KVKK VERBİS Başvuru ve Kayıt Yükümlülüğü

Makale Başlıkları
KVKK VERBİS Başvuru ve Kayıt Yükümlülüğü
KVKK VERBİS (Veri Sorumluları Sicili), Kişisel Verileri Koruma Kanunu (KVKK) kapsamında faaliyet gösteren ve kişisel veri işleyen gerçek veya tüzel kişilerin kayıt altına alındığı bir veri kayıt sistemidir. VERBİS’e kayıt yükümlülüğü, belirli şartları taşıyan veri sorumluları için geçerlidir.
KVKK’nın 16. maddesi gereği, aşağıdaki şartları taşıyan veri sorumlularının VERBİS’e kayıt olmaları zorunludur:
- 50 ve üzeri çalışanı olan gerçek veya tüzel kişiler,
- Kişisel verileri otomatik işleme tabi tutan gerçek veya tüzel kişiler,
- Özel nitelikli kişisel verileri işleyen gerçek veya tüzel kişiler,
- Kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları.
VERBİS’e kayıt yükümlülüğüne sahip olan veri sorumluları, ilgili mevzuat gereğince Kişisel Verileri Koruma Kurumu’na başvurarak kayıtlarını gerçekleştirmelidirler. Başvuru sürecinde aşağıdaki bilgilerin sağlanması gerekmektedir:
- Veri sorumlusunun kimlik bilgileri
- İletişim bilgileri
- Kişisel verilerin işlenme amacı
- İşlenen kişisel veri kategorileri
- Kişisel verilerin aktarıldığı üçüncü kişilerin bilgileri
Kayıt işlemi tamamlandıktan sonra veri sorumlusu, VERBİS üzerinden kaydını güncellemek ve ilgili bildirimleri yapmakla yükümlüdür. Ayrıca, kayıtların düzenli olarak kontrol edilmesi ve gerekli güncellemelerin yapılması önemlidir.
VERBİS’e kayıt yükümlülüğünü yerine getirmeyen veri sorumluları, KVKK’nın ilgili hükümleri çerçevesinde idari para cezalarıyla karşı karşıya kalabilirler. Bu nedenle, veri sorumlularının VERBİS başvurusunu yaparak kayıt yükümlülüğünü eksiksiz yerine getirmeleri önemlidir.
VERBİS’in amacı, kişisel verilerin korunması ve veri güvenliğinin sağlanmasına yönelik uyum sürecini desteklemektir. VERBİS’e kayıtlı olmak, veri sorumlularına KVKK’ya uyum sağlama ve veri koruma standartlarını uygulama konusunda rehberlik etmektedir.
KVKK Verbis Nedir?
KVKK VERBİS (Veri Sorumluları Sicili) veya tam adıyla Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicili, Kişisel Verileri Koruma Kanunu (KVKK) kapsamında kurulan bir veri kayıt sistemi olarak bilinir. VERBİS, Türkiye’de faaliyet gösteren veya kişisel veri işleyen gerçek veya tüzel kişilerin, veri sorumlusu sıfatını taşıyan kurum ve kuruluşların kayıt altına alındığı bir platformdur.
KVKK’nın 16. maddesine göre, veri sorumluları (kişisel verileri belirli bir amaç doğrultusunda işleyen gerçek veya tüzel kişiler) VERBİS’e kayıt olmak zorundadır. Kayıt yükümlülüğü, belirli şartları taşıyan veri sorumluları için geçerlidir ve kayıt süreci Kişisel Verileri Koruma Kurumu tarafından belirlenen esaslara göre gerçekleştirilir.
VERBİS’e kayıt olmak, veri sorumlularının kişisel verileri işlerken ilgili mevzuata uyumlarını sağlamak ve veri güvenliğini sağlamak için önemli bir adımdır. Kayıt işlemi, veri sorumlularının kimlik bilgilerini, iletişim bilgilerini, işlenen kişisel veri kategorilerini, veri işleme amaçlarını ve diğer ilgili bilgileri içeren bir formun doldurulmasıyla gerçekleştirilir.
