VERBİS kayıtları ile KVKK uyum süreçleri sona mı eriyor?

Av. Hatice ZÜMBÜL
Av. Hatice ZÜMBÜL Hukuki Perspektif av.haticezumbul@gmail.com

2010 yılında Anayasanın 20. maddesine eklenen fıkra ile kişisel verilerin korunması Anayasal güvence altına alınarak kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği hükme bağlanmıştır. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), 07.04.2016 tarihli Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. (bazı maddeleri 6 ay sonrasında yürürlüğe girmiştir .)

Kanun ile kişisel verilerin işlenmesi disiplin altına alınarak sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır. Bu amaçla, kişisel verilerin işlenmesine ilişkin denetim mekanizmaları oluşturularak, bu verilerin hukuka aykırı olarak işlenmesinin engellenmesi hedeflenmektedir.

Kanun’un kapsama alanı oldukça geniş olup, Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Dolayısıyla Kanun’da gerçek kişiler, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları arasında bir ayrım gözetilmemiş ve hak ehliyetine sahip olan herkes Kanun kapsamında tutularak tüm kurum ve kuruluşların öngörülen usul ve esasları uygulaması gerektiği anlayışı benimsenmiştir.

Kanun’un Geçici 1. maddesinin 3. fıkrasında, hâlihazırda işlenmiş kişisel verilerin durumu da düzenlenerek Kanun’un yayım tarihinden önce (07.04.2016) işlenmiş olan kişisel verilerin, Kanun’un yayımı tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hâle getirilmesi öngörülmüştür. Ancak konu hakkındaki gerek farkındalığın artırılması gerekse kuruluşlardaki tüm sistemlerin Kanun’a uygun hale getirilmesi bir hayli süredir devam eden ve devam edecek olan bir süreçtir.

Bununla birlikte; Kişisel Verileri Koruma Kurumu Başkanlığınca Kanun’un 16. maddesine göre internet üzerinden erişilebilen bilişim sistemi olarak “Veri Sorumluları Sicil Bilgi Sistemi” (“VERBİS”) oluşturularak sicile kayıt zorunluluğu getirilmiştir. Uygulamadaki zorluklar ve gündemdeki durumlar gözetilerek birçok kere tarih ertelemesi yapılmış; fakat en son 30.09.2020 tarihinde kayıt yükümlülüğünün son bulması kararlaştırılmış ve Kurum tarafından bu tarihin uzatılmasına ilişkin herhangi bir karar alınmamıştır.

Kayıt süresinin uzatılmasına ilişkin bir karar alınmamakla beraber, Kişisel Verileri Koruma Kurulu’nun 01.10.2020 tarihinde internet sitesi üzerinden paylaşmış olduğu duyuru ile Kurul’un aldığı karar doğrultusunda; COVID-19 pandemisinin yarattığı fiili, teknik ya da hukuki imkansızlıklar nedeniyle kayıt yükümlülüğünü yerine getirememiş olan veri sorumlularına, Kurul tarafından bir yazı gönderilerek yazıda belirtilen tarihe kadar kayıtların tamamlanması gerektiği ifade edilmiştir ve böylelikle uygulamada farklı bir yöntemle bir kez daha uzatma/esneklik söz konusu olmuştur.

Ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumlularının VERBİS kayıt yükümlülüğü

Çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan kurumlar için getirilen 30.09.2020 tarihi, ana faaliyet konusu özel nitelikli kişisel veri işlemek olan veri sorumluları için geçerli değildir. Bu kapsamda; yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları için VERBİS son tarihi; 31.03.2021’dir.

Kanun’a göre; “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvelik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veriler olarak sayılmış ve bu verilerin, kural olarak, ancak ilgilinin açık rızası ile işlenebileceği belirtilmiştir.

Dolayısıyla ana faaliyet konusunu özel nitelikli kişisel veri işleme olarak tespit eden kurum ve kuruluşlar, 31 Mart 2021 tarihine kadar sicile kayıt yükümlülüğünü yerine getirmelidir.

Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmemesi halinde; Kanun’un “Suçlar ve Kabahatler” başlıklı 16. maddesinin 1. fıkrasının (ç) bendi uyarınca, veri sorumluları, 20.000 Türk lirasından 1.000.000 Türk lirasına kadar değişebilen idari para cezasıyla karşı karşıya kalabileceklerdir.

