VERBİS KAYDI VE KİŞİSEL VERİ İŞLEME ENVANTERİ

Bu yazımızda KVKK kapsamında getirilen yükümlülüklerden biri olan Kişisel Veri İşleme Envanteri hazırlama ve VERBİS kayıt zorunluluğu gibi yükümlülüklerinden bahsedeceğiz. Teknolojinin hayatımıza girmesiyle geçmişten beri tarihi, politik ve ekonomik olarak önemi olan kişisel veriler, aynı zamanda ticari bir değer kazanmıştır. Modern yeniliklerin kişisel verileri her alanda farklı şekilde değerlendirilme ve işlemeye açık hale getirilmesi karşısında gerçek kişinin hukuki koruma altına alınması zorunluluğu doğmuştur. Bu amaçla yürürlüğe konulan 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’na kişisel verileri işleyen tüm gerçek ve tüzel kişilerin uyması gerekmektedir.  Kişisel verileri işleyecek olan veri sorumlularının bu yükümlülükleri eksiksizce yerine getirmeleri KVKK’ya uygun veri işleme yönetimi ve aykırılıkların doğurduğu sonuçlar itibariyle büyük önem taşımaktadır. Kişisel Veri İşleme Envanteri hazırlama ve VERBİS kayıt zorunluluğu en önemli yükümlülüklerin başında gelmektedir.

Kişisel Veri İşleme Envanteri Nedir?

Kişisel Veri İşleme Envanteri’nin ne olduğu Veri Sorumluları Sicili Hakkında Yönetmelik’te (“Yönetmelik”) açıkça belirtilmiştir. Buna göre veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirdikleri kişisel veri işleme faaliyetlerini detaylandırdıkları belge, Kişisel Veri İşleme Envanteri’dir (“Envanter”). Envanter oluşturmak veri sorumlusunun veri işleme süreçlerinin detaylı bir analizini yapmayı gerektirir. Bu kapsamda veri sorumlularının, organizasyonel yapısı kapsamında varsa finans, müşteri ilişkileri, insan kaynakları, reklam ve pazarlama, ithalat ve ihracaat, depo, e-ticaret ve bunlar gibi birimler özelinde detaylı kişisel veri işleme analizi yapmaları ve her veri kategorisi üzerinde asgari olarak aşağıdaki hususları ayrı ayrı değerlendirmeleri gerekir. Söz konusu detaylandırmada aşağıdaki hususların belirtilmesi gerekir:

  • Veri kategorisi
  • Kişisel verileri işleme amaçları
  • İlgili verileri işlemeye dayanak olan hukuki sebepler
  • Eğer varsa ilgili kişisel verilerin aktarıldığı alıcı grubu
  • İlgili kişisel verilerin işlenmesinin amacına hizmet edebilmesi için gereken azami muhafaza süresi
  • İşlenen kişisel verilerin yabancı ülkelere aktarımı öngörülüyorsa hangi verilerin aktarımının yapılacağı ve bu aktarım sürecinde verilerin güvenliği için alınacak güvenlik önlemlerinin detayları.

Buna göre Envanter aslında bir tür rapor olarak tanımlanabilir. Bu raporda kişisel verileri işlemekte olan veri sorumluları tüm süreçleri değerlendirir ve süreçler kapsamındaki faaliyetlerini detaylandırır. Bunu yaparken her faaliyetle ilgili olarak işlenen kişisel veriler tek tek belirlenir. İlgili kişisel verilerin ne amaçla ve hangi hukuki sebebe dayanarak işlendiği, üçüncü kişilere aktarılıp aktarılmadığı, eğer aktarıldıysa kime aktarıldığı bilgisi, işlenen kişisel verilerin kime ait olduğunun yanı sıra verilerin saklanma süresi, yurtdışına aktarılıp aktarılmadığı ve buna yönelik alınan güvenlik önlemlerinin neler olduğu detaylı analiz yapılarak Envanter’de belirtilir.

