Verbis başvuru ve kayıt süreçlerinin her sene güncel olarak yeniden değerlendirilmesi gerekiyor mu? Soru 430

tarafından | Haz 6, 2023 | soru-cevap | 0 yorum

Verbis başvuru ve kayıt süreçlerinin her sene güncel olarak yeniden değerlendirilmesi gerekiyor mu?

Kısaca cevap vermek gerekirse EVET gerekiyor.

VERBİS – Veri Sorumluları Sicil Bilgi Sistemi ile ilgili detaylı yazımıza aşağıdaki bağlantıdan ulaşabilirsiniz.

SORU 347 : VERBİS – Veri Sorumluları Sicil Bilgi Sistemi’ne kimler kayıt olmak zorundadır?

Türkiye’de yerleşik gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının Türkiye’de kişisel veri işlemeleri halinde genel kural olarak VERBİS’e kayıt olmaları gerekmektedir.

Bununla birlikte Kanunun 16 ncı maddesine göre Kurulca istisna getirilmiş olan veri sorumluları için VERBİS’e kayıt yükümlülüğü bulunmamaktadır.

Bu kapsamda Kurulca alınan ve 18.08.2018 tarihli Resmi Gazete’de yayımlanan 2018/88 sayılı Kararda da belirtildiği üzere aşağıdaki veri sorumluları için VERBİS’e kayıt yükümlülüğü bulunmaktadır.

1 – Yıllık çalışan sayısı 50’den çok veri sorumluları

2 – Yıllık mali bilanço toplamı 25 milyon TL’den çok veri sorumluları

3 – Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları olan veri sorumluları

4- Yurtdışında yerleşik tüm veri sorumluları için

5 – Kamu kurum ve kuruluşları için VERBİS’e kayıt yükümlülüğü bulunmaktadır.

6698 Sayılı Kişisel Verilerin Korunması Kanun’un Kabahatler başlıklı 18.maddesine göre Verbis- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne yerine getirmeyenler ile Kurul kararlarına aykırı hareket edenler 2023 yılı değerleme oranlarına göre 119.428TL’den 29.852 TL’den 5.971,989 TL’ye kadar idari para cezası ile cezalandırılabileceklerdir. 

Yıllık çalışan sayısı ve yıllık mali bilanço toplamı her sene değişeceğinden veri sorumlularının irtibat kişilerinin ve özellikle Avukat, Mali Müşavir, İnsan Kaynakları Yöneticileri ile kişisel veri koruma uzmanlarının her sene güncel olarak çalışan sayısındaki değişimi ve yıllık mali bilançoları takip etmeleri ve gerekli eşiklere ulaşıldığına Verbis kayıtlarının yapılmasını sağlamaları gerekmektedir.

Bu vesileyle esasen bu şartları sağlamayan veri sorumlularının da Verbis kayıtlarının yapılmasına bir engel bulunmadığını belirtmek gerekir. Verbis’e kayıt ve her sene yeniden değerlendirilmesi ve güncellenmesi; kurum içi kişisel veri yönetimi disiplinini sağlamakta, yapılan yıllık eğitim ve denetimlerle aslında yaşayan ve sürekli gelişen bir süreç olan KVKK- Kişisel Verilerin Korunması hakkında kurumsal refleksleri diri tutmaktadır. Böylelikle veri sorumlusunun karşılaşabileceği idari para cezası gibi riskleri minimize etmektedir. Zira KVKK ve ilgili mevzuata aykırılık teşkil eden eylemleri nedeniyle 2023 yeniden değerleme oranlarına göre Veri Sorumluları; 29.852 TL’den 5.971,989 TL’ye kadar idari para cezası ile cezalandırılabileceklerdir. 

Kişisel Verileri Koruma Kurulu Kararlarındaki “Yıllık Çalışan Sayısı” nasıl hesaplanır?

Kurulun istisna ve kayıt yükümlülüğü başlama tarihleriyle ilgili kararlarında, diğer bazı kriterlerle birlikte “yıllık çalışan sayısı” kriteri de dikkate alınmıştır. Bu kararlarda yer alan yıllık çalışan sayısının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisindeki 12 aydan en az 7’sinin her birinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan Muhtasar ve Prim Hizmet Beyannamesinde bildirilen çalışan sayısının dikkate alınması gerekmektedir.

