Günümüzde kişisel verilerin gerçek ve tüzel kişiler tarafından işlenmesi, gerek teknolojik gelişmeler gerekse de günlük yaşantı içerisinde kaçınılmaz bir zorunluluk haline gelmiştir. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi anlamına gelmektedir.
Kişisel verileri işleyenlere yönelik olarak Kişisel Verileri Koruma Kanunu kapsamında bazı yükümlülükler olduğu gibi bu yükümlülüklerden biri de VERBİS sistemine kayıt olmaktır. VERBİS, Veri Sorumluları Sicil Bilgi Sistemi anlamına gelmekte olup bu sistem sayesinde gerçek ve tüzel kişiler işledikleri verilerle ilgili olarak tüm bilgileri tanımlamak zorundadır.
30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik md. 4-o uyarınca ‘Veri sorumluları sicil bilgi sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi,’ olarak tanımlanmıştır.
ÖZEL NİTELİKLİ KİŞİSEL VERİ Nedir?
6698 sayılı KVKK’nun 6. maddesinde; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde belirtilmiştir. Özellikle özel nitelikli kişisel veri işleyen veri sorumluluları, telafisi güç zararlar yaşamamak adına yazı konusu süreç ile ilgili olarak hassasiyet göstermelidir.
KİMLER VERİ SORUMLUSUDUR VE NE GİBİ YÜKÜMLÜLÜKLERİ BULUNUR
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusudur. Veri sorumluları, 6698 sayılı KVKK’nun 16. Maddesi gereğince kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline (VERBİS) kayıt olmak ve kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Önemle belirtmek isterim ki detayları aşağıda açıklandığı üzere VERBİS’e kayıt ile ilgili olarak son tarih 31.12.2021 olarak belirlendi.
Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları
ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve
tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin
31.12.2021 tarihine kadar uzatılmasına karar verildi.
30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik’te tanımlanan istisnalar dışında kişisel veri sorumlusu olan tüm gerçek ve
tüzel kişilerin usule uygun biçimde süresinde ve eksiksiz olarak sisteme kayıtlarını yapmaları zorunludur. Sırf VERBİS sistemine kayıt
olunması yeterli olmayacak olup ayrıca veri sorumlularının, veri güvenliğini temin etmek adına Kişisel Veri Saklama ve İmha Politikası,
işledikleri tüm kişisel veriler için de Kişisel Veri İşleme Envanteri oluşturma ve bunlara uygun davranma zorunluluğu bulunmaktadır.
Bunların yanında veri sahipleri tarafından yapılan başvuruların cevaplandırılması, aydınlatma yükümlülüğüne uygun davranılması,
Kurul kararlarının yerine getirilmesi ve veri ihlali durumunda Kurula bildirim yapma yükümlülükleri de veri sorumlularının uhdesindedir.
Kişisel veri işleme envanteri; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme
faaliyetlerini, kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek
oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel
verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.
Kişisel veri saklama ve imha politikası; veri sorumlularının kişisel verilerin işlendikleri amaç için gerekli olan azami
süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı ifade etmekte
olup tüm veri sorumluları VERBİS sistemine kayıt olduktan sonra işbu politikayı oluşturmak, benimsemek ve güncel tutmak ile yükümlüdür.
Aydınlatma yükümlülüğü; kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere,
Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve
hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, ilgili kişinin kanun kapsamında sahip olduğu hakları
konularında bilgi vermekle yükümlüdür.
6698 sayılı KVKK’nun 18. Maddesi uyarınca düzenlenen Yaptırım;
- a. 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
- b. 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- c. 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- ç. 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir
Netice Olarak
Anlatılan tüm bu yükümlülükler ile kişisel verilerin işlenmesi faaliyetleri bakımından açıklık sağlanması ve veri sorumlarının mevzuata uygun hareket etmeleri konusunda daha güvenli bir ortam oluşturulması amaçlanmakta olup hak sahibi kişinin verilerinin korunması ve günümüzde kişisel veri işlenmesi zaruriyeti arasındaki hassas dengenin sağlanması oldukça mühimdir