Sürelerin geçtikten sonra şartların sağlanması halinde yapılacaklar

Kurum tarafından ilan edilen süreler sona erdikten sonraki bir tarihte kayıt ve bildirim yükümlülüğüne ilişkin şartlar sağlanmışsa, bu halde kayıt yükümlüsü olunan tarihten itibaren 30 günlük sürede VERBİS’e kayıt ve bildirim yükümlülüğünün yerine getirilmesi gerekmektedir.

Bu doğrultuda ilan edilen sürelerden sonra;

• Çalışan sayısı 50’yi geçen veya

• Yıllık mali bilanço toplamı 25 milyon TL’yi geçen veya

• Ana faaliyet konusu özel nitelikli kişisel veri işleme olan

veri sorumlularının 30 gün içerisinde VERBİS kayıtlarını gerçekleştirmeleri gerekmektedir.

VERBİS yükümlülüğü dışında yapılması gerekenler

VERBİS’e kayıt yükümlülüğü, uyum sürecinin sonlandıran bir adım olmayıp sürecin içerisinde yer alan adımlardan sadece bir tanesidir. VERBİS bildirimleri ile kurumlarda ne gibi ve kime ait verilerin işlendiği, ne kadar süreyle muhafaza edildiği, hangi amaçlarla işlendiği, kimlere aktarıldığı gibi konular kamuoyu ile paylaşılmaktadır. Ancak bu husus, kurumların veri koruma alanındaki yükümlülüklerinin sonu değil, aksine bir başlangıcı olarak kabul edilebilecektir.

Kurumlar içerisinde veri koruma hakkında dikkat edilmesi gereken birçok husus bulunmaktadır. Bunlar arasında en başta, “Kişisel Veri İşleme Envanteri” ile “KVKK Politikası”, “İmha Politikası" gibi prosedürlerin hazırlanması ve kişisel veri güvenliğine ilişkin teknik ve idari tedbirleri alınması ile şirket içinde bu yönde kurumsal bilincin oluşturulması gibi yükümlülükler bulunmaktadır. Oluşturulan politikalar ve iç prosedürler, yalnızca yazılı metinler halinde kalmayıp uygulamaya alındığında ve kurum tarafından benimsendiğinde yararlı olabilecektir.

Bununla birlikte, kişisel veri işleme hallerinde her duruma özgü olarak aydınlatma yükümlülüğü yerine getirilmeli ve Kanun’daki hukuki sebeplerin dayanak olarak kullanılamadığı hallere özgü şekil şartlarına uygun açık rıza beyanları alınmalıdır.

Ayrıca Kanun’un "Genel İlkeler" başlıklı 4. maddesinde ve "Kişisel Verilerin İşlenme Şartları" başlıklı 5. maddesinde belirtilen genel veri işleme ilkeleri ile verilerin işlenme şartlarının veri sorumluları tarafından benimsenmesi gerekliliği uyum açısından büyük önem arz etmektedir. Kurumlar kendi içerisinde, bu farkındalığı sağlamak amacıyla belirli zaman aralıklarıyla eğitimler düzenleyerek kişisel verilerin korunması kültürünü ve hassasiyetini şirket içerisinde oluşturmalıdır.

İdari gerekliliklerin yanı sıra, teknik gerekliler de yerine getirilmeli ve verilerin güvenliğini sağlama yolunda altyapılar oluşturulmalıdır. Veri sızıntısı ve/veya hırsızlığı halinde müdahale planları oluşturularak tehditlere karşı koruma mekanizmaları kurgulanmalıdır.

Veri ihlallerinin kolayca gerçekleştirilebildiği günümüz teknolojisinde muhafaza altında tutulan kişisel verilerin güvenliğinin sağlanması veri sorumlusunun yükümlülüğü altında bulunmaktadır. Hem muhafaza altında tutulan kişisel verilerin hem de üçüncü bir kişiye veya iş ortaklarına aktarılan kişisel verilerin güvenliği, veri sorumlusu tarafından belirlenecek kriterler çerçevesinde sağlanmalıdır. Bunun için de yapılan her anlaşma veya iş ortaklığında karşılıklı veri koruma taahhütlerinde bulunulmalı ve veri güvenliğine ilişkin teknik alt yapı gereklilikleri yerine getirilmelidir.

Veri koruma, sürekli olarak değişikliğe uğrayan ve hassasiyetle yaklaşılması gereken bir konu olup, her ne kadar ilgili mevzuatlara uyum süreci, uygulamada birçok soru ve sorunlara yol açsa da son yıllarda dünya üzerinde artan veri trafiği göz önüne alındığında yükümlülüklere olan ihtiyaç da aynı derecede gün yüzüne çıkmaktadır.

Yazara Ait Diğer Yazılar Tüm Yazılar