Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK/Kanun”) 07.04.2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Avrupa Birliği’nin 95/46/EC direktifine uygun şekilde kişisel verilere dair çerçeve bir düzenleme getirmeyi amaçlayan kanun hem özel sektör hem de kamu sektörü için kişisel verilerin korunması ve işlenmesine dair süreçler ile yükümlülükleri düzenlemektedir.
Kanun uyarınca, kanunun yayım tarihinden önce işlenmiş olan kişisel verilerin kanun ile uyumlu hale getirilmesi ve hükümlerine aykırı olduğu tespit edilen kişisel verilerin derhal silinmesi, yok edilmesi veya anonim hâle getirilmesi için 2 yıllık süre öngörülmüştür. Kanun’a uyum için öngörülen söz konusu 2 yıllık süre 7 Nisan 2018’de dolmuştur. Bu bağlamda, esasen kanun kapsamında bir veri sorumlusu olarak nitelenen şirketlerin de bu tarih itibariyle kanuna uyumlu olarak veri işleme faaliyetlerini yürütüyor olması gerekmektedir.
Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz “Kişisel Verileri Koruma Kurumu” kurulmuştur. Kurumun karar organı sıfatıyla kurul, bu kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir. Aynı zamanda bu yetkileri kullanmak üzere 9 üyeden oluşan bir kurulun da kurulması kanun ile öngörülmüştür. Kurum ilgili kişinin şikâyeti üzerine harekete geçmekte ve kanunda öngörülen yükümlülüklere uymayan veri sorumlularına 4,5 yıla kadar hapis ve 2.678.863,00 TL’ye ulaşan para cezasına hükmedebilmektedir. Bu idari para cezaları yeniden değerleme oranları ile her yıl yeniden hesaplanarak artırılmaktadır.
Bu noktada öncelikle KVKK kapsamında yer alan önemli unsurların tanımlarına değinmek gerekmektedir.
Veri sorumlusu ise, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin olacaktır.
Kişisel verilerin işlenmesi bakımından KVKK’nın 5. maddesinde yer alan ana kural kişisel veri sahibinin yani kanunun tanımı ile ilgili kişinin açık rızasının alınmasıdır:
Koşullarından biri mevcut değil ise kişisel verilerin işlenebilmesi için açık rıza alınması gerekmektedir.
Veri sorumlularının kişisel verileri işleme faaliyetleri bakımından düzenli denetime tabi tutulabilmeleri amacı ile kural olarak Türkiye’de yerleşik tüm veri sorumluları, Kişisel Verileri Koruma Kurumu nezdinde tutulan Veri Sorumluları Sicili (VERBİS)’ne kayıt olmakla yükümlüdürler. KVKK uyarınca veri sorumluları, kurul tarafından belirlenen ve ilan edilen süre içinde, yine kurul tarafından belirlenmiş olan nitelik ve niceliğe sahip veri sorumluları, Veri Sorumluları Sicili’ne (VERBİS) kayıt yaptırmak zorundadır.
Verilen yetki çerçevesinde Kurul; aşağıda yer verilen veri sorumlularını VERBİS’e kayıt yükümlülüğünden muaf olarak ilan etmiştir:
Kurul’un yayımladığı duyuruya göre;
KVKK Uyum Projeleri ile mevcut iş süreçleri bakımından bir kültür değişimi yaşanması ve kişisel verilerin işlenmesi ile ilgili süreçler açısından çalışanlarda bir farkındalık ve hassasiyet gelişmesi hedeflenmektedir. Bu gelişim de ancak süreçlerin ilgili mevzuatlara uyumunun sağlanması ve farkındalığın yükseltilmesi ile söz konusu olabilecektir.
Av. Gökçenur Bilgin, MBA