Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 16. maddesi şu şekilde düzenlenmiştir; "Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir." Bu doğrultuda Kanun, ilgili veri sorumlularına sicile kayıt yükümlülüğü yüklemiştir. Veri Sorumluları Sicili'ne tüm veri sorumluları kayıt olmak zorunda değildir. Gerek Kanun'un 28. maddesinde yer alan gerekse Kişisel Verileri Koruma Kurulu tarafından alınan kararlar çerçevesindeki istisnalar bazı veri sorumlularını sicile kayıt yükümlülüğünden muaf tutmuştur. Söz konusu istisnalardan daha önce bahsetmiştik. (https://www.linkedin.com/pulse/veri-sorumlulari-sicili-hakkinda-son-%C3%A7ikan-kurul-kararlari-erdal/)
"Veri Sorumluları Sicil Bilgi Sistemi" kısa adı ile VERBİS 01 Ekim 2018 tarihinde kullanıcılara açılacak ve yine bu tarih itibariyle VERBİS'e kayıt yükümlülüğü bulunan veri sorumlularının kayıt yükümlülükleri başlayacaktır. Bu tarihten itibaren kayıt yükümlülüğü bulunan veri sorumluları Kişisel Verileri Koruma Kurumu tarafından hazırlanan VERBİS sistemine kayıt olmak sureti ile sisteme dahil olacak, sistemdeki adımlar vasıtası ile kayıt ve bildirim yükümlülüklerini yerine getireceklerdir. İşbu yazımız kapsamında aşağıda, yurt içinde yerleşik kişilerin VERBİS'e kayıt olma ve bildirim aşamaları detaylıca anlatılmıştır.
Veri sorumluları VERBİS'e www.kvkk.gov.tr adresinden ulaşabilir.
VERBİS'e girildiğinde kullanıcıları iki ayrı seçenek karşılamaktadır. Bunlardan ilki "Veri Sorumlusu Yönetici Girişi". Bu seçenek vasıtası ile ilk kayıt işlemi gerçekleştirilir. "Kayıt ol" butonuna tıklandıktan sonra 3 farklı veri sorumlusu tipinden biri, kayıt olan veri sorumlusu yetkilisi tarafından seçilmek durumunda. Bu seçeneklerden ilki, yurt içinde yerleşik gerçek veya tüzel kişi veri sorumlusu, ikincisi yurt dışında yerleşik gerçek veya tüzel kişi veri sorumlusu, üçüncüsü ise kamu kurumu olan veri sorumlularıdır. İşbu yazımıza konu olduğu gibi yurt içinde yerleşik gerçek veya tüzel kişi veri sorumlusu butonu seçilerek devam edilmelidir. Bu aşamadan sonra; gerçek kişi veri sorumlusu TC Kimlik Numarası, tüzel kişi ise Vergi Dairesi vergi numarası ile giriş yapmalıdır. TCKN veya Vergi Dairesi bilgileri ile Gelir İdaresi Başkanlığı ve MERNİS üzerinden anlık bilgi aktarımı ile veri sorumlusuna ilişkin bilgiler karşınıza çıkacaktır. Veri sorumlusuna ait bu bilgiler ekrana geldikten sonra yine aynı sayfanın altında yer alan diğer bilgiler (e-posta adresi, adres numarası, KEP adresi) girilmelidir. Adres numarası bilinmiyor ise sayfada yer alan İç İşleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü'ne yönlendiren link ile adres numarası öğrenilebilir. Bu bölümde manuel olarak adres girişi yapılamamaktadır.
Bilgi girişi tamamlandıktan sonra "Kaydet" butonuna basılmalıdır. Bunun üzerine başvuru numarası ve doğrulama kodunun yer aldığı "Başvurunuz alındı" bilgisi ekrana yansıyacaktır. Bu numara ve kodun kaydedilmesi önem taşımaktadır; nitekim daha sonra başvurunuzun ne aşamada olduğu verilen bu başvuru numarası ve doğrulama kodu ile takip edilebilecektir.
Kayıt için son aşama ise başvuru formunun matbu olarak sistemden bir örneğinin alınması ve imzalanmasıdır. Bunun için öncelikle form PDF olarak kaydedilir ve ardından bir çıktısı alınır. Sistem üzerinden alınan bu çıktı imzaya yetkili kişi tarafından imzalanarak, Kişisel Verileri Koruma Kurumu'na posta veya kargo aracılığı ile gönderilir.
Kurum, söz konusu bu başvuruyu inceleyerek herhangi bir eksiklik bulunmaması durumunda onaylar. Başvurunun Kurum tarafından onaylanması ile veri sorumlusunun VERBİS'e kaydı tamamlanmış olur. Onay ile birlikte, Kurum tarafından kayıt esnasında verilen e-posta adresine, bundan sonra sisteme girişlerde kullanılmak üzere bir "Kullanıcı adı" ve "Parola" gönderilecektir. Kullanıcı adı VERBİS üzerinde silinmediği müddetçe değişmezken; parolanın değiştirilmesi mümkündür.
