VERBİS – Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin Kurulca Belirlenen Tarihler Hakkında 2019/387 Sayılı Kurul Kararıyla ;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
- Yurtdışında yerleşik gerçek ve tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.09.2020 tarihine,
- Kamu kurum ve kuruluşu veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 31.12.2020 tarihine,
kadar uzatılmasına karar verilmişti.
http://www.ozgureralp.com/verbise-veri-sorumlulari-siciline-kayit-suresi-uzatildi/
Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile yeni bir uzatma kararı daha verilmiştir.
VERBİS’E KAYIT SÜRELERİNİN UZATILMASI HAKKINDA DUYURU
Ülkemizde halen etkisini göstermeye devam eden Covid-19 virüs salgını nedeniyle Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar, muhtelif sektör temsilcileri ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
- Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine
kadar uzatılmasına,
- Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına
oybirliği ile karar verilmiştir.
https://www.kvkk.gov.tr/Icerik/6903/VERBIS-E-KAYIT-SURELERININ-UZATILMASI-HAKKINDA-DUYURU
Kişisel Verileri Koruma Kurumu’nun VERBİS – Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin kararında da açıkça belirtildiği üzere; Veri sorumlularına, 6698 sayılı Kanunla Sicile kayıt ve bildirim yükümlülüğü getirilmiş olmasının amacı;
- Kişisel verilerin işlenmesinde şeffaflığın,
- Kişisel verilerin gelişigüzel işlenmesinin önüne geçilerek bu alanda veri sorumlularının kişisel veri işlemesi faaliyetlerinin disiplin altına alınmasının,
- Kişisel verilerin korunması alanında toplumun tüm kesimlerinde kültür ve farkındalık oluşmasının, veri sorumlularının kişisel verisini işlediği kişilere hesap verebilmesinin,
- Veri sorumlularının Kanuna uyumunun,
- İstisna kapsamında olmayan tüm veri sorumlularının Sicile kaydolmasının sağlanmasıdır.
Bu amaçlardan da anlaşılacağı üzere Sicile kayıt ve bildirim yükümlülüğü, sadece süresinde VERBİS’e kayıt olunmasını değil, bununla birlikte VERBİS’e beyan edilen bilgilerin tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde doğru, güncel ve güvenilir bilgilerin de beyan edilmesini kapsamaktadır.
31.12.2017 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesine göre 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 28 inci maddesinde belirtilen durumlar saklı kalmak kaydıyla Yönetmeliğin 16 ncı maddesinde belirtilen objektif kriterlere dayalı olarak belirli şartları taşıyan veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmaz.
6698 Sayılı Kişisel Verilerin Korunması Kanun’un 12/1 maddesinde
“Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü yer almaktadır.
Teknik Tedbirler
- Yetki Matrisi
- Yetki Kontrol Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği
- Uygulama Güvenliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları
- Yedekleme
- Güvenlik Duvarları
- Güncel Anti-Virüs Sistemleri
- Silme, Yok Etme veya Anonim Hale Getirme
- Anahtar Yönetimi
İdari Tedbirler
- Kişisel Veri İşleme Envanteri Hazırlanması
- Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
- Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
- Gizlilik Taahhütnameleri
- Kurum İçi Periyodik ve/veya Rastgele Denetimler,
- Risk Analizleri,
- İş Sözleşmesi,
- Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
- Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
- Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
- Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
Yukarıda görüldüğü üzere Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim Veri sorumlularının Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik alması gereken teknik ve idari tedbirlerden sadece bir tanesidir.
Aydınlatma yükümlüğünü ve veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyenlere 2021 yılı yeniden değerleme oranlarına göre 9.834 TL’den 1.966.862TL arasında idari para cezası verilebilecektir.
Nitekim güncel tarihli Kişisel Verileri Koruma Kurulunun 07/11/2019 Tarihli ve 2019/332 Sayılı Kararıyla “Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesi” ile ilgili olarak 50.000 TL idari para cezası uygulanmasına karar vermiştir.“
Benzer şekilde Kişisel Verileri Koruma Kurulunun 07/11/2019 Tarihli ve 2019/331 Sayılı Kararıyla İlgili kişinin bir Sigorta Şirketi tarafından açık rızası alınmadan sigortacılık faaliyetleri konusunda telefonla aranması hususunda 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
Sonuç olarak; Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim işlemi; Veri sorumlularının Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik alması gereken teknik ve idari tedbirlerden sadece bir tanesi olup, bu bildirim süresinin ertelenmesi veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmadığından aydınlatma yükümlüğünü ve veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlularına 7.340 TL’den 1.470.580 TL arasında idari para cezası verilebilecektir.