Kişisel verileri işleyen veri sorumlularına Envanter hazırlama yükümlülüğü getirilmesindeki amaç, bu süreçte KVKK’ya uyumlu olarak hareket etmelerini sağlamaktır. Bu sayede kanuna aykırı bir kişisel veri işlenmesi durumunda bunun kolaylıkla tespit edilmesi ve önlenmesi hedeflenmektedir. Envanter aslında veri sorumlularının KVKK’ya uyumluluk konusunda kendi kendilerini denetleyebilmelerine olanak sağlayan bir mekanizmadır.

Kişisel Veri İşleme Envanteri Hazırlamakla Yükümlü Olanlar

Yönetmelik, 5. Maddesinin 1. Fıkrasının (ç) bendi ile Envanter hazırlamakla yükümlü olanları belirlemiştir. Buna göre sicile kayıtla yükümlü olan veri sorumluları, Envanter hazırlamakla yükümlü olan kişilerdir. Kişisel verileri işlenen ilgili kişilerin başvuruları yanıtlanırken ve açıklayacakları açık rızanın kapsamı belirlenirken, Envanter’e dayalı olarak sunulan ve Veri Sorumluları Sicili’nde yayınlanan bilgiler esas alınır. Veri sorumlularının ayrıca Envanter’e uygun olarak, kişisel veri saklama ve imha politikası da belirlemeleri gerekir.

VERBİS Nedir ve VERBİS Kayıt Yükümlülüğü Kimler İçin Öngörülmüştür?

VERBİS, “Veri Sorumluları Sicili Bilgi Sistemi”nin kısaltmasıdır. KVKK kapsamında

  1. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları,
  2. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları,
  3. Yurtdışında yerleşik veri sorumluları ve
  4. Kamu kurum ve kuruluşlarının,

VERBİS’e kayıt olma zorunlulukları bulunmaktadır. Veri işleyen gerçek ve tüzel kişilerin VERBİS’e kayıt olmaları ve veri işleme faaliyetlerine ilişkin bilgileri kategorik olarak sisteme kayıt etmeleri önem taşımaktadır. Bu sayede kişisel verileri işleyen gerçek ve tüzel kişilerin veri sorumlularının kimler olduğu açıklanmış olmakla birlikte, kişisel verileri koruma noktasında nasıl bir plan yaptıkları da sisteme girilmiş olur.

Gerçek veya tüzel bir kişi olabilen “Veri Sorumlusu”, kişisel verilerin işlenme amacını ve bunların nasıl işleneceğini belirler. Buna göre veri işleme faaliyetinin neden yapıldığı ve yapılma yönteminin ne olduğu sorularının muhatabı olan kişi veri sorumlusudur. Verileri işleyen bir tüzel kişi ise, tüzel kişinin kendisi bizzat veri sorumlusu olur. Veri işlemeden doğan her türlü hukuki sorumluluk tüzel kişiye aittir. Bu noktada kamu hukuku tüzel kişileri ile özel hukuk tüzel kişileri arasında bir ayrım yapılmamıştır.

VERBİS Kayıt Zorunluluğu İstisnaları

Yukarıda da açıklandığı üzere kişisel verileri işleyen gerçek ve tüzel kişilerin VERBİS kayıt zorunluluğu vardır. Bununla birlikte KVKK m.16 Kişisel Verileri Koruma Kurulu’na (“Kurul”), VERBİS’e kayıt zorunluluğu konusunda istisnalar getirme yetkisi vermektedir. Kurul kararı ile VERBİS’e kayıt zorunluluğundan muaf tutulan gerçek ve tüzel kişiler şunlardır:

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
  2. Noterler,
  3. Siyasi partiler,
  4. Avukatlar,
  5. Gümrük müşavirleri,
  6. Arabulucular,
  7. Serbest muhasebeci mali müşavirler ve yeminli mali müşavirler,
  8. Dernekler, vakıflardan ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  9. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar.

VERBİS’e Kayıtta İrtibat Kişisi Kimdir ve Sorumlulukları Nelerdir?

Kişisel Verileri Koruma Kurumu ile veri sorumluları arasındaki iletişimin sağlanabilmesi amacıyla “İrtibat Kişisi” kavramı doğmuştur. Yönetmelik irtibat kişisini “İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar.” şeklinde tanımlar.

