VERBİS Yükümlülüğündeki Belirsizlik Ve Tartışmalar
Views: 12428
VERBİS Yükümlülüğündeki Belirsizlik Ve Tartışmalar
VERBİS 6698 Sayılı Kanun (KVKK) uygulaması bakımından, Dünya’daki ülkelerin kişisel verileri koruma uygulamalarına bakıldığında ülkemizin tek örnek olduğu bir veri koruma önlemidir. VERBİS bir veri koruma önlemi midir? Diye sorulabilir; evet VERBİS kişisel verileri koruma önlemlerinden biridir. Zira, VERBİS kaydı ve sisteme yüklenen veri işleme politikaları ve envanter sayesinde hem veri sorumlusunun şeffaflığının sağlanması konusunda bir adım daha atılmakta hem de ilgili kişi bakımından kendisine ait o veri sorumlusunun işlediği kişisel veriler bakımından bir fikir edinmesini ve gerektiğinde başvurular yapmasını sağlayan bir araç haline gelmektedir. Bu önüyle bakıldığında VERBİS şüphesiz bir veri koruma önlemidir.
Kanunda VERBİS yükümlülüğü detaylı açıklıklarda düzenlenmemiş, pek çok husus Kişisel Verileri Koruma Kurulu’na (Kurul) bırakılmıştır. Kurul tarafından da gerek yükümlülük gerek ise yükümlülüğün ifa şekli konusunda kararlar ve genel düzenleyici idari işlemler (yönetmelik ve tebliğler) ile uygulama yönlendirilmektedir.
Esasen Kurul’un pek çok düzenlemede bugüne kadar hukuka uygun ve doğru uygulamalar içinde olduğunu baştan belirtmek gerekir. VERBİS uygulaması bakımından da pek çok hususta doğru hareket ettiği ve yönlendirmelerde bulunduğu açıktır. Bununla birlikte, farklı hukuk alanlarına ait bazı hukuki kavramları kullanırken gereken titizliğin korunmadığı hal böyle olunca da uygulama ile ilgili belirsizlikler ve karmaşalar ortaya çıktığı, çıkacağı gözlenmektedir. Kurul’un bu konularda yazımızda üzerinde duracağımız hususlarda üzerine düşeni yapacağı ve uygulamayı daha belirli hale getireceğini umuyoruz.
Bu uygulama ve belirsizliklere ayrı ayrı değinelim.
1-Kayıt Yükümlülüğünün Yerine Getirilmesi
KVKK madde 16/2 gereğince kural olarak tüm veri sorumlularının veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunluluğu vardır.
Veri Sorumluları Sicili’nin yönetimi için Kurum tarafından Veri Sorumluları Sicili Bilgi Sistemi (VERBİS) oluşturulmuştur. Bununla birlikte VERBİS kavramı uygulamada bu yükümlülüğünün genel adı olarak kullanılmaya başlanmıştır. KVKK madde 16’daki kayıt işlemi de envanter yükleme de sadece bu sistem üzerinden gerçekleştirilebilmektedir.
Bu amaçla veri sorumlusunun öncelikle VERBİS üzerinden sicile kayıt başvurusu yaparak sistem şifresi alması gerekmektedir. VERBİS e-devlet sistemine bağlandığında giriş ve envanter ile ilgili işlem yapmak için e-devlet şifresi bulunan bir gerçek kişiye ihtiyaç duymaktadır. Ancak sistem şifresi alınması VERBİS yükümlülüğünün yerine getirilmiş sayılması için yeterli değildir. Zira sicil başvurusunun yapılmış sayılabilmesi için KVKK madde 16/3’teki bilgilerin de Kurum’a sistem üzerinden gönderilmesi gerekmektedir. Şifre almanın kayıt başvurusu yapmak anlamına gelmemiş olmasının önemine aşağıda ayrıca değinilecektir ki 27.12.2019 tarihli Kurul kararında da pek çok veri sorumlusu tarafından bu hataya düşüldüğüne özellikle dikkat çekilmiştir.Halihazırda bu husus Kurul Kararı ile açıklığa kavuşturulmuş olmakla bu konuda bir belirsizlik kalmadığı söylenebilecektir.
