KVKK, Türkiye'deki veri sahiplerinin kişisel verilerini işleyen tüm kuruluşlar için geçerlidir. Bu kapsamda, Türkiye’de yaşayan bireylerle ilgili tüm veri işleme faaliyetleri KVKK’ya tabidir ve bu düzenleme küresel ölçekte etkisini göstermektedir.

KVKK kapsamı dışında tutulan durumlar ise şunlardır:

• Kişisel kullanım amaçlı, hane halkı faaliyetleri
• Anonim hale getirilmiş verilerle yapılan resmî istatistik çalışmaları
• Sanatsal, tarihî, edebî veya bilimsel amaçlarla yapılan işlemler (ulusal savunma, milli güvenlik, kamu güvenliği, kamu düzeni ve ekonomik güvenlik gibi hassas alanlara zarar vermemek kaydıyla)
• Kanunla görevli kılınmış kamu kurum ve kuruluşlarının, yukarıda belirtilen kamu yararlarını korumaya yönelik önleyici, koruyucu ve istihbari faaliyetleri
• Yargı makamları ve infaz mercilerinin soruşturma, kovuşturma, yargılama ve infaz işlemleriyle ilgili veri işleme faaliyetleri

Bu istisnalar dışındaki tüm yabancı kuruluşlar, KVKK’ya tabidir ve özellikle Türkiye’de bir Veri Sorumlusu Temsilcisi atama ve VERBIS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı yaptırma yükümlülüğüne uymalıdır.

Şirketiniz, aşağıdaki üç koşulu sağlıyorsa Türkiye’de bir Veri Sorumlusu Temsilcisi atamakla yükümlüdür:

• Veri sorumlusu olarak hareket ediyorsa (yani veri işleme amaç ve vasıtalarını kendisi belirliyorsa; sadece bir veri işleyen değilse),
• Türkiye’de bulunan bireylerin kişisel verilerini işliyorsa,
• Türkiye’de kurulmuş bir tüzel kişiliği yoksa.

Şirketimiz KVKK kapsamında veri sorumlusu mu?

Bir kuruluş, kişisel verilerin işlenme amaçlarını ve araçlarını belirliyor ve bu verilerin işlenmesi için gerekli teknik altyapının kurulmasından ve yönetiminden sorumluysa, KVKK kapsamında veri sorumlusu sayılır.

Buna karşılık, veri işleyen, kişisel verileri veri sorumlusunun talimatı üzerine onun adına işleyen kuruluştur.

Bu kavram, GDPR’daki ile aynıdır. Belirleyici olan, verilerin nasıl ve neden işleneceğine karar verip vermediğinizdir.

Türkiye’deki kişisel verileri işliyor muyuz?

“Veri işleme” ifadesi, kısmen veya tamamen otomatik yollarla kişisel veriler üzerinde gerçekleştirilen her türlü işlemi kapsar. Bunlar arasında verilerin toplanması, kaydedilmesi, saklanması, değiştirilmesi, aktarılması, erişime açılması, sınıflandırılması veya silinmesinin engellenmesi gibi birçok faaliyet yer alır.

Eğer bu tür işlemlerin konusu Türkiye’de bulunan bireylerse, kuruluşunuz KVKK kapsamına girer. Örneğin:

• Türkiye’de müşteri, kullanıcı, öğrenci veya hasta gibi veri sahipleriyle aktif ticari faaliyet yürütülmesi,
• Google reklamları ya da başka dijital kampanyalarla Türkiye’deki bireylerin hedeflenmesi,
• Çerezler, davranışsal reklamlar veya konum bazlı analizlerle Türk bireylerin izlenmesi.

Bu koşullar altındaysanız ve veri sorumlusu konumundaysanız, KVKK kapsamında bir Veri Sorumlusu Temsilcisi atamanız gerekir.

İstisna var mı?

Evet. KVKK’ya göre temsilci atama yükümlülüğü aşağıdaki gruplar için geçerli değildir:

• Kişisel verileri yalnızca otomatik olmayan yollarla işleyen kuruluşlar,
• Noterler, hukuk ve muhasebe büroları gibi bazı meslek grupları,
• Sendikalar,
• Siyasi partiler.

Bunların dışında kalan ve Türkiye’de veri işleyen tüm yabancı kuruluşlar temsilci atamak ve VERBIS sistemine kaydolmakla yükümlüdür.

VERBIS, KVKK’nın 16. maddesi uyarınca kurulmuş olan Veri Sorumluları Sicil Bilgi Sistemidir. Kişisel veri işlemeye başlamadan önce, veri sorumlusunun VERBIS’e kayıt yaptırması gerekmektedir.

Kayıt süreci nasıl işler?

Yabancı veri sorumluları için VERBIS kaydı yalnızca atanmış temsilci tarafından yapılabilir. İlk olarak bir Veri Sorumlusu Temsilcisi atamanız gerekir; temsilci daha sonra kayıt sürecini yürütür.

Kayıt sırasında, GDPR kapsamındaki işleme faaliyetleri kayıtlarına benzer şekilde, işleme faaliyetlerinizin detaylı bir listesinin hazırlanması gerekir. Temsilci, bu bilgileri VERBIS sistemine (verbis.kvkk.gov.tr) girerek kaydı tamamlar.

Kayıt için son tarih nedir?

Son tarih birkaç kez uzatılmış olsa da, 31 Aralık 2021 itibarıyla kayıt süresi sona ermiştir.

Veri Sorumlusu Temsilcisi atama yükümlülüğü bulunmasına rağmen bu yükümlülüğün yerine getirilmemesi, KVKK’nın 18. maddesi uyarınca yaptırımlara yol açabilir. İlgili yükümlülüğe uyulmaması halinde uygulanacak idari para cezaları her yıl artırılmaktadır ve 2022 itibarıyla yaklaşık 2 milyon Türk Lirasına ulaşmıştır. 2021’den 2022’ye kadar olan artış oranının ise %36,20 gibi yüksek bir seviyede olduğunu unutmayın.

Prighter Türkiye DCR hizmetine nasıl kayıt olunur?

Türk mevzuatı, imza süreçleri ve VERBIS kaydı açısından belirli şekil şartları öngördüğünden, baştan sona dijital bir kayıt süreci mevzuata uygun kabul edilmemektedir. Bu nedenle kayıt süreci şu şekilde ilerlemektedir:

1. Şirket bilgilerinizi içeren kayıt formunu doldurun ve Vekâletname (PoA) oluşturun.
2. Oluşturulan PoA belgesini imzalatın, noter onayını yaptırın ve imza ülkesinde apostil işlemini tamamlayın.
3. PoA'nın taranmış bir kopyasını bize iletin ve ardından orijinal belgeyi taahhütlü posta yoluyla Türkiye adresimize gönderin.
4. PoA belgesi Türkiye'de noterden onaylatılır ve VERBIS kaydı tarafımızca gerçekleştirilir.

Prighter Türkiye DCR hizmet sağlayıcısı kimdir?

Prighter, Türkiye DCR hizmeti kapsamında IPTECH Legal Danışmanlık Ltd. Şti. ile iş birliği yapmakta, Türk hukuku kapsamında sunulan hukuki danışmanlık ise Özdağıstanlı Ekici Avukatlık Ortaklığı tarafından sağlanmaktadır. Müşteri ilişkileri, destek hizmetleri ve ödemeler Prighter Group tarafından merkezi olarak yürütülmektedir.