Verbis Sistemine Kayıt ile İlgili Bilgilendirme

Verbis Sistemine Kayıt ile İlgili Bilgilendirme

Verbis Sistemine Kayıt ile İlgili Bilgilendirme

İzmir, 28.05.2020

 

KVKK tarafından yapılan son açıklama ile veri sorumlularının VERBİS’e kayıt yaptırmaları için son gün 30.06.2020 tarihine ertelendi.

Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Eğer veri işleme faaliyeti bir tüzel kişilik tarafından gerçekleştiriliyorsa, burada veri sorumlusu tüzel kişinin kendisidir. Bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir.

Veri sorumlularının bir yükümlülüğü VERBİS'e kayıt yükümlülüğüdür. VERBİS, veri sorumlularının sicile başvuru ve sicille ilgili diğer işlemlerde kullanacakları; internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sisteminin adıdır.

KVKK’dan yapılan ertelemeyle ilgili açıklamaya göre, yıllık çalışan sayısı 50’den veya yıllık mali bilanço toplamı 25 milyon liradan çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumlularının VERBİS’e kayıt olmaları için tanınan süre, 30 Haziran 2020’ye kadar uzatılmıştır. Gerçek kişi veya şirketlere, VERBİS üzerinden sicile kayıt yaptırmamaları durumunda; Kişisel Verileri Koruma Kanunu’nun 18. maddesinin birinci fıkrasının (ç) bendine göre 20 bin ile 1 milyon 470 bin lira arasında idari para cezası verilecektir. Bu yaptırım, istisna olmadığı durumlarda kayıt yaptırmayanlara uygulanacaktır.

VERBİS’e kayıt internet üzerinden yapılmaktadır. Öncelikle sisteme başvuru yapılması gerekmektedir. İlk aşama kategorilere göre; (Veri sorumlusu yöneticisi ya da veri sorumlusu temsilcisi) istenen bilgileri girerek sistem üzerinden oluşturulan başvuru formunu ıslak imzalı şekilde kuruma iletmekle tamamlamış olmaktadır. Bu başvurunun şirketin KEP adresinden Kurumun KEP adresine göndererek de yapılması mümkündür.

Kurum başvuruyu değerlendirdikten sonra, belirtmiş olduğunuz mail üzerinden kullanıcı adı ve açık parola göndermektedir. Daha sonra sisteme giriş yapılarak bir irtibat kişisi atanması gerekmektedir. İrtibat kişisi ise VERBİS’te istenen bilgileri doldurmaktadır. Bu sebeple bir irtibat kişisi belirlenmesi de gereklidir.

İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlayacaktır. İrtibat kişisinin değişmesi durumunda Sicil'deki bilgilerde değişiklik yapılması gerekeceğinden yedi gün içinde Sicil'deki bilgilerin güncellenmesi gerekir. İrtibat kişisi bilgisinin yanlış olması durumunda da idari para cezası uygulanmaktadır. İrtibat kişisinin sorumluluk ve yükümlülüğü bulunmamaktadır. Bu sebeple kurum tarafından, irtibat kişisinin sorumlu tutulduğu iletişimi sağlama görevinin yerine getirilmemesinden dolayı da veri sorumlusunu cezalandırılamamaktadır.

VERBİS’TE İSTENEN BİLGİLER

-           Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,

-           Kişisel verilerin hangi amaçla işleneceği,

-           Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

-           Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

-           Yabancı ülkelere aktarımı öngörülen kişisel veriler,

-           Kişisel veri güvenliğine ilişkin alınan tedbirler,

-           Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Ayrıca, Kayıtlı Elektronik Posta (KEP) adresinin de bildirilmesi gerekir. Çünkü kamuyla paylaşılacak sicil bilgileri arasında KEP de sayılmaktadır.