2-Veri Sorumluları Siciline Bildirilecek Bilgiler Bakımından
KVKK madde 16/3‘te Veri Sorumluları Siciline kayıt başvurusunun aşağıdaki hususları içeren bir bildirimle yapılacağına yer verilmiştir.
a) Kişisel verilerin hangi amaçla işleneceği:
Kurum VERBİS’te muhtemelen bildirim kolaylığı olması ve bildirilen verilen işlenmesi için standart hale getirilmesi bakımından 52 amaç belirlemiş ve bunların dışında bir amaç var ise “diğer” seçeneği işaretlenerek farklı bir amacın girilebilmesine olanak sağlamıştır. Bu amaçların pek çoğunun birbirine benzediği veya bazı genel başlıkların diğer bazı seçenekleri kapsadığı söylenebilir. Sistemin özellikle seçilen kategoriyi işleme amacı bakımından seçimlerde sisteme giriş yapan irtibat kişisine ekstra bir zorluk getirdiği ifade edilmelidir. Ancak, şimdilik, alternatif bir iyileştirme önerisinde bulunmak bu yazının konusu değildir.
b) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar:
VERBİS’te, verisi işlenen ilgili kişiler için 13 kişi grubu belirlemiş ve bunların dışında bir kişi grubu var ise “diğer” seçeneği işaretlenerek farklı bir grup girilebilmesine olanak sağlamıştır. Dikkat çeken hususlardan birisi gerçek kişi de olabilecek tedarikçinin kendisine yer verilmemiş olmasına karşın tedarikçi yetkilisi ile tedarikçi çalışanı ifadelerine yer verilmiştir. Bu durum tedarikçinin tüzel kişi olduğu varsayımından hareketle ortaya çıkmıştır. Bu belirlemeye göre gerçek kişi tedarikçinin kişisel verisi işleniyor ise diğer seçeneğinden girmek gerekmektedir.
c) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları:
VERBİS’te, veri aktarılacak alıcı veya alıcı grupları için sekiz alıcı veya alıcı grubu belirlenmiş ve bunların dışında bir alıcı grubu var ise “diğer” seçeneği işaretlenerek farklı bir grup girilebilmesine olanak sağlamıştır. Alıcının yurtiçinde veya yurtdışında olup olmadığı ile ilgili olarak bir ayrım yapılmamıştır. Bildirim girdilerinin standartlaştırılmaya çalışılması tüm veri işleme faaliyetlerini belirli bir kalıba da sokulma sonucunu ortaya çıkarmıştır. Bu nedenle de böyle bir gruplamanın, hem veri sorumlusu hem ilgili kişi bakımından tam bir açıklık sağlayamadığı düşünülmektedir.
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler:
VERBİS’te, bu seçenek veri bazında değil, kategori bazında düzenlenmiştir. VERBİS envanterinde hangi verinin aktarıldığı bilgisine yer verilmemiştir. Diğer taraftan veri envanteri kategori adı bazlı olduğundan hangi verinin aktarıldığı bilgisine ancak veri sorumlusundan ve veri sorumlusunun iç envanterinden öğrenmek mümkündür. İç envanter ise tescil ve ilan edilmemektedir. İlgili kişiler detayları ancak veri sorumlusuna başvuru yoluyla öğrenebileceklerdir.