VERBİS kaydı, veri sorumlularının KVKK’ya uyum sağlamalarına yardımcı olur ve Kurum tarafından denetimlerde kolaylıkla erişilebilen bir veritabanı sağlar. Ayrıca, VERBİS üzerinden yapılan kayıtların güncellenmesi ve ilgili bildirimlerin yapılması da gereklidir.
Bu sayede, KVKK’nın getirdiği yükümlülükleri yerine getiren veri sorumluları, kişisel verilerin korunması ve veri güvenliği konularında daha etkin bir şekilde faaliyet gösterebilirler. VERBİS’in kullanımı, veri sorumlularının yasal gereklilikleri takip etmelerini, veri koruma politikalarını uygulamalarını ve veri ihlallerini önlemeye yönelik tedbirleri almayı destekler.
KVKK Açısından Neler Kişisel Veridir?
KVKK kapsamında kişisel veri bu kanunun 3/d maddesinde “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak ifade edilmiştir. Bu ifadeden anladığımız üzere kişisel veri kişinin kimliğini belirgin kılan ve kişiye has özel bilgilerdir. Bu nedenle her veri kişisel veri olarak kabul edilmez. Burada korunması gereken kişisel bilgiler KVKK madde 3/ç‘ye göre yalnızca gerçek kişilerdir. Tüzel kişilere ilişkin kişisel veriler bu kanun kapsamında korunmaz.
Kişisel veri kavramı çok geniş olmakla beraber kişinin kimliğini belirgin kılan veriler olduğunu yukarıda söyledik ancak her somut olaya göre kişisel veri olup olmadığı konusunda değerlendirme yapılmalıdır. Somut olaya göre değerlendirme yapılması şartıyla aşağıda sıralayacağımız bazı veriler kişisel veri olarak kabul edilmektedir.
- İsim – Soy isim,
- T.C. kimlik numarası,
- Pasaport numarası,
- SGK numarası,
- Kurum sicil numarası,
- Bordro,
- Kişisel vergi beyanı,
- Mal bildirim beyanı,
- Diploma, transkript,
- İndirim kartı,
- Araç plakası,
- Özgeçmiş, CV ,
- Banka hesap numarası, IBAN numarası,
- Kişiye ait telefon , fatura, konşimento,
- Parmak izi, kan grubu, kan tahlil sonuçları, genetik sonuçları,
- Kişinin dini, felsefi düşüncesi, ırkı, etnik kökeni vs.
Tekrar edelim ki yukarıda sıraladığımız veriler kişisel veri olarak kabul edilmekle birlikte saydıklarımızla sınırlı değildir, somut olayın özellikleri dikkate alınmalıdır.
Kişisel Verilerin İşlenmesi (KVKK MADDE 4-5-6)
Kişisel veriler KVKK 4. Maddesinde belirtilen hukuka uygunluk, doğru, güncel, belirli ve açık amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma esaslarına göre işlenebilecektir. Burada esas olan hukuka uygunluk ilkesidir.
Veri sorumlusu bu ilkelere uygun hareket ederek ve “kişinin rızasını alarak” kişisel verileri işleyebilir. Kişinin rızası olmaksızın bazı hallerde kişisel verilerin işlenebilmesi de mümkündür. KVKK madde 5/1’ de kişinin rızası olmaksızın kişisel verilerin işlenemeyeceğini söylerken madde 5/2 ise kişinin rızasının aranmayacağı durumları saymıştır.
Buna göre aşağıdaki hallerde kişisel verilerin işlenmesi için kişinin rızası aranmamaktadır.
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c)Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Buraya kadar bahsedilenler genel nitelikli kişisel verilerdir. Özetleyecek olursak kişisel verilerin işlenmesi KVKK madde 4 gereği sıralanan ilkelere uymak şartıyla mümkündür. Ancak öncelikle “kişinin açık rızası” nın alınması gerekmektedir. Kişinin rızasının alınmadığı haller de mümkün olmakla beraber kanunun 5. Maddesinde şartları düzenlenmiştir.
Kişinin toplum içinde öğrenilmesi ile mağdur olacağı bazı kişisel verileri “özel nitelikli kişisel veriler” olarak kabul edilmektedir. KVKK madde 6’da düzenlenmiştir. Madde 6/1’de özel nitelikli kişisel veriler tanımlanmıştır. Buna göre; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”
Özel Nitelikli Kişisel Veriler ve VERBİS Kayıt Yükümlülüğü
Güzellik merkezlerinin, rehabilitasyon merkezlerinin, muayenehane ve kliniklerin, psikolog, diyetisyen, diş hekimleri, eczacı ve optisyenlerin 3. Kişi ya da çalışanlarına yönelik ellerinde bulundurdukları ya da işledikleri veriler “özel nitelikli veriler” kapsamına girmektedir.
Özel nitelikli kişisel verilerin de kişinin açık rızası olmaksızın işlenmesi yasaktır. Ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Sayılanların dışında bu verilerin kıyas yolu ile genişletilebilmesi mümkün değildir. Özel nitelikli kişisel verilerin işlenmesinde Kişisel Verilerin Korunması Kurulu tarafından belirlenen önlemlerin alınması şartı vardır. Kanunun 22nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:
1-Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2-Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a)Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b)Gizlilik sözleşmelerinin yapılması,
c)Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç)Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d)Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3-Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
a)Verilerin kripto grafik yöntemler kullanılarak muhafaza edilmesi,
b)Kripto grafik anahtarların güvenli ve farklı ortamlarda tutulması,
c)Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç)Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d)Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e)Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4-Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
a)Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b)Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5-Özel nitelikli kişisel veriler aktarılacaksa
a)Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b)Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kripto grafik yöntemlerle şifrelenmesi ve kripto grafik anahtarın farklı ortamda tutulması,
c)Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç)Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
6-Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
Güzellik merkezlerinin, rehabilitasyon merkezlerinin, muayenehane ve kliniklerin bu yöntemlere uymaları gerekmektedir. Ancak belirtmekte fayda olmakla beraber özel nitelikli kişisel verilerin sağlık ve cinsel hayata ilişkin olanları kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Kişisel Verilerin Aktarılması
Tıpkı kişisel verilerin işlenmesinde olduğu gibi, kişisel verilerin aktarılması için de “kişinin açık rızasının aranması” şartı vardır. Ancak genel ve özel kişisel verilerin işlenmesinde açık rızanın aranmadığı durumlarda (KVKK madde 5/2 ve madde 6/3) kişisel verilerin aktarılması için de açık rıza aranmaz.
Kişisel verilerin “yurtdışına aktarılmasında” durum farklıdır. Kişisel verilerin yurtdışına aktarılmasında kişinin açık rızasının olması şarttır. Ancak genel ve özel kişisel verilerin işlenmesinde açık rızanın aranmadığı durumlarda (KVKK madde 5/2 ve madde 6/3) kişisel verilerin aktarılacağı yabancı ülkelerde yeterli korunma bulunması şartıyla aktarılabilir. Yeterli koruma bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Kişisel Verilerin Korunması Kurulu, yeterli korunmanın bulunduğu ülkeleri belirleyerek ilan eder.
KVKK Kapsamında Veri Sorumlusunun Aydınlatma Yükümlülüğü Ve Gizlilik Sözleşmesi
Kişisel verilerin korunması kanunu kapsamında kişisel verileri işleyen veri sorumlusu ya da temsilcisinin verileri işlenecek olan kişiyi aydınlatma yükümlülüğü bulunmaktadır. Hangi konularda aydınlatacağı KVKK madde 10 ‘da düzenlenmiştir. Buna göre;
a)Veri sorumlusunun ve varsa temsilcisinin kimliği,
b)Kişisel verilerin hangi amaçla işleneceği,
c)İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç)Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d)İlgili kişinin hakları hakkında aydınlatma metni ve gizlilik sözleşmesi düzenlenir.
Düzenlenen metin herhangi bir şekle bağlı olmamakla birlikte taslak bir metin değil somut olayın özelliklerine göre hazırlanmış bir metin olmalıdır. Aydınlatma metninin şekle bağlı olmamasından kaynaklı olarak tek taraflı bir beyanla ya da başka herhangi bir yolla aydınlatılabilir fakat burada veri sorumlusu ile kişisel verisini paylaşacak olan gerçek kişi arasında ihtilaf çıkması durumunda ispat yükü veri sorumlusuna ait olur.
KVKK Kapsamında Verisi İşlenen Kişiye Tanınan Haklar
KVKK madde 11’de verisi işlenen kişilere bazı haklar tanınmıştır.
(1)Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a)Kişisel veri işlenip işlenmediğini öğrenme,
b)Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç)Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d)Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e)7nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f)(d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g)İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ)Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri
Veri sorumlusunun yani verileri işleyen KVKK madde 12 gereği bazı yükümlülükleri vardır. Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesi ve hukuka aykırı olarak erişilmesinin önüne geçmek amacıyla teknik ve idari bütün tedbirleri almak zorundadır ve kişisel verilerin muhafazasını sağlamalıdır. Veri sorumlusu aldığı bu güvenlik önlemlerinden belirli aralıklarla güvenlik denetimi yapmak zorundadır.
Veri sorumluları kişisel verileri üçüncü kişilere açıklayamaz, paylaşamazlar. Kişisel verileri işlenme amacı dışında kullanamazlar. Veri sorumluların bu yükümlülükleri görevden ayrılması sonrasında da devam eder. Ancak veri sorumlusunun elinde olmayarak kanuna aykırı olarak verilerin elde edilmesi halinde veri sorumlusu bu durumu Kurula ve kişisel veriler işlenen kişiye bildirmek zorundadır. Kurul, gerek görmesi durumunda internet sitesinde ilan edebilir.
Veri Sorumluları Sicili (VERBİS)
Kişisel verileri işlemeye başlamadan önce veri sorumlularının yani verileri işleyen gerçek ya da tüzel kişilerin Veri Sorumluları Siciline (VERBİS) kaydolmaları gerekmektedir. Bu sicil Kişisel Verileri Koruma Başkanlığı tarafından Kurul gözetiminde tutulur. VERBİS kayıt başvurusu için veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler, kişisel verilerin işlendikleri amaç için gerekli olan azami süre yer almalıdır. Burada dikkat edilmesi gereken bir nokta VERBİS’e kayıt yaptırmadan önce KVKK uyum süreci eğitimi alınması gerekmektedir. Aksi halde yapılan kayıtlar uyum sağlanamadığı için yetersiz olacaktır ve yapılan bir hata sonucu idari para cezası ile karşılaşılabilecektir. Tekrar VERBİS kayıt zorunluluğuna dönecek olursak, VERBİS kaydı yaptırmak zorunludur ancak kanun bazı istisnalar getirmiştir. Bunlar KVKK madde 16/2’ de “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” Denmek suretiyle istisnanın mümkün olduğu söylenmiştir. Ayrıca KVKK madde 28’de belirtilen kanunun koruma kapsamına girmeyen hallerde VERBİS kaydı yaptırılması zorunlu değildir. İstisna kapsamı dışında olanlar için VERBİS kayıt zorunluluğu devam etmektedir. Kayıt yaptırmayan veri sorumlularını yaptırımlar beklemektedir.
VERBİS Kaydı Yaptırmak Zorunda Olan Veri Sorumluları
Veri sorumluları tanımı itibariyle kişisel verileri gösterdiği amaçta işleyen gerçek ve tüzel kişileri ifade eder. Kişisel veri ise yukarıda açıkladığımız üzere kişinin kimliğini belirleyen ya da belirlenebilir her türlü bilgidir. Örneğin hastaneler, klinikler (diş hekimi, diyetisyen, doktor vs.), muayenehaneler, oteller, güzellik salonları, estetik merkezleri, kuaförler kişisel verileri elde edip işledikleri için veri sorumlularıdır. Kişisel verileri işlemeye başlamadan önce veri sorumlularının yani verileri işleyen gerçek ya da tüzel kişilerin Veri Sorumluları Siciline (VERBİS) kaydolmaları gerekmektedir. Ancak veri sorumlusunun kanuni tanımı geniş olduğu için her veri sorumlusu VERBİS kaydı yaptırmak zorunda değildir. KVKK ve Yönetmelik ile istisna tutulanların dışındaki veri sorumluları VERBİS kaydını süresi içinde yaptırmak zorundadır.
Buna göre VERBİS kaydı yaptırmak zorunda olanlar;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları
- Yurtdışında yerleşik veri sorumluları
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları (Hastaneler Eczacılar, Diyetisyenler, Özel Poliklinikler, Doktor Muayenehaneleri, Güzellik Salonları, Diş Hekimleri, Optikçiler, Fizyoterapi/ Fizik Tedavi İşletmeleri, Psikologlar.)
Esnaf ve Sanatkârları Konfederasyonu Genel Başkanlığı’nın 17.12.2021 tarih ve 2021/169 sayılı genelgesi ile saç boyama, saç kesimi, manikür, pedikür, kalıcı oje vb. basit işlemler yapan ve müşterilerinden müşteri bilgi formları ile bilgi toplamayan işletmelerin VERBİS’ e kayıt yükümlülüğü yoktur. Ancak klinik şekilde çalışmakta olan, müşterilerinden kan testi, kan grubu, alerji ve geçmiş hastalık vb. bilgileri hasta kayıt formu ile toplayan ve faaliyet konusunun yüzde ellisinden fazlası tıbbi işleme yönelik olana işletmelerin VERBİS’ e kayıt zorunluluğu vardır. Örnek olarak diş hekimlerinin ve doktorların kliniği, diyetisyen klinikleri, estetik merkezleri verilebilir. - Kamu kurum ve kuruluşu veri sorumlularıdır.
Kayıt yükümlülüğü bulunan veri sorumlularının pandemi sebebiyle VERBİS’ e kayıt süreleri 31.12.2021 tarihe kadar uzatılmıştır.
VERBİS’E Kayıt Zorunluluğundan Muaf Olanlar
Öncelikle veri sorumlusu olmayan kişiler için VERBİS kayıt zorunluluğu yoktur. Veri sorumlusu olup VERBİS’ e kayıt zorunluluğundan muaf tutulanlar ise KVKK madde 28, Veri Sorumluları Sicili Hakkında Yönetmelik madde 15-16 ‘da sayılmıştır.
İstisnalar
MADDE28-(1)Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a)Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin
yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı
konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi
b)Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve statistik gibi amaçlarla işlenmesi.
c)Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü
kapsamında işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri
sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt
yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
a)Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli
olması.
b)İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c)Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu
kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya
düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli
olması.
ç)Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik
ve mali çıkarlarının korunması için gerekli olması.
Veri Sorumluları Sicili Hakkında Yönetmelik madde 16’ya göre ise bazı hallerde Kişisel Verileri Koruma Kurulu bazı kriterlerin mevcut olması şartıyla bazı veri sorumlularını VERBİS kaydından muaf tutabilir. Bu kriterler şunlardır;
- Kişisel verinin niteliği, sayısı, işlenme amacı, işlendiği faaliyet alanı,
- Üçüncü kişilere aktarılma durumu, kanundan kaynaklanması,
- Muhafaza edilme süresi, veri konusu kişilerin durumu veya veri kategorisi.Bu kriterler doğrultusunda Kişisel Verileri Koruma Kurulu aşağıda sıralayacağımız veri sorumlularını VERBİS kaydı yükümlülüğünden muaf tutmuştur.
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
- 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler,
- 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
- 2820 sayılı Siyasi Partiler Kanunu’na göre kurulmuş siyasi partiler,
- 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
- 3568 sayılı Kanun uyarınca faaliyet gösteren serbest muhasebeci mali müşavirler ve yeminli mali müşavirler.
VERBİS Kaydı Yaptırmayan Veri Sorumluları İçin Öngörülen Yaptırım
Kişisel verilerin ihlal edilmesi ile ilgili suçlar Türk Ceza Kanunu’nda ve KVKK’ nın Kabahatler bölümünde düzenlenmiştir. Buna göre KVKK madde 18/1-ç’ ye göre “16ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 53.576 TL’den 2.678.866 TL’ye kadar, idari para cezası verilir.” Demek suretiyle VERBİS kaydı yaptırmayanlara verilecek cezayı düzenlemiştir. (2022 için geçerli yaptırım)
Kişisel Verilerin Silinmesi Ya Da Anonim Hale Getirilmesi
Kişisel verilerin işlenmesini gerektirecek amaç ortadan kalktığında veri sorumlusu re‘sen ya da ilgili kişinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir. Anonim hale getirilen veri artık kişisel veri kapsamında olmayacağı için KVKK tarafından korunmaz.
KVKK Kapsamında Hak Arama Usulü – Şikayet
Kişisel verilerin korunması, işlenmesi ya da aktarılması ile ilgili hakları ihlal edilen kişi öncelikle veri sorumlusuna başvuruda bulunur ve ihlalin giderilmesini talep eder. Fakat, başvurusu reddedilen ya da cevap verilmeyen ya da verilen cevabın yetersiz olması durumunda ilgili kişi yani kişisel verisi işlenen kişi veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 gün ve her halde 60 gün içinde kurula şikâyette bulunabilir. Burada dikkat edilmesi gereken nokta Kurula şikâyetten önce veri sorumlusuna başvuru ve talepte bulunulması gerektiğidir.
Kurul şikâyeti öğrendiğinde ya da re’sen görev alanına giren bir konu olduğunda inceleme başlatır. Kurulun isteği üzerine veri sorumlusu tüm bilgi ve belgeleri 15 gün içinde kurula iletir. Kurul şikâyeti inceler. Şikâyet tarihinden itibaren 60 gün içinde Kurul cevap vermezse talep reddedilmiş sayılır. Ancak kurul şikâyeti inceler ve hakkın ihlalinin varlığına kanaat getirirse hukuka aykırılığın düzeltilmesi için veri sorumlusuna kararını tebliğ eder. Veri sorumlusu en geç 30 gün içinde hukuka aykırılığı düzeltmek zorundadır. Açıkça hukuka aykırılık ya da telafisi güç zararların doğma ihtimali varsa Kurul, verilerin işlenmesi ve aktarılmasını durdurabilir.
Kişisel Verilerin İhlal Edilmesi Sonucu Yaptırımlar
Kişisel verilerin ihlal edilmesi ile ilgili suçlar Türk Ceza Kanunu’nda ve KVKK’nın Kabahatler bölümünde düzenlenmiştir. Buna göre; TCK md 135’e göre kişisel verilerin kaydedilmesi, TCK md 136’ya göre kişisel verileri hukuka aykırı olarak verme ve ele geçirme, TCK md 138’e göre verileri yok etme suçlarının işlenmesi halinde 1 yıldan 6 yıla kadar hapis cezası öngörülmüştür.
KVKK kapsamında ise bazı fiiller suç değil kabahat olarak düzenlenmiştir.
MADDE 18- (1) Bu Kanunun;
a)10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 13.393 – 267.886Türk lirasına kadar,
b)12nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında40.183 – 2.678.866Türk lirasına kadar,
c)15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında66.972 – 2.678.866 Türk lirasına kadar,
ç)16ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 53.576 TL’den 2.678.866 TL’ye kadar, idari para cezası verilir.