Ayrıca söz konusu 7 ayın aynı yıl içerisinde olmak kaydıyla ardışık olması zorunlu değildir. Buna göre, bir veri sorumlusu 2017 yılı içerisinde Sosyal Güvenlik Kurumuna vermiş olduğu Muhtasar ve Prim Hizmet Beyannamelerinin en az 7 sinin her birinde bildirmiş olduğu çalışan sayısının 50’den çok olması halinde kayıt yükümlülüğü 01.10.2018 tarihinde başlamış olacaktır.

Kişisel Verileri Koruma Kurulu kararlarındaki  “Yıllık mali bilanço toplamı nasıl hesaplanır?

Kurulun istisna ve kayıt yükümlülüğü başlama tarihleriyle ilgili kararlarında, diğer bazı kriterlerle birlikte “yıllık mali bilanço toplamı” kriteri de dikkate alınmıştır. Bu Kararlarda yer alan yıllık mali bilanço toplamının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisinde veri sorumlusu tarafından yetkili kamu kurumuna yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyanname ekindeki mali tablolarda yer alan mali bilanço bilgisinin dikkate alınması gerekmektedir.

Buna göre veri sorumlusunun beyannamesi ekindeki bilançoda yer alan “aktif” ya da “pasif” bölümündeki toplam rakam esas alınmalıdır.

Kurulun istisna ve kayıt yükümlülüğü başlama tarihleriyle ilgili kararlarında, diğer bazı kriterlerle birlikte “yıllık mali bilanço toplamı” kriteri de dikkate alınmıştır. Bu kararlarda yer alan yıllık mali bilanço toplamı ifadesinden, bilanço usulüne göre defter tutanların yetkili kamu kurumuna verdiği yıllık gelir veya kurumlar vergisi beyanname ekindeki bilançoda yer alan “aktif” ya da “pasif” bölümündeki toplam rakam dikkate alınacaktır. Ciro ya da net satış / brüt satış hasılatı bilgisi dikkate alınmayacaktır.

Bilanço limitini daha önce aşmadığı için VERBİS bildirimi yapmayan ancak 2022 yılında gelir veya kurumlar vergisi beyannamesi ekine dahil edilen mali tablolarda 25 milyon TL’yi aşan şirketler için Verbis Bildiriminin, mevzuat gereği bildirim tarihinden itibaren 30 gün içerisinde yapılması gerekmektedir. 

Mayıs 2023’te beyannamesini veren şirketlerin kayıt yaptırmaları için son gün 5 Haziran 2023’tür.

İşte bu nedenle de Mayıs 2023 döneminde mali bilançolarını veren ve önceki senelerde 25.000.000 TL sınırını aşmayan ve özellikle de enflasyon oran artışları nedeniyle rakamsal olarak büyüme gösteren veri sorumluları da bu eşiği aştığı için artık Verbise kayıt yükümlülüğü kapsamına girmiş oldu. Bu rakam her sene verilecek beyanname ekindeki bilançoya göre doğal olarak değişecektir. Bu nedenle de mali müşavirlerin bu konuya dikkat etmeleri ve veri sorumlularının irtibat kişilerine gerekli uyarı ve bildirimlerinde bulunması yerinde olacaktır.

Yurtdışında yerleşik Tüzel kişiler VERBİS’e kayıt olmak zorunda mıdır?

Yurtdışında yerleşik Tüzel kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Sicile Kayıt Yükümlülüğü Hakkındaki Görüş Talebi ile ilgili Kişisel Verileri Koruma Kurulunun 23/07/2019 tarih ve 2019/225 sayılı Kararı aşağıdaki gibidir;

  1. Türkiye’de doğrudan veya şubeleri aracılığıyla kişisel veri işleme faaliyetinde bulunan yurt dışında yerleşik veri sorumlularının Sicile kayıt olmalarının gerektiğine,
  2. Yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin, Kanunda yer alan veri sorumlusu tanımı gereği kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemesi ve veri kayıt sisteminin kurulması ile yönetilmesinden sorumlu olması halinde yurt dışında yerleşik tüzel kişiden ayrı olarak Türkiye’de yerleşik veri sorumlusu olarak değerlendirileceğine, bu durumda olan yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubeleri için Kişisel Verileri Koruma Kurulunun 2018/88 sayılı ve 2019/265 sayılı kararlarında yer alan “yıllık çalışan sayısı” ve “yıllık mali bilanço toplamı” kriterleri açısından yapılacak değerlendirme sonucunda Sicile kayıt yükümlülüğü bulunup bulunmadığına karar verileceğine, bu durumda olmayan yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin ise Sicile kayıt yükümlülüğünün bulunmadığına,
  3. Türkiye’de irtibat bürosu açılabilmesi için şirket tüzel kişiliklerinin yabancı ülke kanunlarına göre kurulması ve kurulan irtibat bürolarının Türkiye’de ticari faaliyette bulunmaması gerektiği, irtibat bürolarının ticari faaliyet dışında haberleşme, fizibilite araştırması yapma, sosyal ve kültürel alanlarda bazı çalışmaları yürütme, şirketler arasında birleşme ve devirler için ön hazırlık yapma, tanıtım ve reklam, ülkedeki iş olanaklarının yakından takip etme ve bu konular hakkında merkez firmaya bilgi verme amacı doğrultusunda açılan bürolar olması ve şube özelliği bulunmadığı hususu dikkate alındığında söz konusu irtibat bürolarının Sicile kayıt olma yükümlülüğünün bulunmadığına karar verilmiştir.