e) Kişisel veri güvenliğine ilişkin alınan tedbirler:
VERBİS’te idari ve teknik tüm tedbirler bir ayrıma tabi tutulmaksızın 40 farklı tedbire yer verilmiştir. Yine aynı şekilde farklı bir tedbir için “diğer” seçeneği mevcuttur. Veri sorumlusunun aldığı tedbirleri ilan etmek, diğer başlıkların aksine bizce sakıncalar doğurabilecektir. Zira, veri sorumlusunun aldığı tedbirleri aşmak isteyenler, bu amaçla VERBİS’i iyi bir kılavuz haline getirebilir. Bu tedbirler veri sorumluları bakımından alınması gerekli tedbirler gibi de algılanabilir, kaldı ki, bu tedbirlerin tamamını almak ciddi maliyetlere neden olacaktır. Oysa her veri sorumlusunun iş süreci, veri işleme dinamikleri ve teknoloji ile iş süreçlerini buluşturma derinliği birbirinden farklıdır. KVKK Madde 12’deki veri koruma yükümlülüğü için hangi tedbirlerin alınması gerektiğini tespit etmek normal koşullarda neredeyse imkansız gibidir ve mutlaka bir uzman yardımı almayı gerektirmektedir. Hiçbir tedbir almayan ancak buna rağmen veri ihlali ile hiç karşılaşmayan bir veri sorumlusuna ceza uygulanabilir mi sorusunun cevabı Kanuna göre “evet” ile karşılanırken, herhangi bir tedbir alınması örneğin “personelin eğitilmesi” halinde de cevap yine “evet” (veya “hayır”) olabilecektir. Peki veri sorumlusu KVKK’nın VERBİS’te belirtmiş olduğu tüm tedbirleri almasına rağmen veri ihlali meydana gelmişse ceza uygulanacak mı sorusunun cevabı ise duruma göre değişebilecektir. Bir veri ihlali var ise gerekli tedbir alınmamıştır yargısını ancak ihlali engelleyecek derecede bilinen bir tedbirin olmadığının ispatlanabilmesi ile çürütülebileceğinden böyle bir durumda ispat külfeti veri sorumlusu üzerinde kalacaktır. Bu noktada şunu söylemek yanlış olmayacaktır “ kişisel verilerin korunması bakımından ihmal=ihlaldir”. Kurul’un burada para cezalarının alt ve üst limitin arasındaki makasın açıklığından yararlanması ve takdir hakkı konusunda son derece geniş bir yetkisinin olması ise ceza hukuku bakımından “keyfilik” eleştirileri getirilmesine neden olabilecektir. Kurul bu makasın bu makasın açık olmasını Kanun gerekçesinde takdir hakkının kullanılması bakımından yararlı bulmakta ise de, hukuki denetim ve ceza hukuku ilkeleri bakımından burada keyfilik riskinin yüksek olduğunu belirtmek gerekecektir.
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre:
VERBİS, KVKK’nın belirlediği kategoriler bazında düzenlenmiş olduğu için, aynı kategoride farklı sebeplerle farklı ilgili kişilerin, aynı neviden verisinin işlenebilme ihtimali dikkate alınarak en uzun işleme süresinin belirtilmesi şeklinde bildirim yükümlülüğü düzenlenmiştir. Bir verinin en uzun ne kadar tutulacağı ile ilgili olarak bir sınırlama yoktur. Ancak, kişisel verilerin işlenmesi bakımından geçerli olan “belirlilik/şeffaflık” ve “ölçülülük” kavramlarının şüphesiz burada devreye girmesi gerekir. Yasal yükümlülükler karşısında kişisel verileri içeren belgeleri ibraz ve ispat yükümlülüğü çerçevesinde asgari elde tutma süreleri yasalarda belirlenmiştir. Bu çerçevede, Vergi Usul Kanunu, Sosyal Güvenlik Kanunu, Türk Borçlar Kanunu, Türk Ticaret Kanunu dahil ancak bunlara sınırlı olmayacak şekilde kanunlardaki zamanaşımı ve ibraz yükümlülük süreleri dikkate alınması gerekmektedir. Diğer taraftan yasal işleme şartları ortadan kalkmışsa meşru menfaat veya açık rıza ile bu veriler işlenmeye devam edebilir. Bu durumda yani işleme süresinin bitiminde ve daha fazla saklama için açık rıza olmayan hallerde (örneğin) altı ayı geçmeyen periyodik dönemlerde, açık rıza olanlarda ise ilgili kişinin silinme talebi üzerine (mutlaka) 30 gün içerisinde kişisel verinin imhası, silinmesi veya anonim hale getirilmesi gerekmektedir. Bu durumda kişisel verileri yasal işleme koşulları sona erse bile makul meşru bir işleme amacı devam ediyorsa (ürün veya hizmetlerin tanıtılması dahil) açık rıza ile daha uzun süreli olarak verilerin işlenmesinin de önünde bir engel yoktur. Ancak süresiz veri işlemenin “unutulma hakkı”nın özüne aykırı olduğu ve bunun için mutlaka ilgili kişinin açık rızasının alınması gerekeceği şüphesizdir. Belirttiğimiz gibi burada asıl yani baz noktalar: ölçülülük ilkesi ile veri sorumlusu bakımından da meşru menfaatinin bulunmasıdır.
