VERBİS KAYIT SÜRECİ 24,03,2016 tarihinde kabul edilen ve 07.04.2016 tarihli 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU ile birlikte artık hayatımızda bir çok değişiklik oldu ve bundan sonrada olacak.
24,03,2016 tarihinde kabul edilen ve 07.04.2016 tarihli 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU ile birlikte artık hayatımızda bir çok değişiklik oldu ve bundan sonrada olacak.
Bu değişikliklerin bir kısmı sadece şahısları bir kısmı da işletmeleri ilgilendirmektedir.
Kişisel verileri koruma kanunu ile Kişisel Verileri Koruma Kurumu oluşturulmuştur.Bu kurum kişisel verilerin elde edilmesinden yok edilmesine kadar olan tüm sürecin takip edilmesini sağlayacak kontrol mekanizmaları kurmuştur.
Belli bir sistematiğe göre fiziki veya sanal ortamda kişisel veri işleyen tüm şahıs ve tüzel kişiler kanun kapsamındadır.
Bu kişilere Veri Sorumlusu denmektedir ve veri sorumluları büyük sorumluluk altındadır. Bu nedenle kişisel verilerin korunması için almak zorunda oldukları idari ve teknik tedbirler bulunmaktadır.
Bu tedbirlerin tamamen profesyonel ekipler ile alınması veri sorumlularının hukuki sorumluluğunu azaltacak ve hatta tamamen sorumluluktan kurtaracaktır.
Veri işleyen tüm gerçek ve özel kişilerin kanun kapsamında sorumluluğu bulunmaktadır , yine kanun kapsamında en az 50 çalışan ve 25 milyon TL nin üzerinde cirosu olan veri sorumluları ise VERBİS kaydı yapmak zorundadır.
Verbis , Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicili Bilgi Sistemidir.Kanun gereğince şartları taşıyan Veri Sorumlularının VERBİS e kayıt olmamaları halinde haklarında Kişisel Verileri Koruma Kurulu tarafından idari para cezası kesilebilecektir.
Bu süre belli süreler ile sınırlandırılmış ancak sürekli uzatılmıştır.
Verbis kayıt yükümlülüğüne dair süreler :
· Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurt dışında yerleşik gerçek ve tüzel kişi veri sorumlularının sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen son tarih 30 Eylül 2020 idi.
· Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen son tarih 31 Mart 2021,
· Kamu kurum ve kuruluşu veri sorumlularının sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen son tarih ise, 31 Mart 2021 dir.
Kişisel verileri Koruma Kanununa aykırı davrananlara uygulanabilecek bir kısım cezalar aşağıda yer almaktadır. Ceza miktarlarına dikkat edilirse miktarların çok yüksek olduğu görülecektir.
|
YÜKÜMLÜLÜK |
2020 YILI İÇİN CEZA MİKTARLARI |
|
Aydınlatma yükümlülüğü |
9.013 – 180.264 TL |
|
Güvenlik yükümlülüğü |
27.040 – 1.802.641 TL |
|
Kurul kararlarını yerine getirme yükümlülüğü |
45.066 – 1.802.641 TL |
|
VERBİS’e kayıt yükümlülüğü |
36.053 – 1.802.641 TL |
Verbis Kayıt zorunluluğuna dair sürenin son gününün 30 EYLÜL 2020 olması ve kayıt yapılmaması halinde ise uygulanacak cezanın yüksekliği karşısında veri sorumlularının bu durumu ciddiye alması gerekmesine rağmen , konuyu ciddiye alan ve verbis kayıt başvurusu yapan veri sorumlusu sayısı 30,09,2020 tarihi akşam saatleri itibariyle 60,000 civarında kalmıştır.
Ancak yapılan başvuru sayısı olması gerekenin çok çok altındadır.
Bu nedenle KİŞİSEL VERİLERİ KORUMA KURULU aşağıda ki kararı ile yeni bir uzatma süresi vermek ve işin ciddiyetinin daha fazla kaçmasını önlemek amacıyla ara bir formül bulmuştur.
Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) göre kişisel verileri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt olması gereken tarihler Kişisel Verileri Koruma Kurulunca (Kurul) ilan edilmiştir.
Başkanlığımızca Hazine ve Maliye Bakanlığından elde edilen 2019 yılı verilerine göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olduğu görülmesine rağmen 01.10.2020 tarihi itibariyle henüz Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt başvurusunda bulunmayan veya başvuruda bulunduğu halde bildirimini tamamlamayan veri sorumlularının olduğu tespit edilmiştir.
