Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt ve bildirim yükümlülüğünü yerine getirmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi uyarınca idari yaptırım uygulanmasına başlanmıştır.
Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) ile ilgili olarak Kurumun resmi internet sitesinde 21.04.2022 tarihinde yayınlanan duyuru aşağıdaki şekildedir.
https://www.kvkk.gov.tr/Icerik/7250/Kamuoyu-Duyurusu-VERBIS-
Kamuoyu Duyurusu (VERBİS)
Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 16’ncı maddesinde “(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. (2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.” hükmü ile Geçici 1 inci maddesinin (2) numaralı fıkrasında “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır.Bu hükme istinaden Kurulun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile; yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının, yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için 31.12.2021 tarihine kadar süre verilmiştir.
Kanun’un 18’inci maddesinin (1) numaralı fıkrasında yer alan “(ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.” hükmü ile aynı maddenin (3) numaralı fıkrasında yer alan “Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.” hükmü gereği Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kurul tarafından re’sen idari yaptırım uygulanabilecektir.
Bu kapsamda Sicile kayıt ve bildirim yükümlülüğünü yerine getirmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi uyarınca idari yaptırım uygulanmasına başlanmıştır.
Kamuoyuna saygıyla duyurulur.
Konuya ilişkin olarak Kurum tarafından hazırlanan Sorularla Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) adlı çalışmaya aşağıdaki bağlantıdan ulaşabilirsiniz.
https://verbis.kvkk.gov.tr/UploadedFiles/SORULARLA_VERB%C4%B0S.pdf
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla Kişisel Verilerin Korunması Kanunu hazırlanmıştır.
6698 Sayılı Kişisel Verilerin Korunması Kanun 07.04.2016 tarihli Resmi Gazete’de yayınlanmıştır.
6698 Sayılı Kişisel Verilerin Korunması Kanun’un 12/1 maddesine göre Veri sorumluları; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS-Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt yükümlülüğünü yerine getirmeleri için belirlenen 30.09.2019 tarihine kadar süre verilmişti.
Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
- Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine, kadar uzatılmasına, karar verilmiştir.
Hazine ve Maliye Bakanlığından elde edilen 2019 yılı verilerine göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olduğu görülmesine rağmen 01.10.2020 tarihi itibariyle henüz Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt başvurusunda bulunmayan veya başvuruda bulunduğu halde bildirimini tamamlamayan veri sorumlularının olduğu tespit edilmiştir.
Bu tesbite istinaden Kişisel Verileri Koruma Kurulu tarafından yapılan inceleme ve değerlendirme sonucunda; COVID-19 ile mücadele kapsamında fiili, teknik ya da hukuki imkânsızlık nedeniyle bazı veri sorumlularının Sicile kayıt yükümlülüğünü yerine getiremediği göz önüne alınarak, Veri Sorumluları Sicili Hakkında Yönetmeliğin 8 inci maddesi uyarınca ve Kanunun Geçici 1 inci maddesiyle Kurula verilmiş olan yetki çerçevesinde, Sicile kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bu durumun bir yazı ile bildirilmesi Kurulun 01.10.2020 tarihli ve 2020/760 sayılı kararı ile uygun bulunmuştur.
Söz konusu yazıyla Kurul tarafından kendilerine bildirilen süre içerisinde, ilgili veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri gerekmektedir.
Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile yeni bir uzatma kararı daha verilmiştir.
VERBİS’E KAYIT SÜRELERİNİN UZATILMASI HAKKINDA DUYURU
Ülkemizde halen etkisini göstermeye devam eden Covid-19 virüs salgını nedeniyle Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar, muhtelif sektör temsilcileri ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
- Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine
- kadar uzatılmasına,
Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına
oybirliği ile karar verilmiştir.
https://www.kvkk.gov.tr/Icerik/6903/VERBIS-E-KAYIT-SURELERININ-UZATILMASI-HAKKINDA-DUYURU
04.01.2021 tarihli Veri Sorumluları Siciline Kayıt Hakkında Kamuoyu Duyurusu
Bilindiği üzere Veri Sorumluları Sicili Hakkında Yönetmelik’in (Yönetmelik) 5 inci maddesinde veri sorumlularının, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumlu olduğu, Sicile açıklanacak bilgilerin Kişisel Veri İşleme Envanterine dayalı olarak hazırlanması gerektiği ve veri sorumlularının Sicile kaydolmasının Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmayacağı belirtilmektedir.
Aynı Yönetmelik’in 9 uncu maddesinde ise Sicile yapılan kayıt başvurusunun; başvuru formunda yer alan bilgiler, kişisel verilerin işlenme amacı, veri konusu kişi grupları, kişisel verilerin aktarıldığı alıcı grupları, yabancı ülkelere aktarım öngörülüp öngörülmediği, alınan veri güvenliği tedbirleri ile saklama sürelerine ilişkin bilgileri içereceği hükmü yer almaktadır.
Bu kapsamda Kurumumuzca yapılan değerlendirme sonucunda, aşağıdaki hususların tekrar hatırlatılmasında fayda görülmektedir:
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt başvuru formunun sadece sisteme girilmesi veya Kuruma posta, kargo, kurye, KEP ile iletilmesi ya da elden teslim edilmesi Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmiş olduğu anlamına gelmemektedir. Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmiş olması için VERBİS’e kayıt başvuru formunun Kuruma posta, kargo, kurye veya KEP ile iletilmesi ya da elden teslim edilmesi ve Kurumca onaylanması akabinde başvuru formunda belirtilen elektronik posta adresine iletilen “kullanıcı adı” ve “parola” ile VERBİS ana sayfada yer alan “Veri Sorumlusu Yönetici Giriş” butonu aracılığıyla giriş yaparak bir “irtibat kişisi” atanması, atanan irtibat kişisi tarafından da yine VERBİS ana sayfada yer alan “Sicile Kayıt” butonu aracılığıyla giriş yapılması ve ilgili veri sorumlusu için “bildirim” düzenlenerek sistem üzerinden bildirimin onaylanması gerekmektedir.
VERBİS; kesintisiz olarak erişim, başvuru ve bildirim düzenlemesine açık olup hâlihazırda sistem üzerinden başvuru yapılabilmesi ve bildirim düzenlenmesi imkânı bulunmaktadır. Bu nedenle eksik başvuru ve bildirimlerin bir an önce tamamlanması önem arz etmektedir. Ayrıca, Yönetmelik’in 13 üncü maddesinde yer alan “Veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.” hükmü gereği VERBİS üzerinden giriş yapılarak “bildirim güncellemesi” yapılması mümkündür.
VERBİS’e kaydolmak haricinde, Kanun ve ikincil mevzuatta getirilen diğer yükümlülükler de bulunmakta olup veri sorumlularının diğer yükümlülüklere de uyması gerektiği tabiidir.
Kamuoyuna saygıyla duyurulur.
https://www.kvkk.gov.tr/Icerik/7156/Veri-Sorumlulari-Siciline-Kayit-Hakkinda-Kamuoyu-Duyurusu
Veri̇ Sorumluları Si̇ci̇li̇ Hakkında Yönetmeli̇k madde 5/1-f uyarınca Kanunun 28 inci maddesinde belirtilen durumlar saklı kalmak kaydıyla Yönetmeliğin 16 ncı maddesinde belirtilen objektif kriterlere dayalı olarak belirli şartları taşıyan veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmaz.
6698 Sayılı Kişisel Verilerin Korunması Kanun’un Kabahatler başlıklı 18.maddesine göre Aydınlatma, Veri güvenliği, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne yerine getirmeyenler ile Kurul kararlarına aykırı hareket edenler 2022 yılı değerleme oranlarına göre 13.393 TL’den 2.678,866 TL’ye kadar idari para cezası ile cezalandırılabileceklerdir.
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler (18/1-ç) 2022 yılı değerleme oranlarına göre 53.572 – 2.678.866 TL’ye kadar idari para cezası ile cezalandırılabileceklerdir.
Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerine göre 1 yıldan 6 yıla kadar hapis cezası verilebilecektir.
Bu nedenlerle şirketlerin KVKK – KİŞİSEL VERİLERİN KORUNMASI SÜREKLİ DANIŞMANLIK HİZMETİ kapsamında idari ve teknik tedbirleri alması, kişisel veri envanteri oluşturması, yazılı belge, politika ve prosedürleri oluşturması, eğitim ve denetim faaliyetlerini yürütmesi, ve Kurum tarafından belirlenen kriterlere uygun büyüklükteki şirketlerin VERBİS-Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt olması gerekmektedir.