6698 Sayılı Kanun Kapsamında KVKK bilinmesi gerekenler!
6698 sayılı Kişisel Verileri Koruma Kanunu kapsamında; Kişisel Verileri Koruma Kurumu’nun 17/12/2019 tarihli ve 2019/387 sayılı kararına göre VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt süreleri uzatılmıştır.
Bu sürenin uzatılması ile birlikte kurumlar ve işletmeler zaten Haziran ayının sonuna kadar süresi olduğu için herhangi bir işlem yapmamaktalar. Halbuki işletmelerin bu süre gelmeden sicil sistemine kayıtları yapıp envanter çalışmalarına bir an evvel başlamaları gerekmektedir. İşçi sayısı fazla olan işletmeler için Bilgilendirme metinleri, uygulanacak politikalar ve açık rıza beyanları gibi süreçlerin hepsi zaman alan işlemler olduğu için hemen bu sürece başlanmalıdır.
Bu süreçlerle ilgili verbis sistemine kayıt sürecinde uygulayıcılar için aşağıdaki soru cevaplar yol gösterici olacaktır.
İlgili karara göre,
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
Yurtdışında yerleşik gerçek ve tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.09.2020 tarihine,
Kamu kurum ve kuruluşu veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 31.12.2020 tarihine,uzatılmasına, bu kararın Kurum internet sayfasında duyurulması ve Resmî Gazetede yayımlanmasına karar verilmiştir.
İşletmelerin ve veya kurumların bu tarihe kadar verbis.kvkk.gov.tr web uygulaması üzerinden VERBİS-Veri Sorumluları Sicil Bilgi Sistemi üzerinden sisteme kayıt olmaları gerekmektedir.
VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ (VERBİS) NEDİR?
6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 16 ncı maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline (“Sicil”) kaydolması gerekmektedir. Bu
kapsamda, Başkanlığımızca Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) hazırlanmış olup veri sorumluları bu sisteme kayıt olacaklardır.
VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.
VERBİS İLE HANGİ İŞLEMLER YAPILABİLMEKTEDİR?
VERBİS, Sicile kayıt yükümlülüğü olan veri sorumluları için;
– Yurtiçinde Yerleşik Gerçek / Tüzel Kişi,
– Yurtdışında Yerleşik Gerçek / Tüzel Kişi,
– Kamu Kurum ve Kuruluşları olmak üzere 3 farklı yapı şeklinde kurgulanmıştır. Bu kapsamda VERBİS ekranları aracılığıyla;
-Veri sorumlusu yönetici girişi, veri sorumlusu temsilcisi bildirimi, kamu kurumlarınca belirlenen koordinasyon görevlisinin bildirimi konularında sistem üzerinden bilgi girişi apılarak başvuru formu oluşturulmasına,
-Başvuru formunun Başkanlığımıza ulaşması üzerine sistem üzerinden kullanıcı adı ve parola oluşturularak veri sorumlusuna iletilmesine,
-Kullanıcı adı ve parola kullanılarak sisteme giriş yapılması, irtibat kişisi atamasının yapılması, veri sorumlusunun işlemekte olduğu kişisel verilerle ilgili irtibat kişisi tarafından veri kategorileri, işleme amaçları, saklama süreleri, alınan teknik ve idari tedbirler, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler ve veri konusu kişi gruplarına ait kategorik bazda bilgi girişi yapılarak kayıt yükümlülüğünün yerine getirilmesine,
-İlgili kişilerce VERBİS’te yer alan kategorik bazdaki bilgilerin görülebilmesine,
-Sicilde yer alan bilgilerde her zaman değişiklik yapılabilmesine, imkan sağlanmıştır.
VERİ SORUMLUSU OLAN TÜM GERÇEK KİŞİLERİN SİCİLE KAYIT OLMASI GEREKİR Mİ?
Faaliyetleri kapsamında, Türkiye sınırları içerisinde kişisel veri işleyen tüm gerçek kişi veri sorumluları genel kural olarak Sicile kayıt olmakla yükümlüdür. Buna göre, Kanun hükümleri veya Kurul kararlarıyla istisna tutulanlar hariç olmak üzere tüm gerçek kişi veri sorumlularının Sicile kayıt olması gerekmektedir.
KURUL KARARLARINDAKİ “YILLIK ÇALIŞAN SAYISI” NASIL HESAPLANIR?
Kurulun istisna ve kayıt yükümlülüğü başlama tarihleriyle ilgili kararlarında, diğer bazı kriterlerle birlikte “yıllık çalışan sayısı” kriteri de dikkate alınmıştır.
Bu kararlarda yer alan yıllık çalışan sayısının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisindeki 12 aydan en az 7’sinin her birinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan Muhtasar ve Prim Hizmet Beyannamesinde bildirilen çalışan sayısının dikkate alınması gerekmektedir. Ayrıca söz konusu 7 ayın aynı yıl içerisinde olmak kaydıyla ardışık olması zorunlu değildir.
