ICO Nedir?
ICO (Information Commissioner's Office), İngiltere'nin veri koruma ve bilgi hakları düzenleyicisidir. Türkçe'de "Bilgi Komiserliği Ofisi" olarak çevrilebilir. ICO, İngiltere'deki kişisel verilerin korunmasını denetleyen bağımsız bir kamu kurumudur.
ICO'nun temel görevi, İngiltere'deki veri koruma yasalarının uygulanmasını sağlamaktır. Bu yasaların başında UK GDPR (United Kingdom General Data Protection Regulation) ve Data Protection Act 2018 gelir. Bu düzenlemeler, şirketlerin müşterilerinin, çalışanlarının ve iş ortaklarının kişisel verilerini nasıl topladığını, sakladığını, işlediğini ve paylaştığını düzenler.
Kısacası ICO, İngiltere'deki kişisel verilerin koruyucusudur ve kişisel veri işleyen her kuruluşun ICO ile ilişkisi vardır.
ICO Kaydı Nedir?
ICO kaydı, İngiltere'de kişisel veri işleyen şirketlerin ICO'nun Data Protection Register (Veri Koruma Sicili) adlı resmi kayıt sistemine kayıt olmasıdır. Bu kayıt, İngiltere'de resmi adıyla "Data Protection Fee" (Veri Koruma Ücreti) ödenerek yapılır.
ICO kaydı yaptığınızda şirketiniz, kişisel veri işlediğini resmi olarak beyan etmiş olur. Kaydınız ICO'nun online sicilinde herkese açık olarak görünür ve herkes şirketinizin veri koruma kaydını sorgulayabilir.
ICO Kaydı Zorunlu mu?
Kısa cevap: Kişisel veri işleyen hemen hemen her İngiltere şirketi için evet, zorunludur.
İngiltere yasalarına göre kişisel veri işleyen her kuruluş, ICO'ya kayıt olmak ve yıllık veri koruma ücretini ödemek zorundadır. Kayıt olmaması gereken çok sınırlı istisnalar vardır.
Kişisel Veri İşlemek Ne Demek?
Kişisel veri, bir gerçek kişiyi doğrudan veya dolaylı olarak tanımlayabilecek her türlü bilgidir. Örnekler:
- Müşterilerinizin adı, e-posta adresi, telefon numarası
- Çalışanlarınızın maaş bilgileri, adres bilgileri
- Web sitenizi ziyaret edenlerin IP adresleri, çerez verileri
- Müşteri sipariş bilgileri, ödeme geçmişi
- E-posta listesi abonelerinin bilgileri
- Sosyal medya üzerinden toplanan kullanıcı bilgileri
- CCTV (güvenlik kamerası) kayıtları
"İşlemek" ise bu verileri toplamak, saklamak, düzenlemek, kullanmak, paylaşmak, silmek veya herhangi bir şekilde üzerinde işlem yapmak anlamına gelir.
Pratikte Bu Ne Anlama Gelir?
Eğer şirketiniz aşağıdakilerden herhangi birini yapıyorsa kişisel veri işliyorsunuz demektir ve ICO kaydı zorunludur:
E-ticaret yapıyorsanız: Müşterilerinizin adı, adresi, e-postası ve ödeme bilgilerini topluyorsunuz.
Web siteniz varsa: Google Analytics, çerezler veya iletişim formları aracılığıyla ziyaretçi verisi topluyorsunuz.
E-posta pazarlaması yapıyorsanız: Abone listenizdeki kişilerin e-posta adreslerini işliyorsunuz.
Freelance hizmet veriyorsanız: Müşterilerinizin iletişim bilgilerini ve proje detaylarını saklıyorsunuz.
Çalışan istihdam ediyorsanız: Çalışanlarınızın kişisel ve maaş bilgilerini tutuyorsunuz.
CRM veya müşteri veritabanı kullanıyorsanız: Müşteri bilgilerini sistematik olarak saklıyorsunuz.
Sosyal medya reklamı yapıyorsanız: Hedef kitle verilerini kullanıyorsunuz.
Görüldüğü üzere, günümüzde faaliyet gösteren neredeyse her şirket bir şekilde kişisel veri işlemektedir. Bu nedenle ICO kaydı, İngiltere'deki şirketlerin büyük çoğunluğu için zorunludur.
