Open menu

29 Ağustos 2023

Veri Sorumluları Sicil Bilgi Sistemi'ne (Verbis) Kayıt Zorunluluğu
×

Yazar Semih Er, Kategori KVKK - GDPR

Veri Sorumluları Sicil Bilgi Sistemi'ne (Verbis) Kayıt Zorunluluğu

Veri sorumlularının, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") ve Veri Sorumluları Sicili Yönetmeliği ("Yönetmelik") kapsamında Kanun ve Yönetmelik'te belirlenen şirketlerin Veri Sorumluları Sicil Bilgi Sistemi'ne ("VERBİS") kaydolmaları gerekmektedir. Kanun'un 16. Maddesi uyarınca "Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır." Ancak VERBİS'e kayıt yükümlülüğüne ilişkin usul ve esaslar Yönetmelik ile belirlenmiştir.

CottBlog Abone Ol
CottBlog Subscribe

Kanun ve Yönetmelik'te belirtilen VERBİS kayıt yükümlülüğüne ilişkin usul ve esaslar ile kaydolunması için belirlenen süreler, Kişisel Verileri Koruma Kurulu ("Kurul") tarafından ilan edilmektedir. Kurul'un 01.03.2021 tarihli ve 2021/238 sayılı kararı ile kayıt yükümlülüğü altında olan veri sorumluları 31.12.2021 tarihine kadar VERBİS'e tüm veri işleme süreçlerini kapsayacak şekilde kaydolması gerekmekteydi. Bu makalede Veri Sorumluları Sicil Bilgi Sistemini, VERBİS'e kaydolma zorunluluğu bulunan kişileri, VERBİS'e kayıt esnası ve sonrasında yapılması gerekenleri ve bu yükümlülüğe aykırılık hâlinde uygulanacak idari para cezalarını ele aldık.

VERBİS ve VERBİS'e Kayıt Zorunluluğu Bulunanlar

Veri Sorumluları Sicili (VERBİS), veri sorumlularının kaydolmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Bu sistem içerisinde kayıt yükümlülüğü bulunan veri sorumlularının; veri işleme faaliyetlerine, veri işleme amaçlarına, işlenen verilerin kategorilerine ilişkin bilgiler mevcuttur.

Kanun ve Yönetmelik'e göre VERBİS bildirimleri;

  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grupları ile bu kişilere ait veri kategorileri,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin alınan tedbirler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süreden

ibarettir.

Kurul, veri sorumluları tarafından yürütülen veri işleme faaliyetlerini kayıt altına almaktadır. VERBİS, Kurul'un denetiminde "kamuya açık" olarak tutulmaktadır. Kişisel veri işleyen gerçek ve tüzel kişiler veri işlemeye başlamadan önce Veri Sorumluları Siciline (VERBİS) kaydolmak zorundadır.

Kanun ve Yönetmelik ile belirlenen şartlar kapsamında Kurul, en son 06.07.2023 tarih ve 2023/1154 sayılı kararı ile 11.03.2021 tarihli ve 2021/238 sayılı kararını değiştirmiş ve yapılan son değişiklik ile;

  • Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 100 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları ile yurt dışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
  • Yıllık çalışan sayısı 50'den az ve yıllık mali bilançosu 100 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
  • Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine kadar uzatılmasına karar vermiştir.

Bu noktada iki hususa açıklık getirmekte fayda vardır.

  1. Karar içeriğinde belirtilen azami süreler, kararın 2021 tarihinde verilmiş olması nedeniyle çoktan geçmiş durumdadır. Ancak bu, VERBİS'e kayıt yükümlülüğünün ortadan kalktığı anlamına gelmemektedir. Kurul, verilen sürelerin geçmesine rağmen henüz VERBİS'e kayıt yaptırmamış veri sorumlularını, re'sen veya şikâyet üzerine tespit edebilecek olup idari para cezası uygulayabilecektir. Bu nedenle VERBİS kayıt yükümlülüğü olan her veri sorumlusu hâlâ sicile kayıt yaptırmakla yükümlüdür.
  2. Kurul'un vermiş olduğu 11.03.2021 tarihli ve 2021/238 sayılı kararda "Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları" ile "Yıllık çalışan sayısı 50'den az ve yıllık mali bilançosu 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları" şeklinde belirtilmiş iken Kurul tarafından verilen 06.07.2023 tarih ve 2023/1154 sayılı karar ile eski kararda belirtilen tutarlar güncellenmiş ve "Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 100 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları" ile "Yıllık çalışan sayısı 50'den az ve yıllık mali bilançosu 100 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları" olarak değiştirilmiştir.

