Linkedin

Twitter

VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİNE (VERBİS) KAYITLARDA SON DÜZLÜĞE GİRİLİYOR

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihinde hayatımıza girmiş olmasına rağmen etkilerini son dönemlerde daha çok hissettirmiştir. KVKK’nın yürürlüğe girmesi ile birlikte kişisel veri işleyen veri sorumlularının yerine getirmesi gereken birçok yükümlülük mevcuttur. Bunların en başında “Veri Sorumluları Sicil Bilgi Sistemine” (VERBİS) kayıt yükümlülüğü gelmektedir. VERBİS’e kayıt yükümlülüğü bakımından kimi veri sorumluları için 31 Aralık 2019 tarihi son tarih olması nedeniyle akıllardaki birçok soruya yanıt olmak adına işbu yazının kaleme alınmıştır.

VERBİS NEDİR? / VERBİS’E KİMLER KAYIT OLABİLİR? / VERBİS’E KAYIT ZAMANI NE ZAMAN BİTİYOR?

VERBİS, veri sorumlularının kişisel veri işlemeye başlamadan önce ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. 6698 sayılı Kişisel Verilerin Korunması Kanununun 16. maddesi ve Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. maddesi uyarınca kişisel verileri işleyen gerçek ve tüzel kişiler (veri sorumluları), veri işlemeye başlamadan önce Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmak zorundadır. İşbu sicil kamuya açık tutulmakta olup şeffaflık sağlanmaktadır. Şeffaflık ilkesi ile benimsenen husus, VERBİS’e girilen bilgilerin görüntülenebilmesi ve varsa ihlalin tespiti ile kişisel verisi işlenen gerçek kişilerce verileri üzerinde kontrolün sağlanabilmesi ve hesap verilebilir olmasıdır. Söz konusu kontrol mekanizması ile de veri sorumlularının gelişigüzel veri işlemesinin önüne geçilmesi ve sadece Kanunda belirtilen işleme şartları mevcut ise kişisel verilerin işlenmesinin sağlanması amaçlanmıştır.

6698 sayılı KVKK’nın 16. Maddesine ve Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. Maddesine bakıldığında kişisel veri işleme faaliyetinde bulunan her gerçek ve tüzel kişinin veri işlemeye başlamadan önce VERBİS’e kayıt olma zorunluluğunun bulunduğu anlaşılmaktadır. Ancak Kişisel Verileri Koruma Kurulu bu hususta istisnalar getirerek bazı veri sorumlularını VERBİS’e kayıt olmaktan muaf tutmuştur. Bu çerçevede;

a) Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
b) 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler,
c) 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve Sorularla Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) KVKK Veri Yönetimi Dairesi Başkanlığı Sayfa 11 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
ç) 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler,
d) 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
e) Gümrük müşavirleri,
f) Arabulucular,
g) 01/06/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,
ğ) Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, VERBİS’e kayıt yükümlülüğünden Kurul kararı ile istisna tutulmuştur. Ancak bu veri sorumlularının isterlerse ki VERBİS’e kayıt olma imkanları bulunmaktadır. Bu hususta önemle belirtmek isteriz ki, bazı veri sorumluları açısından VERBİS’e kayıt yükümlülüğünün bulunmaması, kendilerinin Kişisel Verilerin Korunması Kanunu kapsamı dışında tutulduğu anlamına gelmemektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu hayatımıza girdiği günden beri kanun kapsamındaki veri sorumlularının, yerine getirmesi gereken birden fazla yükümlülük mevcut olup, VERBİS’e kayıt yükümlülüğü bahse konu uyum sürecinin sadece birparçasıdır. Ne yazık ki, toplum genelinde KVKK’ya uyum sürecine ilişkin tek yükümlülüğün VERBİS’e kayıt olmakla sona ereceği mevcuttur. Bu algı çok yanlış ve yanıltıcıdır. Zira sadece VERBİS’e kayıt olma yükümlülüğü yerine getirildiği zaman diğer tüm veri işleme faaliyetleri bakımından da kişisel veri işleme süreci sona ermemektedir. Yine VERBİS’e kayıt olmak ile birlikte veri sorumlusunun bir kenara çekilmesi de beklenmemekte, kişisel veri işleme faaliyeti dinamik bir süreç olduğundan bu sürecin takibinin de yapılması gerekmektedir. Şöyle ki, Sicile bildirilen bilgilerde değişiklik olduğu taktirde bu hususun değişikliğin meydana geldiği tarihten itibaren yedi gün içinde Sicile bildirilmesi, VERBİS üzerinden bilgi girişinin yapılması gerekmektedir.