İrtibat kişisi, kısaca sisteme bilgi girişini yapacak kişi olarak tanımlanabilir. Bu işlem, Veri Sorumlusu Yönetici Girişi üzerinden yapılacak olan son işlemdir. Verilen Kullanıcı Adı ve Parola ile sisteme giriş yaptıktan sonra karşınıza çıkan ekranın sol kısmında bir menü bulunmaktadır. Bu menüdeki seçeneklerden "İrtibat Kişisi" seçeneği seçilmelidir. İrtibat kişisi Türkiye Cumhuriyeti vatandaşı gerçek kişi olmak zorundadır. Veri sorumlusu ve irtibat kişisi aynı kişi olabileceği gibi, farklı bir kişi olarak da belirlenebilir.
Bu noktada göz önünde bulundurulması gereken husus, her veri sorumlusunun yalnızca bir irtibat kişisi belirleyebileceği ve bir irtibat kişisinin ise yalnızca bir veri sorumlusunun irtibat kişisi olabileceğidir.
İrtibat kişisi belirlendikten sonraki işlemlerin tümü "Sicile Kayıt" bölümünden irtibat kişisi tarafından yerine getirilecektir.
İrtibat kişisi sicile kayıt bölümüne E-devlet sistemi üzerinden giriş yapacaktır. Giriş yapıldıktan sonra karşınıza irtibat kişisinin sorumluluklarını konu alan bir taahhütname çıkar. İrtibat kişisi bu taahhütnameyi onaylamak ve sistem üzerindeki profil bilgilerini güncellemek ile yükümlüdür.
VERBİS'in amacı veri sorumlusu tarafından hangi tür verilerin hangi amaçlar ile nasıl işlendiğine dair bir veri tabanı oluşturulmasıdır. Diğer bir deyişle sistemin esas amacı, veri sorumlularının işledikleri veri türlerinin kayıt altına alınmasıdır. Bu amaca uygun olarak sistem üzerinden bildirim yapılması gerekmektedir. Sicil kayıt bölümüne girdikten sonra ekranın solun yer alan menüden "Bildirim" butonu tıklandığında karşımıza Kurum tarafından belirlenen veri kategorileri (kimlik, iletişim, lokasyon vb) çıkmaktadır. Bu veri kategorilerine tek tek girerek bu kategorideki verinin veri sorumlusu tarafından işlenip işlenmediği sisteme işaretlenmelidir. Sistemde yer alan listede yer almayan bir veri girilmekte ise, "Diğer" seçeneği üzerinden işlenen veri türüne ait bilgiler girilebilir.
Bu bilgiler girilip kaydedildikten sonra, işlendiği seçilen veri türleri için her veri kategorisinin hangi amaçla işlendiğinin belirtileceği "Amaçlar" bölümüne geçilir. Yine burada Kurum'un belirlediği amaçlar arasından her bir veri türünün işlenme amacı işaretlenmelidir. (Örneğin, kimlik veri grubu için personel dosyalarının tutulması amacı gibi)
Tüm veri kategorileri için bu verilerin işlenme amaçları işaretlenip kaydedildikten sonra "Veri Aktarım Alıcı Grupları" bölümüne geçilir. Burada her bir veri türü için verinin aktarılıp aktarılmadığı, aktarılıyor ise kime aktarıldığı (örneğin, gerçek veya özel hukuk tüzel kişileri, herkese açık, hissedarlar, vb) seçenekler arasından seçilir veya verilen seçenekler arasında aktarılan kişiler yer almıyor ise "Diğer" kısmına detaylı olarak belirtilir.
Bu aşamadan sonra ise "Saklama Süreleri" girilecektir. Yine bu kısımda da her bir veri kategorisi için ayrı ayrı saklama süreleri işaretlenecektir. Bildirim, yıl ve/veya ay olarak yapılır. Burada yine "Diğer" seçeneği mevcuttur.
Bu noktada bir veri kategorisi hakkında birden fazla saklama süresi mevcut ise uzun olanın seçilmesi gerektiği kanaatindeyiz. Bunun dışında "Süresiz" seçeneği de mevcuttur; ancak özel Kanun ve düzenlemelerde ilgili verinin süresiz olarak işleneceğine dair bir hüküm bulunmuyor ise bu seçenek seçilmemelidir.
Takip eden aşama ise "Veri Konusu Kişi Grubu" bölümüne ilgili bilgilerin girilmesidir. Burada alt başlıklar yardımı ile kimlerin verilerinin işlendiği bildirilir.
Bu aşamadan sonra "Yabancı Ülkelere Aktarılacak Bilgiler" bölümü karşımıza gelecektir. Burada yalnızca ilgili verinin yabancı bir ülkeye aktarılıp aktarılmadığı belirtilecektir.
"Veri Güvenliği Tedbirleri" ise son aşamadır. Burada, Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberi baz alınarak hazırlanan liste üzerinden, veri sorumlusunun verilerin Kanuna aykırı olarak işlenmesini engellemek üzere aldığı tedbirler seçilir.
Böylece bildirimin son aşaması da tamamlanarak "Son Kontrol" aşamasına geçilir. Son kontrol ekranında yapılan bildirimlerin bir özeti karşımıza çıkmaktadır. Bu ekran üzerinden herhangi bir hata veya eksiklik olmaması adına son kontroller yapılarak, "Onayla ve Gönder" butonu ile bildirim tamamlanır.