Kişisel Verilerin Korunması Kanunu’nu (KVKK) incelediğimizde; kişisel verileri işleyen gerçek ve tüzel kişilerin bu Kanun hükümlerine tabi olacağı açıkça ortaya koyulmuştur. Tüzel kişiliğe sahip olan dernek, vakıf ve sendika özel hukuk tüzel kişisidir. Bu yazımızda kişisel verilerin işlenmesinde ve korunmasında bu özel hukuk tüzel kişilerin yükümlülüklerini ve muafiyetlerini ele alacağız.
Öncelikle tanımlarına baktığımızda;
- Dernek: 5253 Sayılı Dernek Kanunu’nda ‘kazanç paylaşma dışında, kanunlarla yasaklanmamış belirli ve ortak bir amacı gerçekleştirmek üzere, en az yedi gerçek veya tüzel kişinin, bilgi ve çalışmalarını sürekli olarak birleştirmek suretiyle oluşturdukları tüzel kişiliğe sahip kişi topluluklarını,’ ifade etmiştir.
- Vakıf: 4721 Sayılı Türk Medeni Kanunu’nda 101 md.’ Vakıflar, gerçek veya tüzel kişilerin yeterli mal ve hakları belirli ve sürekli bir amaca özgülemeleriyle oluşan tüzel kişiliğe sahip mal topluluklarıdır’ şeklinde tanımlamıştır.
- Sendika: 6356 Sayılı Sendika ve Toplu İş Sözleşmesi Kanunu’nda ‘İşçilerin veya işverenlerin çalışma ilişkilerinde, ortak ekonomik ve sosyal hak ve çıkarlarını korumak ve geliştirmek için en az yedi işçi veya işverenin bir araya gelerek bir işkolunda faaliyette bulunmak üzere oluşturdukları tüzel kişiliğe sahip kuruluşları,’ ifade etmiştir.
Tanımlarına da baktığımızda sivil toplum örgütleri belirli sayıda kişilerin bir araya gelerek güçlerini birleştirerek ortaya çıkan topluluklardır ve bu nedenle işin doğası gereği kişisel verilerin elde edilmesi, kaydedilmesi gibi durumlar söz konusudur ve kişisel verilerin işlendiği yerde de karşımıza muhakkak Kişisel Verilerin Korunması Kanunu çıkacaktır.
KVKK’nın veri sorumlularına verdiği yükümlülükler açısından incelediğimizde;
- VERBİS-Veri Sorumluları Sicil Bilgi Sistemine Kayıt Yükümlülüğü
Bildiğimiz üzere veri sorumluları kişisel verileri işlemeye başlamadan önce VERBİS’e kaydolmak ve bildirimde bulunmak zorundadır. Kanun’un 16 md.’de Kurul tarafından VERBİS’ e kayıtta istisnalar getirilebileceği ve istisnaları belirlerken Kurul’un nelere dikkat edeceğine ilişkin hususların Yönetmelikle belirleneceği belirtilmiştir.
Bu hüküm doğrultusunda Kurul 02.04.2018 Tarihli ve 2018/32 Sayılı Kararı ile
- 5253 Sayılı Kanun ile kurulmuş Dernekler,
- 5737 Sayılı Kanun ile kurulmuş Vakıflar,
- 6356 Sayılı Kanun ile kurulmuş Sendikalar, yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel verileri işleyenlerin VERBİS kayıt yükümlülüğünden muaf olduğuna karar vermiştir.
Daha sonrasında Kurul’un 26.11.2019 Tarihli ve 2019/353 Sayılı Karar’ında kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik ifadesinden ‘kendisine bağış yapılanların’ da dâhil olduğunu ve dernek, vakıf, sendikanın faaliyet alanıyla ilgili olması konusunda açıklayıcı karar vermiştir.
22.04.2020 tarihli 2020/135 Sayılı Karar ile de ilgili 2018/32 Sayılı Kararında değişikliğine gitmiştir. Buna göre Türkiye’de yerleşik olan dernek, vakıf ve sendikaların VERBİS kayıt yükümlülüğünden muaf olduğunu belirtmiştir. Artık VERBİS kayıtta Türkiye’de yerleşik olup olmamasına göre bir farklılık bulunmaktadır.
Kurul’un dernek, vakıf ve sendikalara ilişkin istisnalara ilişkin verdiği kararda dernek, vakıf ve sendikalara ait veya bağlı bulunan İktisadi İşletmelere ilişkin hüküm bulunmadığı için bir boşluk bulunmakta idi. Kurul bu boşluğa ilişkin ise 09.06.2021 Tarihli ve 2021/571 Sayılı Karar ile “Türkiye’de yerleşik dernek, vakıf ve sendikaların kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” için VERBİS kaydından istisna tutmuştur.