Şirketlerin büyük çoğunluğunu ilgilendiren VERBİS’e son kayıt zamanı ve koşulları ile ilgili olarak da Kişisel Verileri Koruma Kurulu tarafından 03.09.2019 Tarihli ve 2019/265 Sayılı Kurul Kararı yayımlanarak aslında 30.09.2019 tarihinde son bulacak sürenin uzatılması yönünde karar tesis edilmiştir. Kurul Kararı uyarınca şirketlerin büyük bir kısmı için VERBİS’e kayıt 31.12.2019 tarihinde sona eriyor. Buna göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 Milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları 31.12.2019 tarihine kadar VERBİS sistemine kaydolmak zorundadır. Bununla birlikte yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 Milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının en geç 31.03.2020 tarihine kadar, Kamu Kurum ve Kuruluşu veri sorumlularının da en geç 30.06.2020 tarihine kadar VERBİS sistemine kayıt olma zorunluluğu bulunmaktadır. Ancak çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 Milyon TL’den az olan veri sorumluları açısından VERBİS’e kayıt zorunluluğu bulunmamaktadır. Bu kriteri sağlayan veri sorumlularının ihtiyari olarak VERBİS’e kayıt olabileceği söylenebilir. Burada şu hususu da belirtmek isteriz ki, bu sürenin tamamlanmasından sonraki bir tarihte veri sorumlusunun kayıt yükümlüsü haline gelmesi söz konusu olur ise kişinin VERBİS’e kayıt olma yükümlülüğü, kayıt yükümlüsü olduğu tarihten itibaren 30 günlük sürede gerçekleşecektir. Bu anlamda VERBİS’e kayıt yükümlülüğü bulunmayan veri sorumlularının da süreci takip etmesi önerilmektedir.

VERBİS’E KAYIT YAPARKEN GEREKLİ BİLGİLER NELER?

İkincil mevzuat olan Veri Sorumluları Sicili Hakkında Yönetmeliğinin 9. Maddesi uyarınca VERBİS’e kayıt esnasında gerekli bilgiler aşağıdaki şekildedir;

► Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
► Kişisel verilerin hangi amaçla işleneceği,
► Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
► Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
► Yabancı ülkelere aktarımı öngörülen kişisel veriler,
► Kanunun 12nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
► Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.

VERBİS’E KAYIT İÇİN YAPILACAKLAR NELERDİR?

A. İSTİSNA KAPSAMINDA OLUNUP OLUNMADIĞINI DEĞERLENDİRİLMELİ
Öncelikle VERBİS sistemine kayıt yaptırması zorunlu olan veri sorumlularının tespit edilmesi gerekmektedir. Yukarıda bu hususa ilişkin gerekli açıklamalar yapılmış olup, tekrara düşmemek açısından burada değinilmemiştir. Detaylı açıklamalarımız çerçevesinde öncelikle veri işleyen her veri sorumlusunun VERBİS’e kayıt yükümlülüğünün olup olmadığının irdelemesi ve sonuca göre aksiyon alması önerilmektedir.

B. BELİRTİLEN SÜRELER İÇERİSİNDE BAŞVURU İŞLEMLERİNE BAŞLANMASI
Veri sorumlusunun VERBİS’e kayıtlı olma yükümlülüğünde olduğu sonucuna ulaşılır ise, VERBİS’e kayıt yükümlülüğünün Kurum tarafından belirlenen sürede ifa edilmesi gerekmektedir. Bu süreler de yukarıda detaylı bir şekilde belirtilmişse de, önemine binaen yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ve yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olduğunun ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.12.2019 tarihine kadar süre verildiğini yeniden belirtmek isteriz. Görüleceği üzere belirlenen sürelerin sonuna doğru gelinmektedir. Bu kapsamda VERBİS’e kayıt yükümlülüğünün yerine getirilmesi için bir an evvel çalışmalara başlanması gerekmektedir.

C. VERİ SORUMLUSU YÖNETİCİ GİRİŞ AŞAMASINI TAMAMLAMA
VERBİS’e giriş için Kurum, öncelikle veri sorumlusu adına yönetici atanmasını istemektedir. Bu nedenle kişisel verilerin korunması alanında veri sorumlusu adına imzaya yetkililerce veri sorumlusunu tanıtan standart bir başvuru formu düzenlenerek Kuruma gönderilecektir. Burada Veri Sorumlusu olan bizatihi tüzelkişiliğin bilgileri yer alacaktır. Bunun için Veri Sorumlusu Yönetici Girişi butonuna tıklanarak istenilen bilgiler doldurulacak ve eğer başvuru formu düzenlenirken KEP adresi belirtilmemişse; sisteme girişteki “Başvuru Formunu Görüntüle” butonuna tıklanarak oluşturulacak PDF formatındaki bilgi formunun çıktısını alınıp, ıslak imzalı ve kaşeli veya mühürlü şekilde Kişisel Verileri Koruma Kurumu Başkanlığına (Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Balgat/Çankaya/ANKARA) posta/kargo yoluyla iletilmesi gerekecektir. Kuruma birçok başvuru yapıldığı için KEP adresi yok ise bir an evvel girişin yapılması gerektiğini beyan etmek isteriz. Eğer ki başvuru formu düzenlenirken KEP adresi belirtilmişse; sisteme girişteki “Başvuru Formunu Görüntüle” butonuna tıklanarak oluşturulacak PDF formatındaki bilgi formu, KEP adresi aracılığıyla ve “subject” (konu) bölümüne de Kurumca iletilen maildeki “Başvuru Numarası” yazılarak Kuruma ait olan KEP adresine kvkk.verbis@hs01.kep.tr iletilmesi gerekmektedir.

