVKK’a aykırılık teşkil ettiği; başlangıçtan itibaren hukuki sebepten yoksun olması dolayısıyla cep telefonu numarasının derhal silinmesi gerekirken şikayetçinin telefon numarasının kara listeye alınmasının hukuka aykırı olarak işlenen kişisel verinin silindiği anlamına gelmediği, dolayısıyla bahse konu telefon numarasının imha edilmesi gerektiğini belirtmiştir. Derneğin teknik ve idari tedbirleri almadığı kanaatine varıldığından hakkında idari para cezası uygulanmasına, ilgili kişilerin KVKK kapsamındaki başvurularının yasal süre içerisinde yanıtlanmasına dikkat gösterilmesi hususunda talimatlandırılmasına karar verilmiştir.

KVKK yanı sıra dernekler ticari elektronik iletilere ilişkin mevzuattan muaf olabilmektedir. Şöyle ki Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in 2 nci maddesinin ikinci fıkrasının (c) bendinde; “Bu Yönetmelik hükümleri; Kamu kurumu niteliğindeki meslek kuruluşları ile kamuya yararlı dernekler ve vergi muafiyeti sağlanan vakıfların, kendilerine ait ticari işletmelerin faaliyetleriyle ilgili olarak üyelerine gönderdiği iletilere uygulanmaz.” hükmü yer almaktadır. Bu tanıma uyan hizmet sağlayıcılar Yönetmelik’ten muaf tutulmuştur. Ancak bu hizmet sağlayıcıların altı çizili kapsamın dışında kalan bir ticari elektronik ileti göndermesi durumda İYS’ye kaydolmaları gerekmektedir.

Yukarıda yer verilen karardan da anlaşıldığı üzere, derneklerin KVKK kapsamında veri sorumlusu ya da veri işleyen olarak VERBİS dışındaki yükümlülükleri devam etmektedir. Bu kapsam hukuka uygun olarak veri işlemeli, ilgili kişileri aydınlatmalı, gerektiğinde ilgili faaliyet için açık rızalarını almalı, saklama ve imha prosedürlerini işleterek ilgili kişilerden gelen başvuruları zamanında usulüne uygun olarak yanıtlamalıdır.

[1] VERBİS’e süresinde kayıt yaptırılmaması halinde, 2021 yılı için 39.337 TL‘den 1.966.862 TL’ye kadar idari para cezası verilebiliyor.

[2] Kişisel Verileri Koruma Kurulunun 26.11.2019 Tarihli ve 2019/353 Sayılı Kararı

[3] Kişisel Verileri Koruma Kurulu’nun 09/06/2021 Tarihli ve 2021/571 Sayılı Kararı

[4] VERBİS Yükümlülüğü’nün Kapsamı:

  1. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları
  2. Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları
  3. Kamu kurum ve kuruluşu veri sorumluları

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: