VERBİS – Veri Sorumluları Siciline Kayıt Yükümlülüğü tarihi Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
- Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
kadar uzatılmasına oybirliği ile karar verilmiştir.
Kaynak: https://www.kvkk.gov.tr/Icerik/6750/VERBIS-E-KAYIT-SURELERININ-UZATILMASI-HAKKINDA-DUYURU
VERBİS bildirimi yükümlülüğünün ertelenmesi, veri sorumlularının kanundan kaynaklanan diğer yükümlülüklerinin ertelenmesi anlamına gelmemektedir. Kişisel Verilerin Korunması Kanununda veri sorumlularının yükümlülükleri arasında yer alan aydınlatma yükümlülüğü ve veri güvenliğine ilişkin yükümlülükler ertelenmeksizin devam etmektedir.
31.12.2017 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesine göre 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 28 inci maddesinde belirtilen durumlar saklı kalmak kaydıyla Yönetmeliğin 16 ncı maddesinde belirtilen objektif kriterlere dayalı olarak belirli şartları taşıyan veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmaz.
6698 Sayılı Kişisel Verilerin Korunması Kanun’un 12/1 maddesinde
“Veri sorumlusu;
- a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü yer almaktadır.
Kişisel verileri koruma kurulunun yayınladığı idari ve teknik tedbirlere ilişkin rehberde teknik ve idari tedbirler aşağıdaki şekilde sıralanmıştır.
Teknik Tedbirler
- Yetki Matrisi
- Yetki Kontrol Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği
- Uygulama Güvenliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları
- Yedekleme
- Güvenlik Duvarları
- Güncel Anti-Virüs Sistemleri
- Silme, Yok Etme veya Anonim Hale Getirme
- Anahtar Yönetimi
İdari Tedbirler
- Kişisel Veri İşleme Envanteri Hazırlanması
- Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
- Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
- Gizlilik Taahhütnameleri
- Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi,
- Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
- Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
- Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
- Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
Yukarıda görüldüğü üzere Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim Veri sorumlularının Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik alması gereken teknik ve idari tedbirlerden sadece bir tanesidir.
Aydınlatma yükümlülüğünü ve veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyenlere 2020 yılı yeniden değerleme oranlarına göre 9.013 TL’den 1.802.636 TL arasında idari para cezası verilebilecektir.
Nitekim VERBİS’ e kayıt yükümlülüğünün uzatıldığı gün yayınlanan Kişisel Verileri Koruma Kurulunun 05.05.2020 tarih ve 2020/344 sayılı Kararıyla “ Bir banka tarafından ihlal bildirimi üzerine yapılan incelemede ilgili banka tarafından; Kişisel Veri Güvenliği Rehberinde idari tedbirler arasında yer alan “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında ifade edilen tedbirin yerine getirilmediği,kurum İçi Periyodik ve/veya Rastgele Denetimler yapılmadığı,ve gerekli teknik tedbirlerin yeterince almadığı dikkate alınarak, Kanunun 12 nci maddesinin (1) numaralı fıkrasına uygun olarak gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında 1.000.000 TL idari para cezası uygulanmasına karar vermiştir.
İlgili Karar:https://www.kvkk.gov.tr/Icerik/6764/2020-344
Benzer şekilde Kişisel Verileri Koruma Kurulunun 16.04.2020 tarih ve 2020/286 sayılı Kararıyla ‘’Bir oyun şirketinin veri ihlal bildirimi sonucu incelenmesi veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan Şirket hakkında 1.000.000 TL idari para cezası uygulanmasına karar vermiştir.
İlgili Karar:https://www.kvkk.gov.tr/Icerik/6763/2020-286
Sonuç olarak; Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim işlemi; Veri sorumlularının Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik alması gereken teknik ve idari tedbirlerden sadece bir tanesi olup, bu bildirim süresinin ertelenmesi veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmadığından aydınlatma yükümlüğünü ve veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlularına 9.013 TL’den 1.802.636 TL arasında idari para cezası verilebilecektir.