Top

VERBİS Süresi Uzatıldı: Kurul’dan Önemli Uyarılar

VERBİS Süresi Uzatıldı: Kurul’dan Önemli Uyarılar

Kurul, 27 Aralık 2019 tarihinde verdiği 2019/387 sayılı kararı ile Veri Sorumlularının KVK’nın 16. maddesi uyarınca veri işlemeye başlamadan önce yapmak zorunda oldukları Veri Sorumluları Siciline kaydı için tanınan süreleri uzattı.

VERBİS, kişisel verisi işlenen gerçek kişilere, kendi verileri üzerinde kontrol sahibi olmaları için düşünülen, kamuya açık olarak tutulan, kişisel verilerin korunması rejiminin gerektirdiği şeffaflık ve hesap verebilirliği sağlamayı amaçlayan bir araçtır.

Kurul, kanunla getirilen ve ilgili herkesi bağlayan bir yükümlülük olan VERBİS’e kayıt tarihlerini uzattığı kararında çok önemli uyarılar ve hatırlatmalar da yapıyor. Kurul VERBİS’in amaçlarını şöyle sıralıyor:

  • kişisel verilerin işlenmesinde şeffaflığın sağlanması
  • veri sorumlularının Kanuna uyumu konusunda özen göstermeleri
  • kişisel veri işlenmesinin disiplin altına alınması
  • kişisel verisini işlediği kişilere hesap verebilmesi
  • kişisel verilerin gelişigüzel işlenmesinin önüne geçilmesi
  • kişisel veri konusunda bir kültür ve farkındalık oluşmasının sağlanması

Kurul’un bu hatırlatmaları yapmasının en önemli nedeni VERBİS’e kayıt yaptırmamanın sonucu olarak yasanın öngördüğü para cezasından kaçınmak için kuruluşların yeterli özeni göstermemiş olmaları. Bu durum kişisel veri kullanımlarını ve yönetimlerini analiz etmemiş, kendi özel “veri envanteri”ni çıkarmamış olan kuruluşlarda daha sık görülüyor. Ama asıl ilginç olanı yükümlülerin bir çoğunun VERBİS kayıt sistemini anlamamış olmaları.


Kurul’un da kararında belirttiği üzere iki basamaklı olarak oluşturulan başvuru sistemi pek çokları tarafından anlaşılmamış. Kurulan sisteme göre yükümlünün önce VERBİS’e kayıt yaptırabilmek için bir hesap açılması amacıyla ön başvuru yapması, bu başvuru onaylanarak kendisine sisteme giriş izni verildikten sonra ise asıl bildirimini yapması bekleniyordu. Ancak anlaşılan pek çok kuruluş ilk basamağın yani “kullancı adı” ve “parola”nın oluşturulmasınan yeterli olduğunu düşünerek, ikinci ve asıl bildirimi yapmamışlar. Bunun en büyük sebebi kişisel veri yönetiminin, iş hayatını değiştiren ne kadar önemli bir faktör olduğunun henüz sektörler tarafından anlaşılmamış olması. Nitekim Kurul’un da kararında belirttiği üzere:

Bu amaçlardan da anlaşılacağı üzere Sicile kayıt ve bildirim yükümlülüğü, sadece süresinde VERBİS’e kayıt olunmasını değil, bununla birlikte VERBİS’e beyan edilen bilgilerin tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde doğru, güncel ve güvenilir bilgilerin de beyan edilmesini kapsamaktadır

Kişisel Verileri Koruma Kurulu

Yine Kurul, kuruluşların şu ana kadar yaptıkları VERBİS bildirimleri arasında ciddi yanlışlıklar ve tutarsızlıklar görüldüğünü kararında ifade etmektedir. VERBİS bildiriminin temel taşları olan :

  • kişisel verilerle işleme amaçları,
  • aktarım gerçekleştirildiği beyan edilen alıcı/alıcı grupları,
  • veri konusu kişi grupları,
  • alınan teknik ve idari tedbirler,
  • özel nitelikli kişisel veriler için alınması gereken yeterli önlemler,
  • yurtdışına veri aktarımı ve
  • verileri saklamaya ilişkin beyan edilen sürelerin,

kuruluşun iş amacına, uymak zorunda olduğu yasa ve mevzuatla uyumlu ve kendi aralarında tutarlı olması beklenir. Kurul’un da kararında altını çizdiği gibi kuruluşların bunu yapabilmesi için veri sorumlularının VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmeden önce kişisel veri işlenmekte olan tüm süreçleri içerecek şekilde kişisel veri işleme envanteri hazırlanması ve VERBİS’e bildirim yapılırken gelişigüzel değil söz konusu envanter baz alınarak giriş yapılması gerekmektedir.

YAPILAN HATALAR


Kurul VERBİS’e girilen bilgiler üzerinden yaptığı araştırma ve değerlendirme sonucunda şu yaygın hataları tespit etmiş;

  • Sadece kayıt başvuru formunu ilettiğinin görüldüğü ve VERBİS’e giriş yapılarak kişisel veri işleme faaliyetlerine ilişkin bildirimin tamamlanmadığı,
  • Yapılan bildirimlerin bir çoğunun sadece Kanunda öngörülen yaptırımlarla karşılaşmamak adına ve süreye uymak için yapıldığı ve eksik kalan bu bildirimlerin de Kanuna aykırılık teşkil ettiği,
  • Kişisel veriler ile işleme amaçları, alıcı/alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yeterli önlemler, yurtdışına veri aktarımı ve saklama sürelerinin örtüşmediği, bu konuda ciddi yanlışlıklar ve mevzuata aykırılıklar olduğunun görüldüğünün,
  • Bazı bildirimlerde sunulan bilgilerin doğru ve güncel olmadığı,
  • VERBİS bildirimlerinin kuruluşların diğer yükümlülüğü olan kişisel ve VERBİS’e temel teşkil eden veri işleme envanteri hazırlanmadan yapıldığı,

tespit edilmiş ve tüm veri sorumlularına hatırlatılmıştır.

Bu karar tam olarak okunmadan, sadece sürelerin uzatılmış olması bir rahatlama yaratabilir ama bunun yanlış ve geçici bir güvenlik hissi olduğunun altını çizmek lazım. Tanınan çok kısa 6 ve 9 aylık süreleri tekniğine uygun bir kişisel veri yönetim sistemi kurmak, veri envanterini doğru bir biçimde hazırlamak ve ardından da bunlara uygun olarak geçerli bir VERBİS bildiriminde bulunmak için değerlendirmekte yarar var.

YENİ BİLDİRİM SÜRELERİ


Veri SorumlularıKayıt Yükümlülüğü Başlangıç TarihiKayıt Yükümlülüğü Son Tarihi
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları01.10.201830.06.2020
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları01.10.201830.06.2020
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları01.01.201930.09.2020
Kamu kurum ve kuruluşu veri sorumluları01.04.201931.12.2020
Melih R. Çalıkoğlu
Melih R. Çalıkoğlu
2 Comments

Yorum Yapın