Updated Administrative Fines under the Personal Data Protection Regulations and VERBIS Registration Reminder

Law No. 6698 on Personal Data Protection (PDPL), which came into force on April 7, 2016, in order to protect the fundamental rights and freedom of individuals, especially the privacy of personal life, and to regulate the obligations and the procedures and principles to be followed by individuals and legal entities that process personal data. An important result of the implementation of PDPL is the creation of the “Data Controllers Registry Information System” (VERBIS). VERBIS; refers to the information system, which can be accessed over the internet, created and managed by the Presidency of the Personal Data Protection Association, which data controllers will use for registration and other related transactions.

Real and legal persons who process personal data must be registered in the data processors’ registry before starting data processing. However it is possible to be held exempt from registry to data controllers’ registry by The Authority of Protection of Personal Data upon objective criteria set by the Authority regarding the nature, quantity, origin of the data processing or the transfer of it to third parties.

The obligation to register to VERBİS for the data controllers, which is established with the Directive on Data Controller’s Registry, has been moved from 31st December 2019to 30th June 2020 with the Authority’s decision no. 2019/387. We would like to remind the latest dates below according to the last decision:

Data Controller Last date for registry
 

Real or legal persons with yearly employee number more than 50 or financial balance sheet of at least 25 million Turkish liras

 

30.06.2020
 

Real or legal persons operating aboard

 

30.06.2020
 

Real or legal persons with yearly employee number less than 50and financial balance sheet of at most 25 million Turkish liras, that have personal data processing as main are of activity

 

30.09.2020
 

State institutions and organizations

 

31.12.2020

 

Regarding VERBIS registrations that should be completed by 30th June 2020, the following are necessary for businesses that fulfill the criteria given above: conducting necessary analysis studies via contacting with all departments and work units which process data,preparing the data inventory, completing registration of the company before VERBIS, additionally in order to effectuate the full compliance underPDPL, preparingexplicit consent letters and information letters, preparing the maintenance and destruction policies, identifying anyinadequaciesby reviewing websites and complying with other legal obligations that has been stipulated under the relevant regulations.

As of January 1st 2020, administrative fines of36,053 Turkish liras to 1,802,641 Turkish liras are envisaged for those who act against the obligation to register and report to the data controllers’ registry. Additionally within the scope of administrative fines updated as of January 1st 2020, it has been stipulated that an administrative fine of 27,040 Turkish liras to 1,802,641 Turkish liras will be applied to those who do not comply with the obligations regarding protection of personal data; an administrative fine of 9,013 Turkish liras to 180,264 Turkish liras will be applied for failure of informing data subjects; and finally an administrative fine of 45,066 Turkish liras to 1,802,641 Turkish liras will be applied to those who do not abide by the decisions of the Authorityof Protection of Personal Data.

As GÜR LAW FIRM, we are at your side with our experienced lawyers to help you with any problems related to KVKK, which is still in the transition period, and to conduct your compliance process. If you have any further questions, you can always consult us.

For further enquiries please contact

Corporate Law Department – Attorney Serra Haviyo   serra@gurlaw.com

info@gurlaw.com

Sümbül sok. No: 61 Levent İstanbul

Phone No: +90 212 325 90 20

www.gurlaw.com


Kişisel Verilerin Korunması Mevzuatı Kapsamında Güncellenen İdari Para Cezaları ve VERBİS’e Kayıt Hatırlatması

Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacı ile 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) uygulamaya geçişinin önemli bir sonucu “Veri Sorumluları Sicil Bilgi Sistemi” (VERBİS)’in oluşturulmasıdır.VERBİS; Veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemini ifade eder.

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce veri sorumluları siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle,  Kişisel Verileri Koruma Kurulu tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilmektedir.

Veri Sorumluları Sicili Hakkında Yönetmelik ile veri sorumlularına getirilen VERBİS’ekayıt zorunluluğu, Kişisel Verileri Koruma Kurulu’nun 2019/387 sayılı kararı ile 31 Aralık 2019 tarihinden 30 Haziran 2020 tarihine uzatılmıştır. İlgili kararda düzenlenen son kayıt tarihlerinin aşağıdaki şekilde olduğunu hatırlatmak isteriz:

Veri Sorumlusu Kayıt için son tarih
 

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişiler

30.06.2020
 

Yurtdışında yerleşik gerçek ve tüzel kişiler

30.06.2020
 

Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi

30.09.2020
 

Kamu kurum ve kuruluşları

31.12.2020

 

30 Haziran 2020 tarihine kadar tamamlanması gereken VERBİS sicil kayıt işlemlerine yönelik olarak; yukarıda yer alan kriterleri sağlayan şirketler bünyesindeki veri işleyen departman/iş birimlerinin tamamı ile görüşmelerin yürütülerek analiz çalışması yapılması, veri envanterlerinin kaleme alınması, bu doğrultuda sicil kaydının yapılması, ilaveten KVKK mevzuatı kapsamındaki tam kapsamlı uyumun yerine getirilmesine ilişkin olarak gerekli aydınlatma ve açık rıza beyanlarının kaleme alınması, saklama ve imha politikalarının oluşturulması, web sitelerinin gözden geçirilerek eksikliklerin belirlenmesi ve ilgili mevzuatın öngördüğü sair yükümlülüklerin yerine getirilmesi gerekmektedir.

1 Ocak 2020 itibariyle veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında36.053 Türk lirasından 1.802.641 Türk lirasına kadar idari para cezası öngörülmüştür. İlaveten yine 1 Ocak 2020 itibariyle güncellenen KVKK cezaları kapsamında; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 27.040 Türk lirasından 1.802.641 Türk lirasına kadar; aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.013 Türk lirasından 180.264 Türk lirasına kadar ve Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirmeyenler hakkında ise 45.066 Türk lirasından 1.802.641 Türk lirasına kadar idari para cezası uygulanacağı öngörülmüştür.

Hala uygulamaya geçiş dönemi devam eden KVKK’yla ilgili her türlü sorununuza yardımcı olmak ve uyum sürecinizi gerçekleştirmek için GÜR LAW FIRM olarak alanında tecrübeli avukatlarımızla yanınızdayız. Herhangi bir sorunuz olması halinde bizlere her zaman danışabilirsiniz.

Daha fazla bilgi ve sorularınız için

Ticaret ve Şirketler Hukuku Departmanı – Avukat Serra Haviyo serra@gurlaw.com

info@gurlaw.com

Sümbül sok. No: 61 Levent İstanbul

Tel: +90 212 325 90 20

www.gurlaw.com