3- Veri siciline tabi olan veri sorumlularının tespiti bakımından
KVKK madde 16/2 gereğince kural olarak herkesin VERBİS yükümlülüğü olduğuna değinmiştik. Diğer taraftan aynı madde ile Kurul’a işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirme yetkisi verilmiştir. Kurulun istisna uygulama yetkisi ile otomatik olmayan yollarla veri işleyenler, noterler, kendi üyelerine yönelik faaliyetleri bulunan dernek, vakıf ve sendikalar, siyasi partiler, avukatlar, serbest muhasebeci mali müşavirler, yeminli mali müşavirler, gümrük müşavirleri, arabulucular, yıllık çalışan sayısı 50’den az ve mali bilanço toplamı 25 milyonun altında olup ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar istisna tutulmuştur. Bunun dışındakiler ise Kanun gereğince sicile kayıt olmak zorundadırlar.
İstisnalar genel olarak bakıldığında “ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” dışında açık ve net olmakla birlikte, bu kapsam ile yıllık çalışan sayısı 50’den az ve mali bilanço toplamı 25 milyonun altında olup ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar ifadesi karışıklığa neden olmaktadır.
Öncelikle teknik olarak “mali bilanço toplamı” kavramı eksik bir tanımlama olmuştur. Zira bilanço, dönen varlıklar ve duran varlıkları içeren aktif ile kısa vadeli yabancı kaynaklar, uzun vadeli yabancı kaynaklar ve özvarlıkları içeren pasiften oluşmaktadır. Muhasebe dengesi bakımından aktif toplamı ile pasif toplamı her zaman eşittir. Bilançoda yer alan en büyük toplam aktif toplam olarak ifade edilir. Bu kavram işletmenin varlıkların toplamını ifade eder. Kararda “aktif toplam” ifadesi yerine “mali bilanço toplamı” ifadesi kullanılması bu nedenle doğru olmamıştır. Zira bu kavram bir muhasebe bilimi kavramı olduğuna göre bu alandaki teknik kavramın aynen kullanılması tutarlılık ve teknik terimlerin yerinde ve doğru kullanılması ilkeleri (terminolojik uyumluluk) bakımından gereklidir. Bu ifadenin aktif toplamı ifade ettiğine ilişkin açıklamalara ise Kurum’un rehber ve açıklamalarında rastlanmaktadır. KVKK, VERBİS yükümlülüğünü iki defa uzatma kararı almıştır, en azından bu uzatma kararlarında bu ifade değiştirilebilir, düzeltilebilirdi.
Diğer taraftan, aktif toplamın büyüklüğünün bir şirketin veri işleme kapasitesine de hiçbir etkisi yoktur. Ekonomik kriz nedeniyle alacaklarını tahsil edemeyen bir firmanın aktif toplamda bu tutarları kolaylıkla geçebildiği gözlemlenmektedir. Diğer taraftan bilanço hesap dönemi itibariyle çıkartılmakta olup, VUK madde 174 gereğince hesap dönemi normal olarak “takvim yılı”dır. Ancak vergi mükelleflerinin talebi üzerine Maliye Bakanlığı herhangi bir 12’şer aylık dönemi “özel hesap dönemi” olarak belirleyebilir. Nitekim tarım sektörüne, eğitim sektörüne, turizm sektörüne yönelik bazı işletmeler hesap dönemini 1 Nisan-31 Mart veya 1 Ekim-31 Eylül gibi özel dönemler olarak belirleyebilmektedir.