Buna göre, bir veri sorumlusu 2017 yılı içerisinde Sosyal Güvenlik Kurumuna vermiş olduğu Muhtasar ve Prim Hizmet Beyannamelerinin en az 7 sinin her birinde bildirmiş olduğu çalışan sayısının 50’den çok olması halinde kayıt yükümlülüğü 01.10.2018 tarihinde başlamış olacaktır.
VERBİS’E HANGİ BİLGİLERİN GİRİŞİ YAPILMALIDIR?
VERBİS’e aşağıdaki bilgilerin girilmesi gerekmektedir:
a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ile irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
VERİ SORUMLULARININ İŞLEDİĞİ TÜM VERİLER VERBİS’E KAYDOLMALI MIDIR?
Veri sorumlularınca VERBİS’e kayıtta girilecek bilgiler; kişisel verileri işlenmiş olan gerçek kişilere ait kişisel veriler değil, veri sorumlularının işlemekte oldukları verilerin sadece üst başlıklar halinde kategorik bazdaki bilgiler olacaktır.
Örneğin bir kamu kurumu, kurumu ziyarete gelen gerçek kişilere aydınlatma yükümlülüğünü yerine getirmek suretiyle ad, soyad, telefon numarası, TC kimlik numarası, plaka numarası gibi bazı kişisel verilerini işlemektedir. Bu durumda VERBİS’e; gerçek kişilere ait ad, soyad, telefon numarası, TC kimlik numarası, plaka numarası gibi verileri değil bunların üst kategorisi olan ve zaten VERBİS’te de seçimlik alan olarak yer alan “kimlik kategorisi” ve “iletişim kategorisi” işlediğine dair bilgi girişi yapacaktır.
VERBİS KONUSUNDA DETAYLI BİLGİ NEREDEN ALINABİLİR?
Kurumumuzun resmi internet sayfası olan www.kvkk.gov.tr adresinde bulunan VERBİS ana sayfadaki Kılavuz aracılığıyla detaylı bilgi edinilebilecektir. Ayrıca, KVKK Bilgi Danışma Merkezi olarak görev yapmaya başlayan ALO 198 Veri Koruma Hattı aracılığı ile VERBİS hakkında teknik ve hukuki konularda Türkiye’nin her yerinden GSM ayrımı olmaksızın ücretsiz olarak ulaşılabilecek ve bilgi alınabilecektir.
BAŞVURU FORMU KEP ÜZERİNDEN İLETİLMİŞSE AYRICA ISLAK İMZALI OLARAK DA GÖNDERİLMESİ GEREKİR Mİ?
Kayıt başvurusu sırasında sistemden oluşturulan PDF formatındaki başvuru formuna ait dosya eklenerek, veri sorumlusunun KEP adresi üzerinden (“Konu” kısmında “başvuru no” belirtilerek) Kurumumuzun kvkk.verbis@hs01.kep.tr adresine iletilmesi yeterli olacaktır. Ayrıca ıslak imzalı olarak da Kurumumuza iletilmesine gerek bulunmamaktadır.
TÜZEL KİŞİLERDE VERİ SORUMLUSU KİMDİR?
Tüzel kişilerde veri sorumlusu, görevlendirilen bir gerçek kişi değil tüzel kişiliğin bizzat kendisidir. Buna göre şirketlerde veri sorumlusu; şirket çalışanı, yöneticisi, patronu, yönetim kurulu başkanı, yönetim kurulu üyeleri, avukatı gibi şirketi temsil eden kişiler veya dışarıdan hizmet alınan kişiler değil, şirketin kendisidir. Ancak şirket, Kanunun uygulanmasıyla ilgili iş ve işlemleri yerine getirme konusunda bu kişileri görevlendirebilir. Bu görevlendirme o kişinin veri sorumlusu olduğu anlamına gelmez.
İRTİBAT KİŞİSİ NASIL ATANIR?
İrtibat kişisi, veri sorumlusu tarafından VERBİS içerisinde yer alan “İrtibat Kişisi” menüsü aracılığıyla atanır.
İRTİBAT KİŞİSİ, SİSTEME NASIL GİRİŞ YAPMALIDIR?
Veri sorumlusu tarafından atanmış olan irtibat kişisi, VERBİS içerisinden “Sicile Kayıt” butonu aracılığıyla sisteme giriş yapar.
İRTİBAT KİŞİSİ, GERÇEK KİŞİ OLMAK ZORUNDA MIDIR?
İrtibat kişisi, Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olmalıdır.
İRTİBAT KİŞİSİ TÜRKİYE CUMHURİYETİ VATANDAŞI OLMAK ZORUNDA MIDIR?
İrtibat kişisi, Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olmalıdır.
İRTİBAT KİŞİSİ TÜRKİYE’DE YERLEŞİK OLMAK ZORUNDA MIDIR?
İrtibat kişisinin adres bilgisi girişi, sistem üzerinden Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünün Ulusal Adres Veri Tabanına anlık bağlanılarak “adres kodu” (10 haneli) bilgisi tespit edilerek bilgi girişinin yapılması şeklinde gerçekleştirilmektedir. Bu nedenle irtibat kişisinin Türkiye’de yerleşik gerçek kişi olması gerekmektedir.