Kurul‘un dernek, vakıf ve sendikalar hakkında birden fazla verdiği muafiyete ilişkin kararları kısaca özetlemek gerekirse VERBİS kayıt yükümlülüğü ile karşı karşıya kalacak olan ilgili kuruluşlar şunlardır:
- Türkiye’de yerleşik bulunmayan bütün dernek, vakıf ve sendikalar,
- Türkiye’de yerleşik olup İktisadi İşletmesi bulunan dernek, vakıf ve sendikalardan aşağıdaki durumlardan en az birisini karşılayanlar,
- Yıllık çalışan sayısı 50’ den fazla olan ve İktisadi İşletmesi bulunan dernek, vakıf ve sendikalar,
- Yıllık mali bilanço toplamı 25 milyon TL’ den fazla olan İktisadi İşletmesi bulunan dernek, vakıf ve sendikalar,
- Ayrıca yukarıda sayılan çalışan sayısı ve bilanço şartını gerçekleştirmeseler bile ana faaliyetleri gereği özel nitelikli kişisel veri işleyen İktisadi İşletmesi bulunan dernek, vakıf ve Sendikalar VERBİS’ e kaydolmakla yükümlüdür.
VERBİS’e bildirim esnasında yalnızca söz konusu iktisadi işletmeye ilişkin kişisel veriler bildirime konu edilir.
- Aydınlatma Yükümlülüğü ve Açık Rıza
Kişisel verileri işleyen veri sorumlusu ya da yetkilendirdiği kişiler tarafından, kişisel verilerin elde edileceği esnada ilgili kişilerin bu konu hakkında bilgilendirilmesine ilişkin bir yükümlülüktür. Kanundaki bu tanımıyla dernek, vakıf ve sendikalar veri sorumlusu olduğu için bu yükümlülüğü yerine getirmek zorundadır. Çalışanlarının, üyelerinin, bağışçılarının ya da ilgili kişilerin kişisel verilerini işlemeden önce aydınlatma yükümlülüğünü yerine getirmek ve gerekli hallerde ilgili kişilerin hukuka uygun şekilde, özgür iradelerine dayalı açık rızalarını almak zorundadır.
Dernek, vakıf ve sendikalar amaçlarına bağlı olarak işledikleri kişisel verileri saklayabileceklerdir. İşlenen kişisel verilerin saklanması için belirlenen azami süreler bittikten sonra imha edilmesi gerekmektedir. Bu nedenle veri sorumluları saklama, silme, yok etme veya anonim hale getirme süreçlerini içeren veri politikası hazırlamak zorundadırlar. Saklama ve İmha Politika metinlerinde imha süreçlerinin nasıl yapılacağı, iç denetim mekanizmalarının nasıl işletileceği ile ilgili bilgilendirmeler de bulunur. Ayrıca veri sorumlularının, ilgili kişilerin başvurularını yönetebilecek bir süreç kurgulaması ve aktif olarak yönetmesi gerekmektedir. Başvuru süreçlerinin ilk aşaması ilgili kişi başvuru formudur. Bu aşamalarda kanunen belirlenen süreler olması nedeniyle kuruluşlar idari para cezaları ile karşılaşabilir. Söz konusu veri sorumluları ayrıca internet sitelerinde elde edeceği verilere ilişkin çerez politikaları başta olmak üzere aydınlatma metinlerini mevzuata uygun olarak hazırlamak zorundadırlar.
- Kişisel Verilerin Korunmasına İlişkin Teknik Tedbirleri Alma
Kişisel verilerin korunmasına ilişkin dernek, vakıf ve sendikalar gerekli idari ve teknik yükümlülükleri yerine getirmek zorundadır. Kanun hükümlerine ve Kurul’un verdiği kararları dikkate almak zorundadır. Teknik olarak alınacak tedbirler sınırlı bir sayma yöntemiyle tespit edilmemiştir. Burada organizasyonun büyüklüğüne göre alınacak tedbirler değişebilir fakat başlıca tedbirler şu şekildedir; sızma testi, güvenlik duvarı, güncel anti-virüs programları ve diğer ağ güvenlik cihaz ve programları. Bu şekilde organizasyonlar teknik alt yapısını güçlendirerek, saldırılara karşı korumakla yükümlüdür. Veri sorumluları, kişisel verilerin korunmasına yönelik gerekli tedbirleri almadıkları zaman idari para cezaları ve ilgili kişilerin yürüteceği hukuki süreçler neticesinde maddi/manevi tazminat cezaları ile karşılaşabilir.
- İlgili Kişilerin Bilgi Taleplerine Cevap Verme
İlgili kişiler, kişisel verilerini işleyen dernek, vakıf ve sendikalardan her zaman bilgi talebinde bulunma hakkına sahiptir. Veri sorumlusu olan dernek, vakıf ve sendikalar bu bilgi talebine cevap vermek ile yükümlüdürler. Veri sorumlusu, ilgili kişiye, kendisine başvurma yolunu belirterek bir talep formu düzenleme fırsatı sağlamalıdır. İlgili kişilerin taleplerine karşı en fazla 30 gün içerisinde cevap vermek zorundadır. Söz konusu süreçler neticesinde Kurul’un verdiği nihai kararlara da uymalıdır.
Yukarıda da açıklamaya çalıştığımız üzere dernek, vakıf ve sendikalar tüzel kişiler olduğu için yaptıkları işin doğası gereği de kişisel verileri işledikleri için KVKK’ya uymak zorundadırlar.
Şunu da belirtmekte fayda vardır; dernek, vakıf ve sendika üyeliği Kanunda sayılan özel nitelikli kişisel verilerdendir.
Organizasyonunuzun, KVKK uyumluluğu ve yükümlülüklerinizle ilgili her türlü bilgi için iletişime geçiniz.