Kanun ve Yönetmelik ile belirlenen VERBİS'e kayıt yükümlülüğü bulunan veri sorumluları aşağıdaki gibidir:

  • Yıllık çalışan sayısı 50'nin üzerinde olan ya da yıllık mali bilanço toplamı 100 milyon TL'nin üzerinde olan gerçek ve tüzel kişiler,
  • Yurt dışında yerleşik bulunan gerçek ve tüzel kişiler,
  • Yıllık çalışan sayısı 50'den ve yıllık mali bilanço toplamı da 100 milyon TL'den az olan fakat esas faaliyet konusu özel nitelikli kişisel verilerin işlenmesi olan gerçek ve tüzel kişiler,
  • Kamu kurum ve kuruluşları,
  • Doktor, diş hekimi, diyetisyen, psikolog, psikoterapist, psikoanalist, fizyoterapist, optisyen vb. özel muayenehanesinde sağlık hizmeti sunan gerçek kişiler, eczaneler, hastaneler, poliklinikler, tıp merkezleri, diyaliz merkezleri, estetik merkezleri, rehabilitasyon merkezleri, tanı-tetkik ve görüntüleme merkezleri, paramedikal insan sağlığı hizmeti sunan gerçek veya tüzel kişiler, sağlık hizmet sunucuları, zihinsel engellilik veya madde bağımlılığına yönelik hizmet sunan gerçek veya tüzel kişiler, tıbbi tahlil laboratuvarları gibi meslekler ve kurumlar.

Yukarıdaki kategorilere dâhil olan şirketlerin VERBİS'e kayıt yaptırmış olmaları gerekmektedir. Yukarıda da izah edildiği üzere kararda belirtilen tarihin geçmiş olması VERBİS'e kayıt yükümlülüğünü ortadan kaldırmamaktadır. Bu kategoride yer alan her veri sorumlusunun, VERBİS kaydı yapabilmek için öncelikle aşağıdaki adımları takip etmesi gerekmektedir:

  • Veri işleme amacı, veri kategorisi, veri aktarımı yapılan gruplar, veri işlendikten sonra azami muhafaza süresi, yurt içine ve/veya yurt dışına aktarılacak verileri ve veri koruması için alınacak güvenlik önlemlerini içerecek şekilde açık, güncel ve doğru bir veri envanterini oluşturması,
  • Türkiye'de yerleşik değilse, Türkiye'de yerleşik Türkiye Cumhuriyeti vatandaşı bir gerçek kişiyi veri sorumlu temsilcisi atayarak veri sorumlusu temsilcisi oluşturması,
  • Türkiye'de yerleşik veri sorumluları ve veri sorumlusu temsilcileri, VERBİS kayıtlarını tamamlamak, güncellemek ve güncelliğini muhafaza etmek üzere gerçek bir irtibat kişisi belirlemesi gerekmektedir.

VERBİS Kayıt Yükümlülüğünün İstisnaları

Yukarıda her ne kadar VERBİS kayıt ve bildirim yükümlülüğünden bahsedilmiş olsa da bu yükümlülüğün belirlendiği Kişisel Verileri Koruma Kanunu 16. Maddesinde Kişisel Verileri Koruma Kurulu'nun Veri Sorumluları Sicili'ne (VERBİS) kayıt zorunluluğuna istisna getirebileceği de düzenlenmiş ve Kurul Kararları ile VERBİS'e kayıt yükümlülüğü olmayanlar şu şekilde sıralanmıştır.

  • Herhangi bir veri kayıt sistemine dâhil olmakla birlikte otomatik olmayan yollar ile veri işleyenler,
  • Noterler,
  • Vakıf, sendika ve derneklerden yalnızca ilgili mevzuat ve amaçlarına uygun faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  • Siyasi Partiler,
  • Avukatlar,
  • Serbest Muhasebeci ve Mali Müşavirler ile Yeminli Mali Müşavirler,
  • Arabulucular,
  • Gümrük Müşavirleri,
  • Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 100 milyon TL'den az olan, ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan veri sorumluları.

Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca VERBİS'e kayıt yükümlülüğüne ilişkin olarak veri sorumlularının veri işlemeye başlamadan önce VERBİS'e kayıt yükümlülüğünü yerine getirmek zorunda olduğunu belirtmiş ve kayıt yükümlülüğü altında bulunmayıp da sonradan veri sorumlusu hâline gelen veri sorumlularının yükümlülük altına girmelerini müteakip 30 günlük süre içerisinde VERBİS'e kaydolmaları gerektiği düzenlenmiştir.

Böylece 2023 yılı için vergi beyannamesini vermiş olan veri sorumlularının, beyanname ekinde yer alan bilançoda aktif toplamı 100 milyon TL'den fazla ise 30 gün içerisinde VERBİS'e kayıt yükümlülüklerini yerine getirmeleri gerekmektedir. Kısa bir örnekle açıklamak gerekirse; 05.05.2024 tarihinde kurumlar vergisi beyannamesini vermiş olan bir veri sorumlusu en geç 05.06.2024 tarihine kadar VERBİS'e kayıt yaptırmakla yükümlü olacaktır.

