7 Nisan 2018 tarihi itibari ile Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel veri işleyen kurum/kuruluşların (kanunda geçen ismi ile Veri Sorumlularının) sağlamaları gereken yükümlüklerden biri de Veri Sorumluları Sicili Bilgi Sistemi’ne (VERBİS) kaydolmaları ve gerekli bilgi girişlerini sağlamalarıdır.
Kimler VERBİS’e Kaydolmalı?
Niteliklerine göre Veri Sorumlularının VERBİS kayıtlarının tamamlanması için Kişisel Verileri Koruma Kurulu tarafından belirlenen son tarihler:
- Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 Milyon TL’den fazla olan Veri Sorumluları için 31.12.2019,
- Yurtdışında yerleşik Veri Sorumluları için 31.12.2019,
- Çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 Milyon TL’den az olan; ana faaliyet konusu Özel Nitelikli Kişisel Veri (ÖNKV, bilinmesi halinde kişinin ayrımcılığa maruz kalmasına sebep olabilecek; kişiye ait ırk, etnik köken, siyasi düşünce, din, mezhep ve diğer inançlar, kılık & kıyafet, dernek & vakıf & sendika üyelikleri, sağlık ve cinsel hayat bilgileri, ceza mahkumiyeti bilgileri, biyometrik ve genetik verilerdir) işlemek olan Veri Sorumluları için 31.03.2020 ve
- Kamu Kurum ve Kuruluşları için 30.06.2020’dir.
VERBİS’e Nasıl Kayıt Olunur?
https://verbis.kvkk.gov.tr/ adresi üzerinden Veri Sorumlusu adına imza yetkisi olan bir Veri Sorumlusu Yöneticisi tarafından VERBİS kayıt başvurusu yapılır. Yukarıda belirtilen Veri Sorumlusu niteliklerine göre alt sayfalara bilgi girişi sağlanır ve başvurunun kabulü ile Veri Sorumlusu adına VERBİS’e giriş sağlayacak İrtibat Kişisi (yurtiçinde yerleşik olan Veri Sorumluları için) / Veri Sorumlusu Temsilcisi (yurtdışında yerleşik olan Veri Sorumluları için) ataması yapılır.
VERBİS’e Hangi Bilgiler Girilir?
VERBİS’e, Veri Sorumlusu bünyesinde:
- Hangi tür kişi gruplarına ait (çalışan, müşteri, çalışan adayı, ziyaretçi vb.),
- Hangi tür kişisel verilerin (kimlik (evet, ad-soyad bir kimlik bilgisidir ?), iletişim, pazarlama, sağlık vb.),
- Hangi amaçla (müşteri talep/şikayet yönetimi, çalışan aday başvuru sürecinin yürütülmesi vb.) işlendiği,
- Ne kadar süre ile saklandığı,
- Aktarılıyor ise hangi alıcı gruplarına (yurtiçi /yurtdışı; tedarikçi, iş ortağı vb.) aktarıldığına ve
- Bu kişisel verilerin güvenliğine ilişkin alınan teknik ve idari tedbirlere (kişisel veri güvenliği politika ve prosedürleri, veri şifreleme, güvenlik duvarı & ağ geçidi yapılandırmaları vb.) ilişkin bilgi girişi sağlanır.
Girişler açılır menülerden seçilerek ya da manuel olarak da sağlanabilir.
VERBİS kamuya açık bir platformdur, herhangi bir kişi bu platform üzerinden hangi kurumun hangi tür kişisel verileri, ne amaçla işlediğine ilişkin bilgileri görebilir. Burada amaçlanan Veri Sorumluları nezdinde işlenen kişisel verilerin şeffaf bir şekilde, amacına uygun şekilde işlendiğinin kamuoyuna sunulmasıdır. Tüm girişler genel konu başlıklarında yapıldığından kurumsal bilgi gizliliği hiçbir şekilde olumsuz olarak etkilenmemektedir.