Buna göre irtibat kişisi, Envanter üzerinde bir güncelleme yapılması gerektiği zaman VERBİS’e girerek ilgili düzenlemeyi yapacak olan kişidir. Bununla birlikte veri sorumlusunun veri işleme faaliyetlerinden doğan sorumluluk tamamen kendisine ait olup, irtibat kişisi bu faaliyetler nedeniyle sorumlu tutulamaz. İrtibat kişisi yalnızca iletişim aracılığı yapmakla yükümlüdür.

Gerçek kişi olan veri sorumluları, irtibat kişisi olarak kendilerini belirleyebilirler. Tüzel kişi olan veri sorumluları ise, şirket içinden veya dışından olması önem arz etmeksizin herhangi bir gerçek kişiyi irtibat kişisi olarak atayabilirler. Bununla birlikte irtibat kişisinin 18 yaşından büyük olması, Türkiye’de yerleşik olması ve Türkiye Cumhuriyeti vatandaşı olması zorunludur.

Bir gerçek kişi birden fazla veri sorumlusunun irtibat kişisi olamayacağı gibi, bir veri sorumlusunun da birden fazla irtibat kişisi ataması mümkün değildir. Veri sorumlusu, irtibat kişisini dilediği zaman değiştirme hakkına sahiptir.

KVKK VERBİS Kayıt Kategorileri Nelerdir?

VERBİS’e işlenmesi gereken veriler kategorilere ayrılmıştır. Buna göre veri kategorileri genel hatlarıyla şunlardır:

Kimlik: Nüfus cüzdanı, ikametgah, ehliyet, pasaport, avukatlık kimliği, evlilik cüzdanı ve benzeri dokümanlarda yer alan, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen ad-soyadı, T.C. kimlik numarası, uyruk bilgisi, anne baba adı, doğum yeri, doğum tarihi, cinsiyet, işyeri bilgisi, kan grubu, sicil no., vergi numarası, unvan, biyografi gibi bilgileri ifade eder.

İletişim: Telefon, elektronik posta, faks numarası,  sosyal medya hesapları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Lokasyon: Uydu yön bulma sistemleri marifetiyle belirlenen belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen konum bilgisini ifade eder.

Özlük: Öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, CV, aldığı kurslar, izin, kıdem baz tarihi, izin kıdem ilave gün, izin grubu, çıkış/dönüş tarihi, gün, izine çıkış nedeni, izinde bulunacağı adres/telefon, pozisyon adı, departmanı ve birimi unvanı, son işe giriş tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik, sosyal güvenlik no, esnek saatlerde çalışma durumu, seyahat durumu, çalışma gün sayısı, çalıştığı projeler, aylık toplam mesai bilgisi, kıdem tazminatı baz tarih, kıdem tazminatı ilave gün,grevde geçen gün, çalışan internet erişim logları, giriş çıkış logları elde edilmesine yönelik işlenen her türlü kişisel veri       ve çalışanın bulunduğu pozisyonda ilerleyebilmesi için gerekli olan performans, eğitim ve beceriler, hangi tarihte hangi eğitimi aldığı bilgisi, e-posta,  imzalı katılım formu, müşteri ile görüşme kalite değerlendirme formu, aylık performansının değerlendirilmesi ve hedef gerçekleştirme durumu, aktivite bilgileri gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Hukuki işlem: Haciz ihbarnamesi ve benzeri mahkeme/icra daireleri evrakları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Müşteri işlemleri: İrsaliye, fatura bilgileri ve sipariş bilgileri gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Fiziksel mekan güvenliği: Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, taşıt plaka bilgileri, güvenlik noktasında alınan kayıtlar, telefon aramalarında alınan ses kayıtları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

İşlem güvenliği: İnternet trafik verileri, ağ hareketleri, IP adresi, ziyaret verileri, zaman ve tarih bilgileri gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Risk yönetimi: Ticari, teknik ve idari risklerin yönetilmesi için kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen veri türlerini ifade eder.