Son olarak ifade edelim ki veri sorumlusunun VERBİS'e kayıt yükümlülüğünün bulunmaması KVKK kapsamındaki diğer yükümlülüklerini ortadan kaldırmamaktadır.

VERBİS Sisteminde Temsilci ve İrtibat Kişisi

"Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder."1 Veri Sorumlusu Temsilcisi de gerçek veya tüzel kişi olabileceği gibi veri işleme faaliyetlerinin tamamını kapsayacak şekilde hukuki sorumluluğun toplandığı süje olarak tanımlanır.

"İrtibat kişisi, veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumludur."2 İlgili veri sorumlusu tarafından Kanun ve Yönetmelik doğrultusunda bir irtibat kişisi atamak zorunludur. İrtibat kişisi, VERBİS üzerinden ilgili veri sorumlusu tarafından atanmaktadır. İrtibat Kişisi, veri sorumlusu tarafından atandıktan sonra sicile kayıt kısmı üzerinden sisteme giriş yapabilmektedir.

VERBİS'e Kayıt Sonrasında Yapılması Gerekenler

VERBİS kaydında VERBİS'e eklenmesi gereken bilgilerin kayıt öncesinde güncel ve doğru bir şekilde toplanmış olması gerekmektedir. Bu süreçte veri envanteri hazırlığının KVKK alanında uzman bir hukukçu tarafından hazırlanması oldukça önemlidir.

Veri envanteri kapsamında VERBİS içerisinde talep edilen bilgilerin sisteme eklenmesi gerekmektedir. Bu aşamada; veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grupları ile bu kişilere ait veri kategorileri, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler ve kişisel verilerin işlendikleri amaç için gerekli olan azami sürelere ilişkin bilgilerin VERBİS içerisine güncel ve doğru olarak kaydedilmesi gerekmektedir.

VERBİS kaydı için kaydedilen bilgilerin şirketler tarafından düzenli olarak kontrol edilmesi gerekmektedir. Veri işleme faaliyetinde değişiklik varsa VERBİS kaydında da değişiklik yapılması gerekecektir. Güncellemenin, değişikliğin gerçekleştiği tarihten itibaren 7 gün içinde Kişisel Verileri Koruma Kurumu'na bildirilmesi gerekmektedir. Bu sebeplerle, veri işleme faaliyetlerinde değişiklik yapılması hâlinde veri sorumlusu veya irtibat kişisi tarafından ilgili değişikliğin VERBİS içerisinde yapılması önem arz etmektedir.

VERBİS'e Kayıt Zorunluluğunun İhlali

Kanun'un 18/1-ç maddesi uyarınca Veri Sorumluları Sicil Bilgi Sistemi'ne kayıt yükümlülüğüne aykırılık hâlinde verilecek idari para cezalarına ilişkin güncel tutarlar, Kurul tarafından 17.01.2023 tarihinde ilan ile yayımlanmıştır. Kurul'un yayımladığı ilan doğrultusunda Veri Sorumluları Sicil Bilgi Sistemi'ne kayıt yükümlülüğü ihlal edildiği takdirde 189.245,00 TL ile 9.463.213,00 TL arasında idari para cezası düzenlenebilecektir.

Sonuç olarak; belirli şart ve koşulları sağlayan her veri sorumlusunun VERBİS'e kayıt yaptırması zorunlu olup söz konusu yükümlülüğün yerine getirilmediğinin tespit edilmesi hâlinde Kurum'ca belirtilen miktarlarda para cezaları uygulanabilecektir. VERBİS'e kayıt yükümlülüğü bulunan veri sorumlularının, hem VERBİS kayıt yükümlülüğünü yerine getirmesi hem de VERBİS'e kaydedilen bilgilerin güncelliğinin korunması; veri sorumlularının kişisel veri işleme faaliyetlerinin kontrolü ve VERBİS Kayıt Yükümlülüğüne aykırılık hâlinde kesilecek cezalar açısından büyük önem arz etmektedir.

Ek bilgiye ihtiyaç duymanız hâlinde bizimle iletişime geçiniz.

1 Veri Sorumlusu Kimdir

2 İrtibat Kişisi Kimdir

Bilgilendirme Metni!

Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

CottGroup® üye şirketlerine ulaşmak için tıklayınız.

Yazar

/en/blog/kvkk-gdpr/item/obligation-to-register-to-the-data-controllers-registry-information-system-verbis

Diğer Makaleler

Başlayalım
Hizmet ihtiyaçlarınız için teklif alın.

Daha fazla bilgi
almak ister misiniz?