Aktif toplamı bir muhasebe bilimi kavramı olduğuna göre, aktif toplamının da hesap yılı ya da takvim yılı esasına göre tespit edilebilmesi gereklidir ki bu durumda hesap döneminin ya da takvim yılının kapanması gerekir. Bu da en az bir yıllık dönemin (doğru terim “hesap dönemi”dır) geçmesi gerektiği anlamına gelmektedir. Kurul, kararında hangi hesap dönemine ilişkin bilançonun dikkate alınacağı konusunda bir belirleme yapmamıştır. Kurulun 19.07.2018 tarihli 2018/88 numaralı kararıyla kayıt yükümlülük başlangıç tarihi 01.10.2018 olarak belirlenmiştir. Hesap dönemini yıllık olarak kabul ettiğimizde bu tarih itibariyle sadece 2017 yılı bilançosu ya da o tarihe kadar hesap dönemi kapanan özel hesap dönemi bilançoları bulunmaktadır. Diğer taraftan bu kararda VERBİS’e kayıt bakımından son tarih olarak 30.09.2019 tarihi belirlenmiştir. Bu tarih itibariyle de son bilanço ise 2018 yılına ilişkin bilanço ile özel hesap dönemi kullananlar bakımından yine o tarihe kadar tamamlanmış özel hesap dönemi bilançosudur. Kurum’un 17.12.2019 tarih ve 2019/387 numaralı kararıyla bildirim son tarihi 30.06.2020 tarihine uzatılmıştır. Bu durumda ise bu tarih itibariyle son bilanço 2019 yılına ilişkin olacaktır. Ancak özel hesap dönemi kullanan veri sorumluları bakımından bu bilançoların yükümlülük için son tarihten evvel çıkarılmış en son bilanço olarak anlaşılması gerekir.
VERBİS yükümlülüğü için hangi bilançonun dikkate alınacağına ilişkin bir açıklama yapılmadığından bildirim tarihi itibariyle geçerli son bilançonun dikkate alınması gerekmektedir. Her ne kadar bilanço tarihi yıl sonu olsa da yılsonu işlemlerinin tamamlanması ve hesaplarının kapatılması ancak Kurumlar Vergisi Beyannamesinin verileceği döneme kadar tamamlanabilmektedir. Bu da 2020 Nisan ayına denk gelmektedir. Özel hesap dönemi kullanalar bakımından da verilen en son kurumlar vergisi (geçici vergi değil) eki bilançonun anlaşılması gerekecektir.
Diğer bir eksik ya da hatalara neden olan düzenleme ise çalışan sayıları bakımındandır. Kararda bunun için “yıllık çalışan sayısı 50’den çok” ifadesi kullanılmıştır. Dolayısıyla VERBİS yükümlülüğü için çalışan sayısının en az 51 olması gerektiği açıktır. Çalışma süresini ilgilendiren prim bildirgeleri 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu kapsamında aylık olarak verilmektedir. Mevzuatımızda “yıllık çalışan sayısı” ifadesi diye bir kavram tanımlı değildir. Kurumun internet sitesinde ve “Sorularla VERBİS” adlı doküman içeriğinde yapmış olduğu açıklamalarda, hesaplamada tamamlanmış bir yıl olması ve tamamlanmış yıl içindeki 12 aydan en az 7’sinin muhtasar ve prim hizmet beyannamesinde bildirilen çalışan sayısının 50’yi geçmesi olarak nitelendirmiş ve bu tarih de 01.10.2018 tarihindeki kayıt yükümlülüğü başlangıç tarihi itibariyle de dikkate alarak 2017 yılı olarak işaret edilmiştir. Kurul kararında yer almayan bu ölçünün hukuki bir dayanağı olmadığı gibi açıklama yine muğlaktır. Açıklamayı doğru kabul etsek bile halihazırda tamamlanmış yıl 2019 yılıdır. Kaldı ki istihdam süreklidir ve daha önce 50 kişi üzerinde çalışanı olmayan veri sorumluları sonradan kapsam dahiline girebilir. Yıllık çalışan sayısının belirlenmesi için bir takvim yılının tamamlanmasına gerek yoktur; ilk