ICO Kaydından Muaf Olan Durumlar
Çok sınırlı sayıda istisna vardır:
Sadece kişisel amaçlarla veri işleyenler: Örneğin kişisel adres defteriniz. Bu ticari faaliyet kapsamına girmez.
Seçilmiş kâr amacı gütmeyen kuruluşlar: Belirli koşulları karşılayan bazı küçük hayır kurumları ve gönüllü kuruluşlar muaf olabilir.
Hiçbir şekilde kişisel veri işlemeyen şirketler: Eğer şirketiniz gerçekten hiçbir kişisel veri toplamıyor, saklamıyor ve işlemiyorsa kayıt zorunluluğu yoktur. Ancak pratikte bu durum son derece nadirdir.
Emin olamıyorsanız ICO'nun web sitesindeki self-assessment (öz değerlendirme) aracını kullanarak şirketinizin kayıt yükümlülüğünü kontrol edebilirsiniz.
ICO Kayıt Ücreti Ne Kadar?
ICO kayıt ücreti şirketinizin büyüklüğüne göre kademelere ayrılır. Kademe belirleme kriterleri şirketinizin yıllık cirosu ve çalışan sayısına göre değişir. Türkiye'den İngiltere'de şirket kuran girişimcilerin büyük çoğunluğu en düşük ücret kademesine girer.
Ücret her yıl yenilenir ve ödemeyi banka kartı veya doğrudan ödeme talimatı (Direct Debit) ile yapabilirsiniz. Direct Debit tercih ederseniz küçük bir indirim uygulanır ve yıllık yenileme otomatik olarak gerçekleşir.
Güncel ücret bilgileri ve kademe detayları için Hizmetler sayfamızı inceleyebilirsiniz.
ICO Kaydı Nasıl Yapılır?
ICO kaydı tamamen online olarak gerçekleştirilebilir. Adım adım süreç şöyledir:
1. ICO Web Sitesine Girin
ICO'nun resmi web sitesindeki kayıt sayfasına gidin. Kayıt işlemi "Register" veya "Pay your data protection fee" bölümünden başlatılır.
2. Şirket Bilgilerinizi Girin
Şirket adı, şirket numarası (Company Number), kayıtlı ofis adresi ve iletişim bilgilerinizi girersiniz. ICO, Companies House kayıtlarından şirket bilgilerinizi doğrulayabilir.
3. Veri İşleme Faaliyetlerinizi Belirtin
Şirketinizin ne tür kişisel veriler işlediğini, bu verileri hangi amaçlarla kullandığını ve kiminle paylaştığını belirten soruları yanıtlarsınız. Bu sorular genellikle çoktan seçmeli formattadır ve teknik bilgi gerektirmez.
4. Ücret Kademesini Seçin
Şirketinizin cirosu ve çalışan sayısına göre uygun ücret kademesi belirlenir. Çoğu yeni kurulan şirket için bu en düşük kademe olacaktır.
5. Ödeme Yapın
Banka kartı veya Direct Debit ile ödemenizi tamamlarsınız. Direct Debit tercih ederseniz indirim alırsınız.
6. Kayıt Onayı
Ödeme tamamlandığında ICO kaydınız aktif olur. Kayıt numaranız (Registration Number) size e-posta ile iletilir ve ICO'nun online sicilinde şirketiniz görünür hale gelir.
Kayıt işlemi genellikle birkaç dakika içinde tamamlanır.
ICO Kaydı Yapmazsam Ne Olur?
ICO kaydı yapmamak ciddi sonuçları olan bir ihlaldir:
Para cezası: ICO, kayıt yükümlülüğünü yerine getirmeyen şirketlere 4.000 GBP'ye kadar sabit para cezası kesebilir. Bu ceza, kayıt ücretinin çok üzerinde önemli bir tutardır.
Cezai soruşturma: ICO, kayıt yükümlülüğünü kasten ihlal eden şirketler hakkında cezai soruşturma başlatabilir.
İtibar kaybı: ICO sicilinde kayıtlı olmamak, müşterileriniz ve iş ortaklarınız nezdinde güven kaybına yol açabilir. Özellikle B2B iş yapan şirketler için iş ortakları, veri koruma uyumluluğunuzu kontrol edebilir.