Bu tesbite istinaden Kişisel Verileri Koruma Kurulu tarafından yapılan inceleme ve değerlendirme sonucunda; COVID-19 ile mücadele kapsamında fiili, teknik ya da hukuki imkânsızlık nedeniyle bazı veri sorumlularının Sicile kayıt yükümlülüğünü yerine getiremediği göz önüne alınarak, Veri Sorumluları Sicili Hakkında Yönetmeliğin 8 inci maddesi uyarınca ve Kanunun Geçici 1 inci maddesiyle Kurula verilmiş olan yetki çerçevesinde, Sicile kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bu durumun bir yazı ile bildirilmesi Kurulun 01.10.2020 tarihli ve 2020/760 sayılı kararı ile uygun bulunmuştur.
Söz konusu yazıyla Kurul tarafından kendilerine bildirilen süre içerisinde, ilgili veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri gerekmektedir.
Kamuoyuna saygıyla duyurulur.
Şeklindedir.
Kararın içeriği ; yeni bir genel uzatma süresi vermiyoruz, ama ara formül bulduk, şeklindedir.
Verbis kaydı yapma zorunluluğu olan ve ancak kayıt yapmayanlara Kurul tarafından bildirim yapılacak ve kayıt için süre verilecek ve verilen süre içinde kayıt yapmaları istenecek.
Verilen süre içinde de kayıt yapılmaz ise cezai ve idari yaptırımlar başlatılacak.
Bu aşamada VERBİS kayıt zorunluluğu olanların bir an önce kayıtlarını yapması çok doğru bir hareket olacaktır.
VERİ SORUMLULARININ VERBİS KAYDI YAPMALARININ YANINDA KVKK KAPSAMINDA TEKNİK VE İDARİ TEDBİRLERİ ALMASI DA GEREKMEKTEDİR.
TEKNİK TEDBİRLER :
KVKK süreç takip ve izleme yazılımları
Yetki Matrisi
Yetki Kontrol Erişim Logları
Kullanıcı Hesap Yönetimi
Ağ Güvenliği, Güvenlik Duvarları
Uygulama Güvenliği
Şifreleme
Sızma Testi
Teknik Saldırı Tespit ve Önleme Sistemleri
Teknik Log Kayıtları
Teknik Veri Maskeleme
Teknik Veri Kaybı Önleme Yazılımları
Teknik Yedekleme
Teknik Güncel Antivirüs Sistemleri
Teknik Silme, Yok Etme, Anonim Hale Getirme
Teknik Anahtar Yönetimi
İDARİ TEDBİRLER :
Kişisel Veri İşleme Envanteri Hazırlanması
Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
Sözleşmeler (Veri Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında v.b.)
Gizlilik Taahhütnameleri
Kurum İçi Periyodik ve/veya Rastgele Denetimler
Risk Analizleri
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
Organizasyon Veri Koruma Ofisi yapısının oluşturulması
Organizasyon KVKK Kurum içi süreç tasarımı ve uygulanması
Organizasyon KVKK Operasyonel prosedürlerin oluşturulması
Organizasyon KVKK Süreç yönetim portal tasarımı ,şeklindedir.
Bu teknik ve idari tedbirlerin alınmaması halinde hem kanun kapsamında sorumluluk doğacaktır hemde kişisel verilerin işlenmesi ve saklanması ve yok edilmesi sürecinde zafiyet olacaktır.
Tüm veri sorumluların bu tedbirleri alması ve şartları uyuyorsa VERBİS kaydını yaptırması gerekmektedir.
Veri sorumlularının hukuki ve veri sorumlusunun yetkililerinin cezai yaptırımlar ile karşılaşmaması için KVKK kanunun kapsamında ki sorumluluklarını yerine getirmesi gerekmektedir.
Bu sorumlulukların profesyonel ekipler gözetiminde planlanması ve yerine getirilmesi Veri sorumlularının mazur kalacağı müeyyideleri ortadan kaldıracaktır.
AV.İSMAİL ŞAHİN
. . .
İçerik sadece atıfta bulunularak yayınlanabilir: Sivas İş Dünyası. Editöryal görüş, yazarın görüşüne aykırı olabilir.