Kişisel Verileri Koruma Kurumu Başkanlığınca gerekli incelemeler yapıldıktan sonra, başvuru formunda belirtilen elektronik posta adresine “Kullanıcı Adı” ve “Parola” gönderimi sağlanır ve VERBİS’e kayıt için irtibat kişisi atanma işlemine başlanabilir.

D. İRTİBAT KİŞİSİ ATAMA

Kullanıcı adı ve parola Veri Sorumlusu Yönetici Girişinde kullanılır. Açılan ekranda irtibat kişisi atama sekmesinin seçilerek işlemlerin yerine getirilmesi gerekmektedir. İrtibat kişisi: Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi ifade etmektedir.
Türkiye’de yerleşik olan veri sorumluları ile Türkiye’de yerleşik olmayan veri sorumluları adına veri sorumlusu temsilcileri, Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. Kurum’a bildirilecek, Kurum ve başvurularla ilgili iletişimi sağlayacak, Kurum ve başvurularda ulaşılabilir olacak, Kurum’la her türlü iletişim bilgisini paylaşacak kişi olan irtibat kişisinin iyi seçilmesi gerekmektedir. İrtibat Kişisi VERBİS’e herhangi bir kullanıcı adı ve parolaya ihtiyaç duymadan kendisine ait e-Devlet Şifresiyle sisteme giriş yapmaktadır. İrtibat kişisi aracılığıyla sisteme giriş yapıldığından öncelikle irtibat kişisinin profilini güncellemesi gerekmektedir. Bu işlem yapılmadan veri işlemeye ait bilgilerin girilmesine geçilemeyecektir.

E. SİCİLE KAYIT-BİLGİLERİN GİRİLMESİ

İrtibat kişisi tarafından sisteme giriş yapıldığında ve irtibat kişisinin profili %100 güncellendiğinde ‘’Yeni Bildirim Oluştur’’ seçeneğine tıklanarak veri girişine başlanacaktır. Kurum; veri kategorileri, veri işleme amacı, veri aktarım alıcı grupları, saklama süresi, veri konusu kişi grupları, yabancı ülkelere aktarılacak bilgiler, veri güvenliği tedbirleri gibi kategoriler altında listeler düzenlemiştir. Burada Kurum’un hazırladığı kategorik bazda veriler mevcuttur. Kurum’un belirlediği kalıplar dışında başkaca belirtilmesi gereken bilgiler var ise ‘’diğer’’ seçeneği tıklanarak giriş yapılması gerekmektedir. Burada veri sorumlusunun oluşturması gereken Kişisel Veri İşleme Envanterindeki bilgilerin esas alınması gerekmektedir. İşlenen kişiler verilerin, amaçlarının, esas alındığı kişi gruplarının, güvenlik tedbirlerinin tam anlamıyla eksiksiz bir şekilde Kurum’a bildirildiğinden emin olunması gerekmektedir. Kanunun 10. maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13. maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde Kişisel Veri İşleme Envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgilerin esas alındığı unutulmamalıdır. Bu yüzden, Kurum’un belirlediği liste her ne kadar yol gösterici olsa da somut durumla örtüşen verilerin girişinin sağlanmasına da dikkat edilmelidir. Söz konusu kategorilere giriş yapıldıktan sonra başvurunun ve girilen bilgilerin onaylanması gerekmektedir. Bu aşamadan sonra “Bildirim Durumu: Geçerli Bildirim” şeklinde görüntüleme sağlanarak İrtibat Kişisi tarafından Sicile Kayıt işlemi tamamlanmış olur.

VERBİS’E ZAMANINDA KAYIT OLMAMANIN YAPTIRIMI NE OLUR?

Veri Sorumluları Sicili Hakkında Yönetmeliğinin idari yaptırım başlıklı 17. Maddesinde, VERBİS’e kayıt yükümlülüğüne aykırı hareket edenler ile ilgili olarak 6698 sayılı KVKK’nın Kabahatler başlıklı 18/1/ç. madde hükmünde “16ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.” denilerek idari para cezasına hükmolunacağı belirtilmiştir.

Söz konusu kayıt yükümlülüğüne aykırı hareket edilmesi, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları nezdinde meydana gelirse yine aynı Yönetmeliğin 17. maddesinin 2. fıkrası uyarınca, kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucunun Kurula bildirileceği düzenlenmiştir.