olarak anlaşılması gerekenin içinde bulunulan aydan bir önceki ay dahil geçmiş 12 ay olarak dikkate alınması (tamamlanmış yıl bunu ifade eder) daha net bir bakış getirebilecektir. Bildirgeler aylık verildiğinden yıllık çalışan kriteri ay bazında belirlenebilir durumdadır. Anılan dokümandaki 2017 yılı örneği de kafa karıştırıcıdır, bu ibarenin bir örnek olduğu belli ise de bunun pek çok okuyucu tarafından bu kadar net anlaşılmadığı bilinmektedir. Bu anlamda eğer kriter için bildirim tarihi dikkate alınacaksa o zaman henüz kayıt olmayanlar bakımından en az 2019 yılının Aralık ayı bildirgesinin verileceği Ocak ayının da tamamlanması gerekir. Şahsi görüşümüz yukarıdaki önerimize ek olarak, yıllık ölçü dikkate alınacaksa kayıt tarihinden önce bir takvim yılının tamamlanmış olması kriteri değil tamamlanmış 12 ay kriteri dikkate alınmalı ve hatta kararda ve kanunda yer almayan yedi ay 50 kişiyi geçme kriteri yerine de yıllık (içinde bulunulan ay hariç son 12 aylık) ortalama çalışan sayısının 50’yi geçip geçmediği dikkate alınmalıdır.
Kaldı ki çalışan sayısı da veri işleme yoğunluğunu gösteren bir gösterge değildir. KVKK madde 16/2’de yer alan ölçüler, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne bulundurularak istisna belirlenmelidir. Yönetmelikte ise kanunda yer almayan, kişisel verinin işlenme amacı, kişisel verinin işlendiği faaliyet alanı, kişisel verilerin muhafaza edilmesi süresi, veri konusu kişi grubu veya veri kategorileri ile veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi eklenmiştir. Bu düzenlemede, objektif kriter belirlemek mümkün olmakla birlikte, bunları somut olarak denetlemek ve yükümlüleri belirlemek zor olduğundan, en azından kamu kayıtlarında yer alan mali ve kaydi bilgilerin tespit amacıyla kullanılmak istendiği görülmektedir.
4- İstisna sınırının sonradan altında kalma bakımından:
KVKK madde 16/2’de Kurul’a istisna belirleme yetkisi verilmiş ve Kurul halihazırda bu konuyla ilgili olarak yetkisini yedi ayrı kararla kullanmıştır. Süreye ilişkin kullanılan 3 yetki ile süreye bağlı olarak değişen şartların ne olacağı da belirsiz hale gelmiştir. Henüz sicil kaydı başvurusu yapmamış olanlar bakımından yukarıda da değinmiş olduğumuz üzere son bilgiler dikkate alınacaktır. Ancak daha önce uyumluluk sürecini tamamlayarak sicile kaydolmuş fakat belirlenen istisna sınırları altına düşenlerin sicilden kayıtlarının sildirip sildiremeyeceği konusunda bir açıklama yoktur. VERBİS kılavuzunda belli sebeplerin oluşmasından dolayı kayıt silme talebi gönderilmesine ilişkin açıklamaya yer verilmiş olmasına karşın bu sebeplerin neler olduğu belirtilmemiştir. Veri Sorumluları Sicili Hakkında Yönetmelik madde 14’te sicil kaydının silinmesi düzenlenmiş olmasına rağmen silinme koşullarına yine yer verilmemiştir.
Diğer taraftan soru-cevap açıklamalarında veri sorumlusunun kişisel veri işlemeye devam etmemesi halinde sicilden silinme talebinde bulunabileceği açıklamasına yer verilmiştir. VERBİS kaydını tamamlayan ancak sonradan istisna kapsamında giren veri sorumlularının VERBİS kaydını devam ettirmeleri gerektiğinden Yönetmelik madde 13 gereğince sicile kayıtlı bilgilerdeki değişiklikleri yedi gün içerisinde sistem üzerinden güncellemeleri gerekmektedir.