Kısacası şirket bünyesindeki tüm kişisel veriler istenmemektedir. Asıl istenen hangi tür verilerin işlendiği, işlenme amaçları, verilerin sahibi, bu verilerin ne kadar muhafaza edildiği, nerelere aktarıldığı ve bu verileri korumak için hangi güvenlik tedbirlerinin uygulandığıdır. 

Bu kaydın gerçekleştirilebilmesi için bir veri envanteri çalışması yapılmış olması faydalı olacaktır. Çünkü sadece başlıklardan ibaret olan bu sistemde sahip olunan kişisel verilerin hangi kategoriye girdiğini bilmek ya da hangi güvenlik tedbirlerinin uygulandığını anlamak kolay olmamaktadır.

Bu sicile kayıt yaptırmak, kanuna uyumlu olunduğu anlamına gelmemektedir. Kanun kapsamında belirlenmiş olan diğer yükümlülüklerin de yerine getirilmesi gerekmektedir. Bu yükümlülüklerin en başında kanuna uygun veri işleme altyapısının tesis edilmesi gelmektedir. Kanunda belirlenmiş işleme şartları dahilinde, genel ilkelere sadık kalarak kişisel veri işlenmesi gerekmektedir.

Bununla birlikte KVKK kapsamında gerek işçi-işveren ilişkileri gerek ticari ilişkiler açısından sözleşmelerin revize edilmesi de gereklidir. KVKK’nın getirdiği en önemli yükümlülüklerden birisi de aydınlatma yükümlülüğüdür. Bu kapsamda hazırlanacak “Aydınlatma Metni”nin öncelikle internet sitesi üzerinden yayınlanması faydalı olacaktır. Bununla birlikte gerek iş sözleşmeleri gerekse ticari sözleşmeler revize edilmeli ve kişisel verilerin korunması kapsamında maddeler eklenmelidir.

Özellikle iş sözleşmeleri bakımından, aydınlatma yükümlülüğünün yerine getirilmesinin ve sözleşmelerin revize edilmesinin yanında gizlilik sözleşmesi de yapılmalıdır. İş yerinde daha önceden çalışan personellere konu ile ilgili bilgilendirmelerde bulunulmalı ve kişisel verilerin işlenmesi ile ilgili açık rızaları alınmalıdır. İşten ayrılan personellerin yetkileri alınarak ellerinde bulunan envanterler de teslim alınmalıdır. İş yerinde çalışan personellere düzenli olarak eğitim verilmelidir.

Teknik anlamda da çeşitli önlemlerin alınması faydalı olacaktır. Bu kapsamda; teknik altyapı kontrol edilmeli gerektirdiği takdirde yeniden düzenlenmeli; şirketin internet sitesi, şirket içi mobil ve web uygulamaları denetlenmeli, kişisel verilerin korunmasına ilişkin bilgilendirmelere yer verilerek kişisel verilerin üçüncü kişiler tarafından elde edilmesini engelleyici tedbirler alınmalıdır. Kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmalıdır. Ayrıca şirket içi yazışma ve iletişim ağının güvenliğinin sağlanmalıdır.

Sipariş ya da iş başvurusu gibi müracaatların internet sitesi ya da elektronik başka yollarla yapılabilmesi halinde internet sitesine ya da başvuruların yapılabildiği diğer elektronik ortamlara bu başvuru formlarından önce Aydınlatma Metni ve Muvafakatname’nin okunması ve kabul edilmesini zorunlu hale getiren, aksi halde başvurular için bilgi girişini kabul etmeyen düzenlemeler yapılmalıdır.

Kişisel verilerin işlenme amacı ya da yasal saklama süreleri sona erdiğinde kişisel verilerin silinmesi, imha edilmesi veya anonim hale getirilmesi suretiyle ulaşılmasının engellenmesi yönünde gerekli önlemler alınmalıdır. Bu şekilde teknolojinin ve işin gerekleri kapsamında çeşitli önlemlerin alınması da gerekmektedir.

                                                                                    

Saygılarımızla.