Kişisel Verileri Koruma Kurumu (KVKK), yürürlüğe girdikten sonra kişisel verileri işleyen gerçek ve tüzel kişilere yönelik yükümlülükler getirdi. Bu yükümlülüklerin en önemlisi kısa adı VERBİS olan “Veri Sorumluları Sicil Bilgi Sistemi” oldu. Yasa hükümlerine göre kişisel verileri işleyen gerçek ve tüzel kişiler, kişisel veri işlemeye başlamadan önce VERBİS’e kayıt olmak zorundadır.
Buna göre ilgili gerçek ve tüzel kişiler, veri işleme faaliyetleriyle ilgili bilgileri kategorik bazda VERBİS sistemine beyan etmek zorundadır. VERBİS sistemi ile, gerçek ve tüzel kişilerin veri sorumlularının kimler olduğu açıklanır ve kişisel verilerin korunması hakkında nasıl bir yol, yöntem izleyeceklerini sisteme tanımlamış olur.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. Maddesine göre VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt zorunludur. Yasa, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan VERBİS sistemine gerçek ve tüzel kişilerin veri işleme faaliyetine başlamadan önce kayıt zorunluluğu getirmiştir.
Bu zorunlulukların neler olduğu ayrıca KVKK’da ve Veri Sorumluları Hakkında Yönetmelik’te belirlenmiştir. Bu yönetmelikte tanımlanmış istisnalar dışında gerçek ve tüzel kişilerin usule uygun biçimde eksiksiz olarak sisteme kayıtlarını yapmaları zorunludur.
Kişisel Verilerin Korunması Kanunu’na göre, yasa yürürlüğe girdiği tarihten itibaren gerçek ve tüzel kişilere VERBİS sistemine kayıt ve bildirim yaptırabilmeleri için belirli bir süre tanınmıştır. Bu süre içerisinde veri sorumlularının ve hazırlanan envanterin tam olarak sisteme kaydedilmesi gerekir.
Kişisel Verileri Koruma Kurumu’nun 27 Aralık 2019 tarihinde aldığı karar gereği, gerçek ve tüzel kişilerin VERBİS kayıt ve envanter hazırlama süresi 6698 sayılı Kanunun Geçici 1 inci maddesine göre uzatılmıştır. Karara göre aşağıdaki tarihlere kadar kayıt yapılması zorunludur.
Yurtdışında yerleşik gerçek ve tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.09.2020 tarihine,
Kayıt yaptırmaları zorunludur.
KVKK hükümleri gereğince VERBİS sistemine kayıt zorunludur. Kanun’un 18’inci maddesinin birinci fıkrasının ç bendinde kanunun getirdiği yükümlülükleri yerine getirmeyenler hakkında 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası verileceği hükmedilmiştir.
Kanu’nun aynı maddesinin üçüncü fıkrası gereği yükümlülüğü yerine getirmeyen kamu kurum ve kuruluşu ile kamu kurumu niteliğindeki meslek kuruluşu olması halinde görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve işlemin sonucu ve yaptırım Kurul’a bildirilir.
Yönetmeliğin 8’inci maddesi gereği kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerini yerine getirememesi halinde ilgili kişilere bazı kolaylıklar getirmiştir. Buna göre bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurması gerekiyor ve bu başvuruda belirtilen imkansızlığın gerekçesi belirtilerek Kurum’dan ek süre talep edilebilir. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere gerçek ve tüzel kişiye ek süre verebilir.
Bu arada, yaptırımlar sadece maddi cezalarla sınırlı değil. TCK 138/2’ye göre hapis cezası da bulunuyor. Kişisel verileri yok etmeme suçunun konusu Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması ya da yok edilmesi gereken bir veri ise, verilecek ceza bir kat arttırılır. Yani, suçun cezası 2 yıldan 4 yıla kadar hapis cezası olur.
24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması amacıyla 1/1/2018 tarihinde “Veri Sorumluları Sicili Hakkında Yönetmelik” yayınlanmıştır. Bu yönetmelik Veri Sorumluları Siciline (VERBİS) yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemiş ve uygulanma esaslarını düzenlemiştir.
