VERBİS' e Kayıt
VERBİS Kaydı Nasıl Yapılır?
ÖZET;
VERBİS kaydı bazı veri sorumluları bakımından zorunludur, kayıt olunmaması yüksek bir para cezasına muhatap kalınmasına neden olacaktır. Bu nedenle kayıt zorunluluğu olan veri sorumlularının nasıl kayıt olacakları konusu bu sayfada detayı olarak açıklanmaktadır.
AÇIKLAMALAR
VERBİS KAYDI HAKKINDA DETAYLI BİLGİ NEREDEN BİLGİ EDİNEBİLİRSİNİZ?
Veri Sorumluları Siciline kayıt yükümlülüğünün yerine getirilmesi esnasında veri sorumlularına rehberlik edilmesi ve bu konudaki bazı sorulara KVKK(Kurum) tarafından verilmiş olan cevapların görüntülenebilmesi amacıyla “Sorularla VERBİS” dokümanı ile VERBİS’e kayda ilişkin “Veri Sorumluları Sicil Bilgi Sistemi Kılavuzu” hazırlanmış olup Kurum internet sayfasında “Yayınlar” bölümünde “Diğer Dokümanlar” başlığı altında (https://kvkk.gov.tr/Icerik/5383/Diger-Dokumanlar) ve VERBİS Anasayfa’da veri sorumlularının bilgisine sunulmuştur. Ayrıca, VERBİS ile ilgili konularda karşılaşılabilecek problemlerin giderilmesi ve aydınlatıcı bilgi verilmesi amacıyla KVKK Bilgi Danışma Merkezi (ALO 198), hafta içi her gün mesai saatlerinde aranabilecektir. AŞAĞIDA İSE VERBİS KAYDINI NASIL GERÇEKLEŞTİREBİLECEĞİNİZ ÖZET OLARAK ANLATILMAKTADIR. |
VERBİS’E Kayıt İşlemi Nasıl Yapılır? İşlem Adımları Nelerdir?
1. Veri Sorumlusu olarak Kişisel Veri Envanterinin son şeklini aldığından emin olunuz.
2. "İrtibat Kişisini" atayınız, eğer yurt dışında yerleşik veri sorumlusu iseniz "Veri Sorumlusu Temsilcisi" ni atayınız.
3. www.verbis.kvkk.gov.tr adresi üzerinden “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yaparak ilgili Başvuru Formu doldurup VERBİS Rehberine uygun olarak VERBİS’e kayıt başvurusunu Kurum’a iletiniz.
4. Kurum tarafından başvurunun değerlendirilmesi neticesinde başvuru formunda belirtilen elektronik posta adresine gönderilen “kullanıcı adı” ve “parola”sı beklenmelidir.
5. "Kullanıcı adı" ve "Parola" bilgisi elde edildikten sonra sisteme giriş yapılmalı ve Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olan “İrtibat Kişisi”nin VERBİS'e bilgileri girilmelidir.
6. Kişisel Veri Envanteri ile tespit edilen bilgiler doğrultusunda Veri Kategorileri, Veri Kategorilerinin İşlenme Amaçları, Verilerin Paylaşıldığı Alıcılar, Saklama Süreleri, Veri Konusu Kişi Grupları, Verilerin Aktarıldığı Yabancı Ülkeler ile Alınan Veri Güvenliği Tedbirleri VERBİS sistemine girilmeli ve kayıt işlemi tamamlanmalıdır.
Daha açık ifade etmek gerekir ise;
6.1. İrtibat kişisi Veri Sorumlusu’nun Kişisel Veri İşleme Envanterine dayalı olarak kayıt işlemini başlatacaktır.
6.2. İrtibat kişisi tarafından sisteme girilip kayıt işlemleri başlatıldığında sistem tek tek veri kategorileri üzerinden sorular sorarak kaydın yapılmasını sağlamaktadır.
Her veri kategorisi için (kimlik, iletişim gibi veriler için teker teker) o veri kategorisinin işlenip işlenmediğinin beyan edilmesi gerekecektir.
Bu bakımdan her veri kategorisi için ya ‘işlemediğini beyan ederim’ ya da ‘Ilgili veri süreçlerim kapsamında işlenmektedir’ seçeneği işaretlenecektir.
Sistemde mevcut olmayan veriler için de “diğer” seçeneği seçilerek kayıt gerçekleştirilecektir.
6.3. Bir sonraki aşamada ilk aşamada işlendiği belirtilen veri kategorileri için işleme amaçları ve ilgili kişi grupları seçilecektir.
Kurul tarafından ortalama 50 amaç belirtilmiş olup, bu amaçlardan birisi ya da yine “diğer” seçeneği kullanılarak Veri Sorumlusu adına irtibat kişisi tarafından belirtilecek amaçla sisteme kaydolmak mümkün olabilecektir.
6.4. Daha sonra verisi işlenen veri konusu kişi grupları sekmesinde belirtilen işlenen verilerin ‘kimlere ait olduğu’ bildirilecektir.
6.5. Sonrasında ise bu veri kategorilerinin korunması açısından ne tür tedbirlerin alındığının tek tek belirtilmesi gerekmektedir.
6.6. Bir sonraki aşamada ise ilgili verinin yurtiçindeki bir üçünü kişiye aktarılıp aktarılmadığı ve aktarım yapılıyorsa aktarımın kime yapıldığı belirtilecektir.
Bu kısımda aktarım yapılan kişinin adı açıkça yazılmayacak olup yalnızca “iş ortağı” veya ilgili kamu kurumu gibi belirtilen kategorilerden birisinin seçilmesi yeterli olacaktır.
Yine verilerin yurtdışına aktarılıp aktarılmadığına dair beyan da kaydın bu aşamasında yer alacaktır. Halihazırda yurt dışına veri aktarma işlemi hukuki olarak sorunludur. Bu nedenle bu bilginin var olduğu adımlarda VERBİS’e bir aykırı işlem bilgisi verdiğinizi de unutmayınız.
6.7. Sonrasında kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi sisteme kaydedilecektir.
6.8. Kayıt irtibat kişisince süreç bu şekilde tamamlanıp Kurula gönderilecektir. Kurul’un onayı ile kayıt gerçekleşmiş olacaktır.
7. Veri girişi tamamlandıktan sonra değişiklikleri güncelleme amacıyla veri siciline giriş yapabilir buradaki bilgileri güncelleyebilirsiniz.
Mevzuat
1- 6698 sayılı Kişisel Verilerin Korunması Kanunu
Veri Sorumluları Sicili
MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
b) Kişisel verilerin hangi amaçla işleneceği.
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhal Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.
2- Veri Sorumluları Sicili Hakkında Yönetmelik
Kayıt yükümlülüğü kapsamında iletilecek bilgiler
MADDE 9 – (1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:
a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
(2) Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.
(3) Veri sorumluları tarafından birinci fıkranın (e) bendi uyarınca Sicile açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları kapsayacak şekilde VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.
(4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;
a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,
dikkate alınır.
(5) Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.
(6) VERBİS içerisinde belirtilen başlıkların ve içeriklerinin, veri sorumlusunun gerçekleştirdiği faaliyetleri ve Sicile iletmesi gereken bilgileri tam olarak kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS içerisinde bu amaca ilişkin ayrılan “Diğer” başlıklı bölümlere girerek Sicile bildirimini tamamlar.
3- Kişisel Verileri Koruma Kurumu Yayınları
KİŞİSEL VERİ İŞLEME ENVANTERİ HAZIRLAMA REHBERİ
VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