Kişisel Verilerin Korunması Kanunu (“Kanun”), kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir.

Kanun kapsamında, veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir. Tüzel kişiliği temsil ve ilzama yetkili olan organ veya kişiler tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından da Kanunda bir farklılık gözetilmemiştir. Bu çerçevede hukuki ve cezai sorumluluk bakımından, kamu kuruluşlarına da tüzel kişilerin sorumluluğuna ilişkin genel hükümler uygulanır.

Kişisel verilerin elde edilmesi, muhafazası, açıklanması, aktarılması vb. kişisel veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi faaliyetidir. Bu kapsamda Kamu Kurum ve kuruluşlarının da günlük faaliyetlerini yerine getirirken Kanun’dan kaynaklı yükümlülüklerine uyması, bu faaliyetlerini bilinçli bir şekilde sürdürmesi ve Kanun kapsamında gerekli önlemleri alması yüksek önem arz etmektedir.Zira Kişisel Verileri Koruma Kurulu öngörülen önlemleri almayan veri sorumluları hakkında yüksek cezalara hükmetmektedir. Bu doğrultuda Kişisel Verilerin Korunması Kanunu’na aykırı olan uygulamalar karşısında, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılmaktadır.

Bilindiği üzere Kanunun 16. maddesi gereği, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce kısa adı VERBİS olan Veri Sorumluları Sicil Bilgi Sistemine kaydolmak zorundadır. Bu kapsamda, Kamu kurum ve kuruluşu veri sorumlularının da VERBİS’e kayıt yükümlülüğü başlamıştır. Kişisel Verileri Koruma Kurumu’nun sicile kayıt yükümlülüğüne ilişkin son yayımladığı duyuru kapsamında Kamu kurum ve kuruluşu veri sorumlularının VERBİS’e kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31.03.2021 tarihinde sona ermektedir.

 

The provisions of Personal Data Protection Law (“Law”) shall apply to natural persons whose personal data are processed and to natural or legal persons processing such data wholly or partially by automated or non-automated means which provided that form part of a data filing system.  Accordingly, there is no difference between the private entities and public entities in terms of applications of rules and procedure, so that all entities shall be in compliance with the rules under the Law.

According to Law, data controller means the natural or legal person who determines the purposes and means of processing personal data and is responsible for the establishment and management of the data filing system. These persons may be natural persons or legal persons such as public institutions, companies, associations or foundations.  This obligation will be fulfilled by the bodies or persons authorized to represent and make binding transactions on behalf of the legal entity. The body or persons authorized to represent and bind the legal entity may assign a person or persons within the legal entity to fulfill the data controller obligations. In this regard, public entities do not differ from any private entity in terms of obligations under the Law. In this context, regarding legal and criminal liability, general provisions are applied to both private and public institutions.

Any transaction such as obtaining, preserving, disclosing, transferring personal data, etc. is considered as processing of personal data. Public institutions and organizations are constantly processing personal data in their daily operations, and it is of great importance that the daily transactions are carried out consciously of the obligations arising from the Law, and the necessary measures are taken within the scope of the Law. Because the Personal Data Protection Board imposes high penalties on data controllers that do not take necessary measures. In result of non-compliance with Law, the disciplinary provisions shall be applied to the civil servants and other public officers employed in the relevant public institutions and organisations and those employed in the public professional organizations upon the notice of the Board and the result is reported to the Board.

As it is known, in accordance with Article 16 of the Law, natural and legal persons who process personal data must register with the Data Controllers Registry Information System i.e. VERBIS. In this context, the obligation of public institution’s data controllers to register with VERBIS has started. Within the scope of the last announcement by the Personal Data Protection Board regarding the obligation to register in the registry, the period determined for the data controllers of the public institutions and organizations to fulfill their registration obligation to VERBIS expires on 31.03.2021.