kaynak : https://kvkk.gov.tr/Icerik/5545/2019-225

Veri sorumlusu olarak Verbis’e kayıt yükümlülüğü şartlarını taşıyoruz ancak bugüne kadar Verbis’e kayıt olmadık. Kayıt yükümlülüğümüzü yeni öğrendiğimiz için şimdi başvurursak Kurum bunu tespit edip bize önceden başvurmadığımız için idari para cezası verir mi?

Uygulamada bize en çok gelen sorulardan biri budur. Herşeyden önce bilinmesi gereken Verbis kayıt yükümlülüğünün esasen KVKK idari ve teknik tedbirlerinden sadece bir tanesi olduğudur. Yani Verbise kayıt yükümlülüğü olmayan veri sorumlusunun başka ve daha kapsamlı sorumlulukları vardır ve bu konularda da idari para cezası ile karşılaşma riski bulunmaktadır. Kurumun son yıllardaki genel yaklaşımı şahsi görüşümüze göre tabiri caizse “bağcıyı dövmek değil üzüm yemek” olduğu yönündedir. Şahsi görüşümüze göre; Kurum esasen Anayasa ile düzenlenmiş “kişisel verilerin korunması” ile ilgili olarak farkındalık çalışmalarını en üst seviyede tutmak için Verbis kayıt yükümlülüğünü sürdürmekte bu vesileyle de veri sorumluların alması gereken idari ve teknik tedbirlere dikkat çekmek istemektedir. Zİra Verbis kayıtları dikkatlice incelendiğinde bir veri sorumlusunun esasen Kişisel veri yönetim süreçlerini belli bir disiplin içerisinde yürütmesi gerektiğinin kurgulandığı ve vurgulandığı görülecektir. Bu nedenle veri sorumlularına kayıt yükümlülüğü olmasa da Verbis’ e kayıt olmaları ve bu şekilde aşağıda detayları belirtilen idari ve teknik tedbirleri alma konusunda kurum içi uyum ve farkındalık  çalışmalarını arttırmalarını öneriyoruz.

Türkiye Cumhuriyeti Anayasası’nın Özel hayatın gizliliği ve korunması başlıklı bölümünün Özel hayatın gizliliği başlıklı 20.maddesinin Ek fıkrası gereğince 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir

6698 Sayılı Kişisel Verilerin Korunması Kanun’un 12/1 maddesinde

“Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü yer almaktadır.

KİŞİSEL VERİ GÜVENLİĞİ REHBERİ (Teknik ve İdari Tedbirler)
KİŞİSEL VERİ GÜVENLİĞİ
REHBERİ (Teknik ve İdari Tedbirler)

Teknik Tedbirler

  1. Yetki Matrisi
  2. Yetki Kontrol Erişim Logları
  3. Kullanıcı Hesap Yönetimi
  4. Ağ Güvenliği
  5. Uygulama Güvenliği
  6. Şifreleme
  7. Sızma Testi
  8. Saldırı Tespit ve Önleme Sistemleri
  9. Log Kayıtları
  10. Veri Maskeleme
  11. Veri Kaybı Önleme Yazılımları
  12. Yedekleme
  13. Güvenlik Duvarları
  14. Güncel Anti-Virüs Sistemleri
  15. Silme, Yok Etme veya Anonim Hale Getirme
  16. Anahtar Yönetimi

İdari Tedbirler

  1. Kişisel Veri İşleme Envanteri Hazırlanması
  2. Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  3. Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
  4. Gizlilik Taahhütnameleri
  5. Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri,
  6. İş Sözleşmesi,
  7. Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
  8. Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
  9. Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  10. Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim