Kişisel Verilerin Korunması Kanunu’na (KVKK) göre veri sorumlusu kimdir? Veri Sorumluları Sicili ne anlama geliyor? VERBİS nedir? Nasıl kayıt olunur?
Veri Sorumlusu kimdir?
Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca Veri Sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Bu itibarla, tüzel kişiliği haiz şirketlerimiz Veri Sorumlusu olarak nitelendirilmektedir. Madde hükmü içerisinde yer alan gerçek kişiler ise avukatlar, danışmanlar veya doktorlar olarak değerlendirilmektedir. Veri Sorumlusu’nun yükümlülükleri nelerdir?
Veri Sorumluları’nın KVKK’nın 12. maddesinde yer alan İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Veri Sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirme yükümlülüğü ile aşağıdaki yükümlülükleri mevcuttur.
- İlkelere uyum sağlama
- İşleme şartlarına uyum sağlama
- Aydınlatma yükümlülüğü
- Silme/yok etme/anonimleştirme
- Veri Sorumluları Sicili’ne kaydolma
- Aktarım yasağı/yurtdışına aktarım yasağı
- İlgilinin başvurusuna yanıt verme
- Teknik ve idari tedbirler alma
- Denetim yapma
Veri Sorumluları Sicili ne demektir?
KVKK’nın getirdiği yükümlülüklerden birisi de “Veri Sorumlusu” sıfatını haiz olup da Kişisel Verilerin Korunması Kurulu (Kurul) tarafından Sicil’e kayıttan müstesna kılınmamış bütün Veri Sorumluları tarafından bu Sicil’e kaydolunmasıdır.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Veri Sorumluları’nın Sicil’e başvuruda ve Sicil’e ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini ifade etmektedir ve Kurul gözetiminde Kurul Başkan Yardımcısı ve hizmet birimlerinden oluşan Başkanlık tarafından kamuya açık bir şekilde olarak tutulan bir Sicil’dir.
Hangi Veri Sorumluları Sicil’e kayıttan istisna tutulmuştur? KVKK’nın 28. maddesinde belirtilen hallerde ve 16. maddesine göre Kurul’ca getirilen istisnalar kapsamına giren Veri Sorumlularınca kişisel veri işlenmesi halinde kayıt zorunluluğu yoktur. İstisna tutulan Veri Sorumluları kimlerdir? Kurul’un 02/04/2018 tarihli ve 2018/32 sayılı kararı uyarınca
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
- Noterler,
- Dernekler kanununa göre kurulmuş dernekler, vakıflar kanununa göre kurulmuş vakıflar ve sendikalar ve toplu iş sözleşmesi kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanları ile sınırlı ve sadece kendi çalışanlarına, üyelerine mensuplarına bağışçılarına yönelik kişisel veri işleyenler,
- Siyasi partiler,
- Avukatlar,
- Serbest muhasebeci ve yeminli mali müşavirler VERBİS’e kaydolmaktan istisna tutulmuşlardır. Veri Sorumluları Sicili’ne kayıt yükümlülüğe aykırılığın yaptırımı nedir? KVKK’nın kabahatlar başlıklı 18. maddesine uyarınca VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı davrananlar hakkında Kurul tarafından 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmedilebilir.
Veri Sorumluları Sicili’ne kayıt yükümlülüğü ne zaman başlayacak?
Veri sorumlularının, Veri Sorumluları Siciline kayıt yükümlülüklerinin başlama tarihleri ve bu veri sorumlularına kayıt için verilen süreler Kişisel Verileri Koruma Kurulu’nun 2018/88 sayılı kararı kapsamında aşağıdaki şekilde açıklanmıştır:
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için son tarih 30.09.2019
- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için son tarih 30.09.2019
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için son tarih 31.03.2020
- Kamu kurum ve kuruluşu veri sorumluları için son tarih 30.06.2020
VERBİS‘E hangi bilgileri kaydettirilecek?
KVKK VERBİS’e uyarınca aşağıdaki bilgileri kaydedilmesi gerekmektedir:
- Veri Sorumlusu, varsa Veri Sorumlusu Temsilcisi ve irtibat kişisinin adı, adresi ve alınmış olması halinde KEP adresi,
- Kişisel verilerin hangi amaçlarla işlenebileceği,
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
- Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- KVKK’da öngörülen ve Kurul tarafından belirlenen kriterlere göre kişisel veri güvenliğine ilişkin alınan tedbirler,
- Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
Veri Sorumluları Sicili’ne “Kişisel” veri kaydedilecek midir? Veri Sorumluları Sicili’ne hiçbir şekilde kişisel veri kaydedilmeyecektir. Kaldı ki VERBİS kamuya açık bir Sicil’dir. VERBİS’e başlıklar halinde kategorik bazda hangi tür kişisel verilerin hangi amaçlarla işlendiği, ne kadar süreyle muhafaza edileceği ve kategorik bazda nerelere aktarılabileceği gibi bilgiler girilecektir. Bu nedenle, VERBİS kesinlikle kişisel veri içermeyecek ve dolayısıyla da kişisel verilerin kamuya ifşa edilmesi gibi bir durum da söz konusu olmayacaktır.
VERBİS‘e nasıl kayıt olunur?
VERBİS’e kayıt Kurul’un internet sitesi üzerinden VERBİS ara yüzü aracılığıyla bedelsiz olarak yapılacaktır.