KİŞİSEL VERİLER SADECE KÂĞIT ORTAMINDA TUTULUYORSA SİCİLE KAYIT ZORUNLULUĞU VAR MIDIR?
2018/32 sayılı Kurul Kararında, “Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler” Sicile kayıt yükümlülüğünden istisna tutulmuşlardır. Bu kapsamda, yalnızca otomatik olmayan yollarla kişisel veri işlenmesi halinde Sicile kayıt yükümlülüğü bulunmamaktadır.
VERBİS’E KAYIT OLDUKTAN SONRA İRTİBAT KİŞİSİ ATAMAK ZORUNLU MUDUR?
Yönetmeliğin 4 üncü maddesinde, “irtibat kişisi” tanımlanmış, aynı yönetmeliğin 9 uncu maddesinin birinci fıkrası (a) bendinde kayıt yükümlülüğü kapsamında irtibat kişisinin bilgilerinin girilmesinin gerekli olduğu vurgulanmış olduğundan veri sorumlusunca bir irtibat kişisi atanmak durumundadır.
KEP ÜZERİNDEN GÖNDERİLEN BAŞVURU FORMLARININ KURUMA ULAŞIP ULAŞMADIĞI NASIL KONTROL EDİLEBİLİR?
Kayıtlı elektronik posta (KEP), elektronik iletilerin gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şekli olarak tanımlanmaktadır. Bu kapsamda KEP ile iletilen elektronik postanın ne zaman, kim tarafından, hangi KEP hizmet sağlayıcı tarafından gönderildiği, hangi KEP hizmet sağlayıcı tarafından kabul edildiği, kimin posta kutusuna ne zaman teslim edildiği, ne zaman kim tarafından açıldığı ve okunduğu ile ilgili bilgiler KEP delili içerisinde bulunmaktadır.
Başvuru formunun teslim edilip edilmediğine dair bilgi, ilgili KEP hizmet sağlayıcısından öğrenilebilecektir.
VERBİS’E BİLGİ GİRİŞİNDE, İŞLENEN VERİ KATEGORİSİ EKRANDA YOKSA NE YAPILABİLİR?
VERBİS’te yer alan veri kategorileri Kurul tarafından veri sorumluları için kolaylık sağlaması bakımından bazı veriler için üst başlıklar halinde belirlenerek ilgili ekranlarda listelenmiştir. Bu başlıklar arasında, kayıt yapılması istenilen bir veri kategorisi yok ise “Diğer Bilgiler” kısmından yeni veri kategorisi manuel olarak eklenebilmektedir. Bu şekildeki ekleme imkânı, sadece “Veri Kategorisi” için değil “İşleme Amaçları”, “Alıcılar”, “Kişi Grupları”, “Güvenlik Tedbirleri” ekranları için de geçerlidir.
VERBİS’E GİRİŞTE, SAKLAMA SÜRESİ BELİRLERKEN AYNI KATEGORİDE FARKLI SAKLAMA SÜRELERİNİN BULUNMASI HALİNDE HANGİ SÜRE YAZILMALIDIR?
Aynı veri kategorisinde birden fazla saklama süresi bulunmakta ise, veri sorumlusunca bu sürelerden en uzun olanının bildirimde kaydedilmesi gerekmektedir. VERBİS’te, saklama süresinin seçimi ile ilgili ekranda da bu konuda uyarı notu yer almaktadır.
KURUL KARARLARINDA YER ALAN “ANA FAALİYETİ ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME” İFADESİYLE NE ANLAŞILMALIDIR?
Ana faaliyetin özel nitelikli kişisel veri işleme olup olmadığının tespitinde, veri sorumlularının en çok katma değer ürettiği faaliyetleri veya yürüttükleri temel iş ve görevleri gereği özel nitelikli kişisel veri işlenmesi durumu olup olmadığı dikkate alınmalıdır. Diğer bir deyişle burada değerlendirilmesi gereken; veri sorumlularının herhangi bir faaliyeti içerisinde özel nitelikli kişisel veri işlenmesi değil, temel olarak yürütmekte oldukları işlerinin kapsamının özel nitelikli kişisel veri işlenmesi durumudur.
Ayrıca 5429 sayılı Türkiye İstatistik Kanununun 11 inci maddesine istinaden 2012 yılından itibaren ülkemizde tüm kamu kurum ve kuruluşlarında Türkiye İstatistik Kurumu koordinasyonunda oluşturulan NACE Rev.2 ekonomik faaliyet sınıflaması kullanılmakta olup Kurumumuzca da veri sorumlularının faaliyet konularının tespitinde söz konusu NACE faaliyet kodlarından faydalanılmaktadır. Bu kapsamda, veri sorumlularının ticaret sicil kaydında veya vergi levhasında yer alan faaliyet kodları göz önünde bulundurulmaktadır.