Verbis, Kişisel Verileri Koruma Kurumu tarafından tutulan sicili ifade etmektedir. Bu sicilde veri sorumluları tarafından işlenen kişisel veriler kategorik olarak kayıt altına alınır. 6698 sayılı Kanun’un 16. maddesi veri sorumluları sicilini düzenlemektedir. Gerçek ve tüzel kişi veri sorumluları verileri işlemeden önce sicile kaydolmak zorundadır. Bu veri sorumluları Türkiye’de veya yurtdışında yerleşik olsa da sicile kaydolmak zorundadır. Fakat belli kriterler getirilerek kurula bazı veri sorumlularını sicile kayıt için istisnalar getirilmiştir.
Bu noktada Kişisel Verilerin Korunması Kanunu’na ulaşmak için bakınız.
1. VERBİS’e Kayıt
Belirli şartları taşıyan veri sorumluları için sicile kayıt zorunludur. Bu şartları taşımayan fakat 6698 sayılı Kanun kapsamında olan veri sorumluları sicile kayıt yaptırmak zorunda değildir.
Aşağıda sayacağımız veri sorumluları Verbis’e kayıt yapmayacak olan veri sorumlularıdır. Bu saydıklarımız dışında kalan veri sorumluları Verbis’e kayıt yaptırmakla yükümlüdürler.
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler
- 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu Uyarınca faaliyet gösteren noterler
- 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler
- 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler
- 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
- 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler
- 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri
- Arabulucular
- Yıllık çalışan sayısı 50 ve daha az ve yıllık mali bilanço toplamı 25 milyon TL ve daha az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişişel veri işleme olmayanlar
2. Kişisel Veri Envanteri
Verbis’e kayıtla yükümlü olanlar “Veri Sorumluları Sicili Hakkında Yönetmelik” ile “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” gereği aynı zamanda kişisel veri envanteri hazırlamakla mükelleftir. Bu envanter sicil kaydı için temel olacaktır. Online yapılan sicil kaydı için girilmesi gereken bilgiler bu envanterde yer alıyor olacaktır. Bu envanterin hiçbir kişisel veri atlanmadan ve dikkatlice hazırlanması gerekmektedir.
3. Kişisel Veri Saklama Ve İmha Politikası
Sicile kayıt yaptırması gereken veri sorumluları, envanter hazırlamakla birlikte kişisel veri saklama ve imha politikası hazırlanması gerekmektedir. Bu metin aşağıda belirteceğimiz hususlara ilişkin bilgileri içermelidir:
- Kişisel veri saklama ve imha politikasının hazırlanma amacı
- Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamları
- Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları
- Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklama
- Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler
- Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler
- Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları saklama ve imha sürelerini gösteren tablo
- Periyodik imha süreleri
- Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişiklik
4. Aydınlatma Metni
Aydınlatma yükümlüğü sadece sicile kayıt yaptırmak zorunda olanlar için değil, 6698 sayılı Kanun kapsamına giren tüm veri sorumluları için getirilmiştir. Kişisel verilerin hukuka uygun bir şekilde gerçekleşmesi için olmazsa olmaz bir şarttır. Bu metnin sicille uyumlu olması gerekmektedir.
Aydınlatma metni aşağıda belirttiğimiz hususlardaki bilgileri içermelidir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği
- Veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği
- Veri toplamanın yöntemi ve hukuki sebebi
İlgili kişinin haklarına da aydınlatma metninde yer verilir:
- Kişisel veri işlenip işlenmediğini öğrenme
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme
- Şartları oluştuğunda kişisel verilerin silinmesini veya yok edilmesini isteme
- Kişisel verilerindeki düzeltme, silme ya da yok edilme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme
5. Açık Rıza Metni
Kanun’un yürürlüğe girmesi sonrasında, kişisel veri ve bu verinin işlenmesi ile birlikte hayatımıza giren kavramlardan birisi de “açık rıza” kavramıdır. Kanun’un 3. maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Açık rıza; belirli bir konuya ilişkin olmalı, rızanın bilgilendirmeye dayalı olması ve özgür iradeyle açıklanması gerekmektedir. Açık rıza metinleri açık, anlaşılır ve yalın bir şekilde kaleme alınmalıdır. Sicile kayıt yapılırken açık rıza metni hazırlanmalıdır. Nitekim 95/46 EC sayılı Avrupa Birliği Direktifine göre açık rıza; ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.
6. VERBİS’e Hangi Bilgilerin Girişi Yapılmalıdır?
- Veri sorumlusu, varsa veri sorumlusu temsilcisi ile irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
- Kişisel verilerin hangi amaçla işleneceği,
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler
- Kanunun 12. maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler
- Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
Veri sorumlularının sisteme gireceği bilgiler; kişisel verileri işlenmiş olan gerçek kişilere ait kişisel veriler değil, veri sorumlularının işlemekte oldukları verilerin sadece üst başlıklar halinde kategorik bazdaki bilgiler olacaktır. Örnek olarak bir kurumda ad, soyadı, telefon numarası, TC kimlik numarası, plaka numarası gibi bazı kişisel verilerini işlemektedir. Bu durumda VERBİS’e; gerçek kişilere ait ad, soyadı, telefon numarası, TC kimlik numarası, plaka numarası gibi verileri değil bunların üst kategorisi olan ve zaten VERBİS’te de seçimlik alan olarak yer alan “kimlik kategorisi” ve “iletişim kategorisi” işlediğine dair bilgi girişi yapacaktır.
7. İdari Yaptırım
Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında idari para cezası uygulanır. Bu cezanın miktarı 20.000 Türk lirasından 1.000.000 Türk lirasına kadar para cezasıdır.
Sonuç;
Veri sorumluları sicile kayıt olmak için kişisel veri işleme envanteri, kişisel veri saklama ve imha politikası, aydınlatma metni, açık rıza metni, hazırlamalıdır. Kişisel verilerin yurtdışına aktarılması durumunda ve aktarılacak ülkede yeterli korumanın bulunmaması halinde, Kişisel Verileri Koruma Kurulundan yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun iznini almak istemeleri halinde “Veri sorumlusunda veri sorumlusuna aktarım sözleşmesi” ve “Veri sorumlusundan veri işleyene aktarım sözleşmesi” hazırlanması gerekmektedir. Anlatıldığı üzere bütün süreç oldukça uzun ve karmaşıktır ve idari para cezaları düşünüldüğünde ve tüm mevzuata hakim olmanın uzmanlık gerektirmesi sebebiyle alanında yetkin, uzman avukatlarımızdan yardım alınmasını tavsiye ederiz.