VERBİS’e kayıt prosedürü nedir?
Kurul’un düzenlediği toplantılarda VERBİS ile ilgili açıklamalarda Sicil’e kayıt aşağıdaki şekilde gerçekleştirileceği anlaşılmaktadır.
- Veri Sorumlusu’nun yetkilisi tarafından Kurul’un internet sitesinde yer alan VERBİS sekmesine girilecektir.
- Veri Sorumlusu’nun yetkilisi tarafından Veri Sorumlusu’nun (anonim, limited şirket vb.) unvanını, vergi numarasını, vergi dairesini, adresini, iletişim bilgilerini VERBİS’e kayıt ederek Kurul’a başvuracaktır.
- Kurul söz konusu başvuruyu onaylayacaktır.
- Veri Sorumlusu VERBİS üzerinden Sicil’e kayıt işlemlerini yürütecek bir irtibat kişisi atayacaktır. İrtibat kişisi Sisteme kayıt esnasında Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi Veri Sorumluları Kurul ile iletişimin sağlanabilmesi ve Sicil işlemlerinin yürütülmesi için bir irtibat kişisi atayacaklardır. Tüzel kişi Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüklerini bu irtibat kişileri vasıtasıyla yerine getireceklerdir. İrtibat kişisi olarak şirket yönetim/ müdürler kurulundan birisi belirlenebileceği gibi herhangi üçüncü bir kişi de irtibat kişisi olarak atanabilecektir.
- Veri Sorumlusu’nun atadığı irtibat kişisi e-Devlet kapısı üzerinden kimlik bilgilerini doğrulayarak sisteme giriş yapacaktır.
- KVKK mevzuatı uyarınca Sicil başvurularında VERBİS’e açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanması gerekmektedir.
Kişisel veri işleme envanteri:
Veri Sorumluları’nın iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri olarak tanımlanmıştır.
Kurul tarafından yayınlanan teknik ve idari tedbirlere ilişkin rehber içerisinde Kişisel Veri İşleme Envanteri hazırlamak da alınacak idari tedbirler arasında sayılmıştır. Bu itibarla, envanterin hazırlanmaması KVKK’nın 12. maddesinde belirtilen veri güvenliğine ilişkin tedbirlerin yerine getirilmediği anlamına gelecek olup bu sebeple Kurul tarafından 15.000 Türk lirası ila 1.000.000 Türk lirası idari para cezasına hükmedilebilecektir.
- İrtibat kişisi Veri Sorumlusu’nun Kişisel Veri İşleme Envanterine dayalı olarak kayıt işlemini başlatacaktır.
- İrtibat kişisi tarafından sisteme girilip kayıt işlemleri başlatıldığında sistem tek tek veri kategorileri üzerinden sorular sorarak kaydın yapılmasını sağlayacaktır. Her veri kategorisi için (kimlik, iletişim gibi veriler için teker teker) o veri kategorisinin işlenip işlenmediğinin beyan edilmesi gerekecektir. Bu bakımdan her veri kategorisi için ya işlemediğini beyan ederim ya da ilgili veri süreçlerim kapsamında işlenmektedir seçeneği işaretlenecektir. Sistemde mevcut olmayan veriler için de “diğer” seçeneği seçilerek kayıt gerçekleştirilecektir. Örneğin Veri Sorumlusu’nun faaliyeti gereği müşterinin ayakkabı numarası verisini işlemesi halinde ve sistemde ayakkabı numarası mevcut değilse ilgili veri için kayıt “diğer” seçeneği seçilerek yapılacaktır.
- Bir sonraki aşamada ilk aşamada işlendiği belirtilen veri kategorileri için işleme amaçları ve ilgili kişi grupları seçilecektir. Kurul tarafından 50 amaç belirtilmiş olup bu amaçlardan birisi ya da yine “diğer” seçeneği kullanılarak Veri Sorumlusu adına irtibat kişisi tarafından belirtilecek amaçla sisteme kaydolmak mümkün olabilecektir.
- Daha sonra verisi işlenen veri konusu kişi grupları sekmesinde belirtilen işlenen verilerin kimlere ait olduğu bildirilecektir.
- Sonrasında ise bu veri kategorilerinin korunması açısından ne tür tedbirlerin alındığının tek tek belirtilmesi gerekecektir.
- Bir sonraki aşamada ise ilgili verinin yurtiçindeki bir üçünü kişiye aktarılıp aktarılmadığı ve aktarım yapılıyorsa aktarımın kime yapıldığı belirtilecektir. Bu kısımda aktarım yapılan kişinin adı açıkça yazılmayacak olup yalnızca “iş ortağı” gibi belirtilen kategorilerden birisinin seçilmesi yeterli olacaktır. Yine verilerin yurtdışına aktarılıp aktarılmadığına dair beyan da kaydın bir aşamasında yer alacaktır.
- Sonrasında kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi sisteme kaydedilecektir.
- Kayıt irtibat kişisince bu şekilde tamamlanıp Kurula gönderilecektir. Kurul’un onayı ile kayıt gerçekleşmiş olacaktır.
Sicil kayıtlarının güncel tutulması Veri Sorumluları, VERBİS’e sunulan ve VERBİS’te yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Veri Sorumluları, Sicil’de kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kuruma bildirir. Veri Sorumluları, VERBİS’e sunulan ve VERBİS’te yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur.
Kaynak: Lerzan Nalbantoğlu