Bu yönetmelik, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişileri kapsar ve kişisel verilerin işleme amaçlarını ve vasıtalarını belirler.
Yine 1/1/2018 tarihinde yayınlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik” yayınlanmıştır. Bu Yönetmelikle de, tamamen ya da kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslar düzenlenmiştir.
6698 Sayısı Kişisel Verilerin Korunması Kanunu’na göre veri sorumlusu, Veri Sorumluları Sicil Bilgi Sistemi ‘ne göre kişisel verilerin işlenme amacını ve yöntemini belirleyen, yani işleme faaliyetinin neden ve nasıl yapılacağı sorularının yanıtlarını verecek olan gerçek veya tüzel kişidir.
Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizzat kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğar. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık bulunmamaktadır.
Kişisel Verileri Koruma Kanunu (KVKK) ile Veri Sorumluları Sicili Hakkında Yönetmelik (VERBİS) gerçek ve tüzel kişilerin sicil kaydının nasıl yapılacağını düzenlemiştir.
Kişisel Verileri Koruma Kurumunun (KVKK) internet sitesi olan www.kvkk.gov.tr aracılığıyla giriş yapılır. Ekrana gelen sayfada yer alan VERBİS butonuna tıklanır ve ilgili alanlar doldurularak VERBİS’e kayıt olunur.
Yurtdışında yerleşik gerçek veya tüzel kişi veri sorumlularının öncelikle “veri sorumlusu temsilcisi” ataması ve bu atamaya ilişkin onaylı belgeyi ıslak imzalı şekilde Kişisel Verileri Koruma Kurumu’na iletmesi gerekmektedir.
Kanun ve yönetmeliğe göre, atanacak veri sorumlusu temsilcisi Türkiye’de yerleşik bir tüzel kişi veya Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olmalıdır.
Atanan veri sorumlusu temsilcisi tarafından, veri sorumlusu adına VERBİS ana sayfada yer alan “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yapması gerekir.
İlgili alanlar doldurularak PDF formatında başvuru formu sistemden oluşturulur. Oluşturulan formun çıktısı alınarak ıslak imzalı belge şeklinde KVKK Kurumu’nun posta adresine posta yoluyla iletilir veya varsa kayıtlı elektronik posta (KEP) adresi üzerinden PDF formatındaki dosya eklenerek Kurum’un KEP adresine iletilir. Kurum tarafından yapılan değerlendirme sonucunda, başvuru formunda belirtilen elektronik posta adresine “kullanıcı adı” ve “parola” gönderilir.
Veri sorumlusu temsilcisi tarafından “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yapıldıktan sonra Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi “irtibat kişisi” olarak atanır. Veri sorumlusu temsilcisi, irtibat kişisi olarak veri sorumlusu temsilcisi bünyesinde çalışan bir kişiyi atayabileceği gibi bünyesi dışında bir kişiyi de atayabilir.
Atanan irtibat kişisi tarafından VERBİS ana sayfada yer alan “Sicile Kayıt” butonu aracılığıyla giriş yapılır ve gelen ekranlara bilgi girişi yapılarak kayıt işlemi sonuçlanır.
6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre, kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen tüm gerçek ve tüzel kişiler VERBİS sistemine kayıt olmakla yükümlüdür.
Şirketler, kanunun yayınlanma tarihinden önce işlemiş oldukları tüm kişisel verileri de, 7 Nisan 2018 tarihi itibariyle kanuna uygun hale getirmek mecburiyetindedir.
Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesinde, “Veri Sorumluları Siciline” kayıt zorunluluğuna bazı istisnalar getirilmiştir.
Buna göre;
Noterler
Siyasi partiler
Avukatlar
Gümrük müşavirleri
Arabulucular
Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler
Dernekler, vakıflardan ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar
VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur.