5- Veri siciline kayıttan istisna tutulanlara yeniden VERBİS yükümlülüğü getirilebilmesi bakımından:
KVKK madde 16’da Kurul’a veri siciline kayıt olacaklara istisna getirebilme yetkisi verilmiş olmasına karşın istisna kapsamına alınan kişilerin tekrar istisna halinden çıkartılabilmesine ilişkin bir düzenlemeye yer verilmemiştir. İdare hukuku açısından “yetkide paralellik ilkesi” gereğince bir idari işlemi tesis eden idarenin aynı idari işlemi geri alma yetkisinin de varlığı genel olarak kabul edilmektedir. Ancak Kurul’a verilen madde 16’daki yetkinin kullanılması ile birlikte bir kısım veri sorumluları VERBİS yükümlülüğünden istisna tutulmak suretiyle istisnaya hak kazanmışlardır. Burada kendi aramızda da farklı görüşler olmuştur;
BAYSAL ‘ın görüşü, istisnayı belirleyen Kurul’un istisnayı kaldırma yetkisini de haiz olduğu, istisna kapsamında sayılan veri sorumlularının istisna kapsamına alınabileceği gibi, istisna kapsamının genişletme yetkisini de var olduğu yönündedir.
ASLAN ise; KVKK’da kurula VERBİS yükümlüsü olmayan kişilere yükümlülük getirebilme yetkisi açıkça verilmediği için, veri sorumluları Kurul tarafından müktesep hakları ellerinden alınarak VERBİS yükümlüsü haline getirilemeyeceği, VERBİS yükümlülüğünün yerine getirilmemesi KVKK madde 18/1-ç gereğince cezai yaptırıma tabi tutulduğu, Anayasanın 38. maddesi gereğince ceza ve ceza yerine geçen güvenlik tedbirlerinin ancak kanunla konulabileceğinden VERBİS yükümlülüğünden çıkarılan kişilerin tekrar cezai yaptırım gerektiren bir yükümlülüğe tabi tutulmasının da ancak yasal düzenleme ile olabileceği, yasal düzenlemede Kurula yükümlüleri belirleme yetkisi yerine sadece istisna yetkisi getirilmiş olduğu için Kurul’un, belirleme sonucunu doğuracak şekilde düzenleme yapmaya gayret etmesine karşın, Kurulun kendisine verilmeyen VERBİS yükümlülerini belirleme yetkisini paralellik ilkesi gereğince de elde edemeyeceği düşüncesindedir.
6-Uygulanacak ceza bakımından:
Kurul, veri sicili kayıt yükümlülüğünü 01.10.2018 tarihinde başlatmış olmasına karşın kayıt süresinin son tarihini çoğunluğu teşkil eden yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 Milyon TL’den çok olan veri sorumluları bakımından en son 30.06.2020 olarak belirlemiştir. Kabahatleri düzenleyen madde 18’de, 16. maddede öngörülen veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında idari para cezası verileceği düzenlenmiştir. Bu durumda, VERBİS yükümlülüğü bakımından ihlal ancak 30.06.2020 tarihinin geçmesiyle mümkün olacaktır. Kabahatler Kanunu madde 5/2 gereğince kabahat, failin icrai veya ihmali davranışı gerçekleştirdiği zaman işlenmiş sayılacağından fiilin işlendiği tarih olarak Kurulun belirlediği son günü takip eden 01.07.2020 günü olacaktır.
Kabahatler Kanunu madde 5/1 gereğince idari yaptırımlara ilişkin kararların yerine getirilmesi bakımından derhal uygulama kuralı geçerli olduğundan fiilin işlendiği tarihte geçerli olan yani 2020 yılına ilişkin yeniden değerlenmiş idari para cezaları Kabahatler Kanunu madde 17/2 gereğince alt ve üst sınır göstermek suretiyle belirlendiğinden, işlenen kabahatin haksızlık içeriği, failin kusuru ve ekonomik durumu birlikte göz önünde bulundurularak uygulanması gerekecektir. Bu durumda failin kusuru ve haksızlık içeriği tüm veri sorumluları için aynı olamayacağından mali durum cezaların farklı uygulanmasını gerektirmektedir. Kurum veri sorumlularının mali durumlarını araştırmadan idari yaptırım kararı veremeyecektir.