31.12.2021
KİŞİSEL VERİLERİN KORUNMASI KANUNU GEREĞİ
VERİ SORUMLULARI SİCİLİNE KAYIT
(VERBİS) HAKKINDA BİLGİ NOTU
Kişisel Verilerin Korunması Kanunu gereği, Veri Sorumluları Siciline Kayıt (VERBİS) işlemleri hakkında açıklamalarda bulunulmuştur.
VERBİS nedir?
Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”); kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.
Veri Envanteri nedir?
Kişisel veri işleme envanteri, Veri Sorumluları Sicili Hakkında Yönetmelik’te; “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter” olarak tanımlanmıştır. Kısaca envanter, veri sorumlularının gerçekleştirdiği bütün veri işleme faaliyetlerinin süreç ve işlenen veri bazlı gösteren kılavuz dokümandır.
VERBİS’te Belirtilen Teknik ve İdari Tedbirler Nedir? Kanunun 12 nci maddesinin birinci fıkrasında; “Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.”
hükmü yer almaktadır. Bu bağlamda VERBİS’e kayıt esnasında da beyan edilen ve ilgili Kanun’a uyum kapsamında tedbir alınması beklenen teknik ve idari tedbir tablosu aşağıda paylaşılmıştır. (Ayrıca bkz. KVKK Veri Güvenliği Rehberi)
TEKNİK TEDBİRLER
Yetki Kontrol
Erişim Logları
Kullanıcı Hesap Yönetimi
Ağ Güvenliği
Uygulama Güvenliği
Sızma Testi
Saldırı Tespit ve Önleme Sistemleri
Log Kayıtları
Veri Kaybı Önleme Yazılımları
Yedekleme
Güvenlik Duvarları
Güncel Anti-Virüs Sistemleri
Silme, Yok Etme veya Anonim Hale Getirme
Anahtar Yönetimi
İDARİ TEDBİRLER POLİTİKA VE PROSEDÜRLER
Kurumsal Politikalar (Erişim, Bilgi güvenliği, Kullanım, Saklama ve İmha vb.) Sözleşmeler (Veri sorumlusu-Veri İşleyen) Gizlilik Taahhütnameleri
Kurum İçi Periyodik ve/veya Rastgele Denetimler
Risk Analizleri
İş sözleşmesi, Disiplin Yönetmeliği
Kurumsal iletişim (Kriz yönetimi, itibar yönetimi vb.)
Eğitim ve Farkındalık Faaliyetleri (Bilgi güvenliği ve kanun)
Kimler VERBİS’e kaydolmalıdır?
6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesi gereği kişisel verileri işleyen gerçek ve tüzel kişilerin, kısa adı VERBİS olan Veri Sorumluları Sicil Bilgi Sistemi aracılığıyla Veri Sorumluları Siciline (Sicil) kayıt yaptırma zorunlulukları bulunmaktadır.
Konuya ilişkin Kişisel Verileri Koruma Kurulunun 11.03.2021 tarihli 2021/238 sayılı kararı 16.03.2021 tarihli Resmi Gazetede yayımlanmıştır. Söz konusu kararda sicile kayıt yükümlülüğünün yerine getirilmesi gereken süreler verilmiş olup bu kapsamda hazırlanmış olan özet tablo aşağıdaki gibidir.
Sicile Kayıt Yükümlülüğü Tarihleri
Veri Sorumluları Başlangıç Kayıt için son tarih
1 Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço 01.01.2019 31.12.2021 toplamı 25 milyon TL’den çok olan veri sorumluları
2 Yurtdışında yerleşik veri sorumluları 01.04.2019 31.12.2021
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço
3 toplamı 25 milyon TL’den az olup ana faaliyet konusu 01.01.2019 31.12.2021 özel nitelikli kişisel veri işleme olan veri sorumluları
Kamu kurum ve kuruluşları ile kamu kurumu
4 01.04.2019 31.12.2021 niteliğindeki meslek kuruluşu veri sorumluları
Buna göre, Sicile kayıtla yükümlü olan veri sorumlularının Kanunun 18 inci maddesi gereği herhangi bir yaptırımla karşılaşmamaları için Sicile kayıt yükümlülüklerini 31 Aralık 2021 tarihine kadar yerine getirmeleri gerekmektedir.
Öte yandan;
• Noterler
• Siyasi partiler
• Avukatlar
• Gümrük müşavirleri
• Arabulucular
• Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler
• Dernekler, vakıflardan ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler
• Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar
VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur.
VERBİS’e kayıt öncesi yapılması gerekenler?
VERBİS’e kaydolmadan önce ilgili Kanun’a uyum çalışmalarının tamamlanmış olması, idari ve teknik tedbirlerin alınması ve veri envanterinin hazırlanarak, işlenen veri, veri işleme amacı, süreç ilişkisinin çıkartılmış olması gerekmektedir. VERBİS’e bahsi geçen çalışmalar temel alınarak beyanda bulunulmaktadır.
VERBİS’e nasıl kaydolunacaktır?
Kişisel verileri işleyen gerçek ve tüzel kişiler, Kurumun internet sitesinde (www.kvkk.gov.tr) yer alan VERBİS modülü veya e-Devlet (www.turkiye.gov.tr) platformu üzerinden “Kurumlar” başlıklı bölümden Kişisel Verileri Koruma Kurumu’nun seçilmesi halinde gelen ekranlar üzerinden VERBİS’e kayıt işlemlerini kolaylıkla gerçekleştirebilmektedir.
VERBİS ile ilgili konularda karşılaşılabilecek problemlerin giderilmesi ve aydınlatıcı bilgi verilmesi amacıyla oluşturulan KVKK Bilgi Danışma Merkezinin (ALO 198), hafta içi her gün mesai saatlerinde hizmet verdiği unutulmamalıdır.