Kişisel Verileri Koruma Kanunu ve “Veri Sorumluları Sicil Bilgi Sistemi” için gerçek ve tüzel kişilerden istenen bilgiler şu şekildedir…
Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
Kişisel verilerin hangi amaçla işleneceği,
Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
Yabancı ülkelere aktarımı öngörülen kişisel veriler,
Kişisel veri güvenliğine ilişkin alınan tedbirler,
Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
Veri Sorumluları Sicili Hakkında Yönetmelik’te “Veri Kategorileri” belirlenmiştir. Gerçek ve tüzel kişiler bu veri kategorilerine göre sicil kayıtlarını ve envanter bilgilerini oluşturmakla yükümlü kılınmıştır.
Bu veri kategorileri şu şekilde belirlenmiştir.
Kimlik (ad soyad, anne -baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, TC kimlik no gibi)
İletişim (adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi)
Lokasyon (bulunduğu yerin konum bilgileri)
Özlük (bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi)
Hukuki İşlem (adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi)
Müşteri İşlem (çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi)
Fiziksel Mekân Güvenliği (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi)
İşlem Güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi)
Risk Yönetimi (ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi)
Finans (bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi)
Mesleki Deneyim (diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi)
Pazarlama (alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler)
Görsel ve İşitsel Kayıtlar (görsel ve işitsel kayıtlar gibi)
Irk ve Etnik Köken (ırk ve etnik kökeni bilgileri gibi)
Siyasi Düşünce Bilgileri (siyasi düşüncesini belirten bilgiler, siyasi parti üyeliği bilgisi gibi)
Felsefi İnanç, Din, Mezhep ve Diğer İnançlar (dini aidiyetine ilişkin bilgiler, felsefi inancına ilişkin bilgiler, mezhep aidiyetine ilişkin bilgiler, diğer inançlarına ilişkin bilgiler gibi)
Kılık ve Kıyafet (kılık ve kıyafete ilişkin bilgiler)
Dernek Üyeliği (dernek üyeliği bilgileri gibi)
Vakıf Üyeliği (vakıf üyeliği bilgileri gibi)
Sendika Üyeliği (sendika üyeliği bilgileri gibi)
Sağlık Bilgileri (engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi)
Cinsel Hayat (cinsel hayata ilişkin bilgiler gibi)
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri (ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi)
Biyometrik Veri (avuç içi bilgileri, parmak izi bilgileri, retina taraması bilgileri, yüz tanıma bilgileri gibi)
Genetik Veri (genetik veriler gibi)
Diğer Bilgiler (kullanıcı tarafından belirlenecek veri türleri gibi)
Kişisel Verileri Koruma Kanunu’nda belirtilen çerçevede gerçek kişi ve tüzel kişiler Veri Sorumluları Sicili’ne (VERBİS) kayıt yaptırmak zorundadır.
KVKK Kurumu resmi web sitesi üzerindeki “Sicil Sorgulama” butonu, veri sorumlularının Sicile kayıt yükümlülüğü kapsamında VERBİS’e girmiş oldukları bilgilerin kategorik bazda tüm ilgili kişilerce görüntülenebileceği bölümdür.
Web sitesi üzerinden gerçek kişi ve tüzel kişilerin topladıkları kişisel verileri ne amaçla, ne kadar süreyle tuttuklarını, kimlerle paylaştıklarını, yurt dışına gönderip göndermediklerini, kişisel veri toplarken aldıkları güvenlik önlemlerini öğrenebilirsiniz. VERBİS sicil sorgulama için şu adresi ziyaret edebilirsiniz. (https://verbis.kvkk.gov.tr/Query/Search)
Çalışan kategorisi için şablon olarak sağladığımız envanteri diğer kişi grupları için örnek olarak kullanın. Envanteri kolayca hazırlayın.
"Açık Rıza" işlemi gerektiren veri kategorileri hakkında Biri’nin uyarılarından faydalanın.
Veri aktarımlarını ve veri ihlal bildirimlerini kayıt altına alın.
Bilimp platformu içinde kayıtlı tüm kişisel verileri "İlgili Kişi Gruplarına" göre analiz edin. İmha ve saklama politikalarına uygun kolayca yönetin.