Daha büyük cezalara kapı açar: ICO kaydı yalnızca başlangıçtır. UK GDPR kapsamında veri ihlali yaşayan şirketlere çok daha yüksek cezalar (yıllık cironun %4'üne kadar veya 17,5 milyon GBP'ye kadar) uygulanabilir. Kayıtlı olmamak, ihlal durumunda durumunuzu daha da ağırlaştırır.
Düşük bir yıllık ücretle bu risklerin tamamından korunabilirsiniz. ICO kaydını ihmal etmek, küçük bir tasarruf için büyük bir risk almak demektir.
ICO Kaydı Ne Zaman Yapılmalı?
ICO kaydını, şirketiniz kişisel veri işlemeye başlamadan önce veya başladığı anda yapmanız gerekir. Pratikte bu şu anlama gelir:
Web sitenizi yayına almadan önce: Web sitenizde iletişim formu, çerez, analitik veya herhangi bir veri toplama aracı varsa siteyi yayına almadan önce kayıt olun.
İlk müşterinizi almadan önce: Müşteri bilgilerini toplamaya başlayacağınız anda kayıtlı olmanız gerekir.
E-posta listesi oluşturmadan önce: E-posta pazarlaması yapacaksanız abone toplamaya başlamadan önce kayıt olun.
Çalışan istihdam etmeden önce: Çalışan kişisel verilerini işlemeye başlamadan önce kayıtlı olun.
Genel bir kural olarak şirketiniz ticari faaliyete başladığında ICO kaydınızın tamamlanmış olması idealdir.
ICO Kaydından Sonra Yükümlülükleriniz
ICO kaydı tek başına yeterli değildir. Kayıt olduktan sonra UK GDPR ve Data Protection Act 2018 kapsamında şu yükümlülükleri de yerine getirmeniz gerekir:
Privacy Policy (Gizlilik Politikası)
Web sitenizde ve uygulamanızda bir gizlilik politikası yayınlamanız zorunludur. Bu politikada şirketinizin hangi kişisel verileri topladığını, neden topladığını, nasıl kullandığını, kiminle paylaştığını ve kişilerin haklarını açıkça belirtmeniz gerekir.
Cookie Policy (Çerez Politikası)
Web sitenizde çerez kullanıyorsanız bir çerez politikası yayınlamanız ve ziyaretçilerden çerez onayı almanız gerekir. Çerez banner'ı (onay çubuğu) kullanarak ziyaretçilerin çerez tercihlerini yönetmelerini sağlamanız önerilir.
Veri Güvenliği
Topladığınız kişisel verileri uygun teknik ve organizasyonel önlemlerle korumanız gerekir. Güçlü şifreler, şifrelenmiş bağlantılar (SSL/HTTPS), erişim kontrolü ve düzenli yedekleme gibi önlemler temel güvenlik gereksinimleridir.
Veri İhlali Bildirimi
Bir veri ihlali yaşanırsa (verilerin yetkisiz kişilerce erişilmesi, kaybolması veya çalınması) ICO'ya 72 saat içinde bildirimde bulunmanız gerekir. Eğer ihlal bireylerin hakları için yüksek risk oluşturuyorsa ilgili kişilere de bildirim yapmanız zorunludur.
Veri Saklama Süresi
Kişisel verileri gerektiğinden uzun süre saklamamanız gerekir. Verinin toplanma amacı ortadan kalktığında veriyi silmeniz veya anonimleştirmeniz beklenir.
Yıllık Yenileme
ICO kaydınız her yıl yenilenir. Yenileme tarihi yaklaştığında ICO size e-posta ile hatırlatma gönderir. Direct Debit ile ödeme yapıyorsanız yenileme otomatik gerçekleşir.
