Sivil Toplum Kuruluşlarına VERBİS Muafiyetinde Kapsam Genişledi: 2020/315 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), dernek, vakıf ve sendikaların Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğüne ilişkin uygulamada yaşanan tereddütleri gidermek amacıyla 22/04/2020 tarihli ve 2020/315 sayılı kritik bir karar yayımlamıştır. Bu karar, sivil toplum kuruluşları (STK) için daha önce belirlenmiş olan “istisna” (muafiyet) kapsamını netleştirmiş ve genişletmiştir.
Kararın Getirdiği Temel Değişiklik: “Kimlere Yönelik Veri İşlendiği” Şartı Kaldırıldı
02.04.2018 tarihli ve 2018/32 sayılı ilk Kurul kararında, dernek, vakıf ve sendikaların muaf olabilmesi için verilerin “sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik” olması şartı aranıyordu. Bu durum, STK’ların faaliyetleri sırasında temas ettikleri (örneğin etkinlik katılımcıları veya bursiyerler gibi) diğer kişilerin verilerini işlemeleri halinde muafiyetten çıkıp çıkmayacakları konusunda ciddi tereddütler yaratıyordu.
2020/315 sayılı yeni karar ile bu sınırlayıcı ifade kaldırılarak muafiyet şartı şu hale getirilmiştir:
“Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar.”
Bu değişiklikle birlikte, STK’nın kendi mevzuatına ve tüzüğündeki/vakıf senedindeki amacına uygun olması kaydıyla, kimin verisini işlediğine bakılmaksızın (çalışan/üye/bağışçı ayrımı gözetilmeden) VERBİS muafiyeti sağlanmıştır.
Muafiyetin Şartları Nelerdir?
Bir dernek, vakıf veya sendikanın VERBİS’e kayıt olmaması için şu üç kriteri sağlaması yeterlidir:
- Yerleşiklik: Türkiye’de yerleşik olmak.
- Mevzuata Uygunluk: 5253 sayılı Dernekler Kanunu, 5737 sayılı Vakıflar Kanunu veya 6356 sayılı Sendikalar Kanunu uyarınca faaliyet göstermek.
- Amaçla Sınırlılık: İşlenen verilerin sadece kuruluş amacı ve faaliyet alanıyla sınırlı olması.
Özgür Eralp Perspektifi: “Bürokrasinin Azalması, Sorumluluğun Bittiği Anlamına Gelmez”
Bilişim hukuku alanındaki 25 yıllık tecrübemizde ve STK’lara yönelik hazırladığımız uyum projelerinde gördük ki; “Sicile kayıt zorunluluğu yok” ifadesi çoğu zaman “KVKK bizi bağlamıyor” şeklinde yanlış yorumlanmaktadır.
Bir yatırımcı avukat vizyonuyla vurgulamalıyım ki; VERBİS muafiyeti sadece bir “beyan” muafiyetidir. Derneğinizin veya vakfınızın bir veri sızıntısı yaşaması durumunda Kurul; aydınlatma yükümlülüğünü yerine getirip getirmediğinize, veri güvenliği (Md. 12) tedbirlerini alıp almadığınıza ve imha politikanıza bakar. Bu karar, STK’ların üzerindeki idari kayıt yükünü alsa da, veri koruma disiplini konusundaki “aktif özen borcunu” ortadan kaldırmaz. Özellikle hassas nitelikteki bağışçı veya bursiyer verilerini işleyen kuruluşların, teknik tedbirleri en üst seviyede tutması hayati önemdedir.
Sıkça Sorulan Sorular
1. Dernek olarak dışarıdan hizmet aldığımız kişilerin verilerini işliyoruz, VERBİS’e kayıt olmalı mıyız?
Hayır. 2020/315 sayılı karar uyarınca, veri işleme faaliyetiniz dernek tüzüğünüze ve mevzuatınıza uygun olduğu sürece, veri sahibi “üye” veya “bağışçı” olmasa bile VERBİS kayıt yükümlülüğünden istisnasınızdır.
2. Vakfımızın ticari işletmesi (iktisadi işletmesi) var. O işletme için muafiyet geçerli mi?
Hayır. Bu istisna sadece dernek, vakıf ve sendikaların kendi tüzel kişilikleri ve asıl faaliyetleri içindir. Dernek veya vakfa bağlı ticari işletmeler (şirketleşmiş yapılar), yıllık çalışan ve ciro sınırlarına göre (50 çalışan / 25-100 milyon TL ciro gibi) VERBİS yükümlülüğüne tabi olabilirler.
3. VERBİS’e kayıt olmamak “Envanter” hazırlamama engel mi?
Hukuken zorunlu olmasa da, bir veri ihlali durumunda Kurul’a hesap verebilmek ve aydınlatma yükümlülüğünü doğru yönetebilmek için bir Kişisel Veri İşleme Envanteri hazırlamanız her zaman en güvenli yoldur.
4. İstisna kapsamındaki bir sendika aydınlatma metni yayımlamalı mıdır?
Evet. Kanun’un 10. maddesi uyarınca aydınlatma yükümlülüğü her veri sorumlusu için zorunludur. VERBİS muafiyeti, aydınlatma yükümlülüğünü ortadan kaldırmaz.
5. Siyasi partiler bu karara dahil mi?
Siyasi partiler zaten 2018/32 sayılı ana karar ile VERBİS kayıt yükümlülüğünden süresiz olarak istisna tutulmuştur; bu yeni karar STK’lar için kapsamı netleştirmiştir.
Kaynaklar
- KVKK Kurumu – 2020/315 Sayılı Karar Metni
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Madde 16)
- 5253 Sayılı Dernekler Kanunu / 5737 Sayılı Vakıflar Kanunu / 6356 Sayılı Sendikalar Kanunu
- [şüpheli bağlantı kaldırıldı]
- Ankara Barosu Bilişim Kurulu Yayınları
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),