Finans: Banka  hesap  numarası, banka hesap bilgileri,(IBAN no, hesap sahibi vb.) kredi kartı bilgisi, çalışanlara ilişkin finansal ve maaş detayları, bordrolar, prim hak edişleri, prim tutarları, icra takip dosyalarına ilişkin dosya ve borç bilgileri, banka hesap cüzdanı, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder

Mesleki deneyim: Çalışanın eski çalıştığı yerler ve edindiği mesleki sertifikalar gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Pazarlama: Çerez teknolojisi ile edinilen kullanıcı davranışları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Görsel ve işitsel kayıtlar: Fotoğraf, ses ve görüntü kayıtları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Irk ve etnik köken: Kişinin ırk ve kökenini gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Siyasi düşünce: Kişinin desteklediği siyasi parti ve görüşler gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Felsefi İnanç, Din, Mezhep Ve Diğer İnanç: Kişinin benimsediği din, mezhep ve inançlarını gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Kılık ve Kıyafet: Kişinin benimsediği kılık kıyafet stili kapsamında kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Dernek üyeliği: Kişinin üye olduğu dernekleri belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Vakıf üyeliği: Kişinin üye olduğu vakıfları belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sendika üyeliği: Kişinin üye olduğu sendikaları belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sağlık: Sağlık raporu, maluliyet raporu gibi belgelerde kişinin sağlık durumunu belirten kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Cinsel hayat: Kişinin cinsel yönelimleri kapsamındaki kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Ceza mahkûmiyeti ve güvenlik tedbirleri: Kişinin uğradığı ceza mahkumiyeti ve güvenlik tedbirlerini belirten sabıka kaydı gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Biyometrik ve Genetik veri: Kişinin parmak izi, avuç içi, retina, yüz tarama, ses gibi verilerini ve genetik bilgilerini gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

VERBİS Kaydı İçin Son Tarih Ne Zamandır?

VERBİS kayıt şartları uyarınca sisteme kayıt olmakla yükümlü olan veri sorumluları için, Kurul tarafından bu yükümlülüğün başlangıç ve bitiş tarihleri belirlenmiştir. Bununla birlikte bitiş tarihleri birkaç kere uzatılmış olup, en son 23 Haziran 2020 tarihinde VERBİS kayıt süresi olarak aşağıdaki son güncel tarihler belirlenmiştir. Buna göre:

  1. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için, VERBİS kayıt süresi 30 Eylül 2020 tarihi itibariyle dolmuştur. Verileri Koruma Kurulu tarafından yapılan inceleme ve değerlendirme sonucunda; COVID-19 ile mücadele kapsamında fiili, teknik ya da hukuki imkânsızlık nedeniyle bazı veri sorumlularının Sicile kayıt yükümlülüğünü yerine getiremediği göz önüne alınarak, Veri Sorumluları Sicili Hakkında Yönetmeliğin 8 inci maddesi uyarınca ve Kanunun Geçici 1 inci maddesiyle Kurula verilmiş olan yetki çerçevesinde, Sicile kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bu durumun bir yazı ile bildirilmesi Kurulun 01.10.2020 tarihli ve 2020/760 sayılı kararı ile uygun bulunmuş olup söz konusu yazıyla Kurul tarafından kendilerine bildirilen süre içerisinde, ilgili veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri gerekmektedir.
  2. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumluları için ise VERBİS kayıt süresi 31 Mart 2021 tarihine kadar uzatılmıştır.

VERBİS’e Nasıl Kayıt Olunur?

Kişisel Verileri Koruma Kurumu’nun internet sitesi olan www.kvkk.gov.tr üzerinden ilgili adımlar takip edilerek VERBİS kayıt işlemi tamamlanabilir.

VERBİS’e Kayıt Yaptırmamanın Cezai Sonuçları Nelerdir?

KVKK uyarınca VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket eden gerçek ve tüzel kişi veri sorumluları için, 2020 yılı için 36 bin TL ile 1 milyon 802 bin TL arasında idari para cezası öngörülmüştür. Bu cezalar her yıl güncellenmektedir.