ICO Kaydı ile KVKK Arasındaki Fark
Türkiye'deki KVKK (Kişisel Verilerin Korunması Kanunu) ve İngiltere'deki UK GDPR benzer amaçlara hizmet eder ancak farklı hukuk sistemlerine aittir:
| ICO / UK GDPR | KVKK | |
|---|---|---|
| Ülke | İngiltere | Türkiye |
| Düzenleyici kurum | ICO | KVKK Kurumu (VERBİS) |
| Kayıt sistemi | ICO Data Protection Register | VERBİS |
| Ceza potansiyeli | 17,5 milyon GBP'ye kadar veya cironun %4'ü | 1.966.862 TL'ye kadar (2024) |
İngiltere şirketiniz İngiltere'de kişisel veri işliyorsa UK GDPR ve ICO kurallarına tabidir. Eğer aynı şirket Türkiye'deki kişilerin verilerini de işliyorsa KVKK yükümlülükleri de devreye girebilir. Bu durumda her iki düzenlemeye de uyum sağlamanız gerekebilir.
Sık Sorulan Sorular
Şirketim yeni kuruldu ve henüz faaliyete başlamadı. ICO kaydı yaptırmam gerekir mi?
Henüz kişisel veri işlemiyorsanız kayıt zorunlu değildir. Ancak ticari faaliyete başladığınızda, web sitenizi yayına aldığınızda veya müşteri bilgisi toplamaya başladığınızda hemen kayıt olmanız gerekir.
Dormant (uyuyan) şirketim var. ICO kaydı gerekli mi?
Eğer şirketiniz tamamen dormant durumdaysa ve hiçbir kişisel veri işlemiyorsa kayıt zorunlu değildir. Ancak şirketinizin bir web sitesi varsa veya herhangi bir şekilde kişisel veri topluyorsa dormant olsa bile kayıt gerekebilir.
ICO kaydımı online olarak kontrol edebilir miyim?
Evet. ICO'nun web sitesindeki Data Protection Register üzerinden şirket adı veya kayıt numarası ile arama yaparak kaydınızı doğrulayabilirsiniz.
ICO kaydını yenilemezse ne olur?
Kaydınızı yenilemezseniz ICO sizi sicilden çıkarır ve kayıt dışı kalmış olursunuz. Bu durumda kişisel veri işlemeye devam etmeniz yasadışı hale gelir ve para cezası riski doğar.
ICO kaydı Companies House'a bildirilir mi?
Hayır. ICO kaydı Companies House'tan tamamen bağımsızdır. ICO'nun kendi ayrı sicili vardır.
Birden fazla şirketim varsa her biri için ayrı kayıt mı gerekir?
Evet. Her tüzel kişilik ayrı bir ICO kaydı gerektirir. İki farklı limited şirketiniz varsa her biri için ayrı kayıt ve ayrı ücret ödemeniz gerekir.
anasirket.com ile ICO Kaydı
anasirket.com/ingiltere olarak şirket kuruluşunuzun ardından ICO kaydınızı da sizin için gerçekleştiriyoruz. İngilizce formlarla uğraşmanıza, hangi kademeyi seçeceğinizi araştırmanıza veya veri işleme faaliyetlerinizi nasıl tanımlayacağınızı düşünmenize gerek kalmaz. ICO kaydı hizmetimiz kapsamında başvurunuz eksiksiz ve doğru şekilde tamamlanır.
ICO kaydı dahil tüm hizmet detaylarımızı ve fiyatlarımızı görmek için Hizmetler sayfamızı inceleyebilirsiniz.
Sonuç
ICO kaydı, İngiltere'de kişisel veri işleyen her şirket için yasal bir zorunluluktur. Günümüzde web sitesi olan, müşteri bilgisi toplayan veya e-posta pazarlaması yapan hemen hemen her işletme bu kapsamdadır. Kayıt ücreti küçük işletmeler için düşüktür ve kayıt online olarak tamamlanır. Kayıt yaptırmamak ise 4.000 GBP'ye varan para cezalarına ve itibar kaybına yol açabilir.
Şirketinizi kurar kurmaz ICO kaydınızı yapın, gizlilik ve çerez politikalarınızı yayınlayın ve veri koruma yükümlülüklerinizi yerine getirin. Bu hem yasal uyumluluğunuzu sağlar hem de müşterilerinizin güvenini kazanmanızı destekler.
İngiltere'de şirket kurmak ve tüm yasal yükümlülükleriniz konusunda destek almak için anasirket.com/ingiltere sayfamızı ziyaret edin. Paket detayları ve fiyatlar için Hizmetler sayfamıza göz atabilirsiniz.