KVKK Uyumunda en önemli unsurlardan biri Veri Sorumluları nezdinde işlenen kişisel verilere ve işlenme süreçlerine ilişkin bir Kişisel Veri İşleme Envanteri oluşturulmasıdır. VERBİS girişlerin de bu envanterlerden gerekli bilgilerin süzülmesi ile yapılması hem Kurul’a ve kamuya gerçeğe uygun bir bilgi sunumu hem de Veri Sorumlusu için kişisel veri güvenliği ve uyumu süreçlerinin daha etkin ve verimli bir şekilde sürdürülmesini sağlayacaktır. VERBİS kayıt yükümlülüğü olmasa bir Veri Sorumlusunun bu Envanteri oluşturmuş olması, kendisinin mevcutta ve büyüme hedefleri doğrultusunda ileriye dönük olarak da mevzuat uyumunu destekleyecektir.
Kişisel Veri İşleme Envanteri Nedir?
Kişisel Veri İşleme Envanteri, Veri Sorumlusu nezdinde kişisel veri işleme süreçlerine ilişkin bilgilerin detayları ile tutulduğu bir kayıt sistemidir. Bu envanter bir yazılım aracı üzerinden ya da dosya sunucusunda yer alan bir doküman üzerinde de tutulabilir. Olası KVKK denetimlerinde bu Envanterin sunulması beklenmektedir.
Envanter içerisinde, VERBİS kayıtları ile paralel şekilde, yukarıda yer alan bilgilerin detaylandırılması (derinleştirilmesi) ve zenginleştirilmesi (genişletilmesi) beklenmektedir.
Bu derinleştirme ve genişletmeler ile beklenenler; Veri Sorumlusu nezdinde bütünleşik bir bilgi güvenliği ve risk yönetimi yapısı sağlamak adına işlenen kişisel veriler iş birimleri ve ilgili süreçleri başlıklarında detaylandırılmasıdır. Sonrasında her süreç bünyesinde işlenen kişisel verilere ilişkin olarak işleme amaçları ve hukuki dayanakları incelenmeli, bu doğrultuda aydınlatma metinlerin oluşturulup ilgili taraflarla paylaşıldığına, etkin bir açık rıza yönetimi sağlandığına ilişkin kayıtlar envanterde yer almalıdır. Süreçler dahilinde kişisel verilerin yer aldığı elektronik ve fiziksel ortamlar ve bu ortamlara ilişkin güvenlik önlemleri de detayları ile belirtilmelidir. Süreçler dahilinde işlenen kişisel verilerin hangi kaynaklardan toplandığı ve işleme sürelerinin sonuna gelindiğinde ne şekilde imha edildiklerine ilişkin bilgilerin de envanter içerisinde belirtilmesi, kurum bünyesinde etkin bir kişisel veri güvenliği yapısı sağlayacaktır.
KVKK Uyumu yönünde en önemli unsurlardan bir diğeri de kurum bünyesinde sürdürülebilir bir uyum yapısı oluşturulmasıdır. Bu doğrultuda; Envanter ve VERBİS kayıtları düzenli aralıklarla ve kişisel verilerin işlenmesine ilişkin süreçsel değişikliklerde gözden geçirilerek güncellenmeli, Envanter güncelliğine ve kişisel veri güvenliğine ilişkin olarak gerekli rol ve sorumluluk atamaları yapılmalı ve kişisel veri güvenliğine ilişkin eğitim ve bilgilendirmeler ile uyumun kurum bünyesinde sahiplendirilmesi ve sürdürülmesi sağlanmalıdır.
KVKK Uyumunun sağlanması ve desteklenmesi yönünde Kişisel Verileri Koruma Kurumu tarafından yayımlanan birçok kılavuz ve rehber doküman bulunmaktadır.
Genel KVKK mevzuatı, bu kılavuz ve rehberler ve uzmanlığımız ile şekillenen danışmanlık hizmetlerimiz ile KVKK Uyumu yönünde mevcut durumunuzun ve uyum gerekliliklerin belirlenmesi ve uyum çalışmalarınız desteklenmesi yönünde bilgi almak için iletişime geçebilirsiz.