Konuyla ilgili bir önceki yazımızda belirttiğimiz üzere Kişisel Verileri Koruma Kurulu'nun ("Kurul") 2019/387 sayılı Kararı uyarınca Veri Sorumluları Sicili Bilgi Sistemi'ne ("VERBİS) kayıt ve bildirim yükümlülüğünün yerine getirilmesi için şu an için en yakın tarih 30.06.2020 olup; neredeyse tam 6 aylık bir süre söz konusudur.

VERBİS'e kayıt süreleri belirtilen şekilde olmakla birlikte Karar'da değinilmesi gereken birkaç noktanın daha olduğunu düşünüyoruz. Zira Kurul, söz konusu uzatma kararının gerekçelerini açıklamak suretiyle aslında veri sorumlularının VERBİS'e kayıt yükümlülüğü bakımından dikkat etmeleri gereken noktaları da açıkça belirtmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("Kanun") yürürlüğe girmesini takiben VERBİS'in faaliyete girdiği tarihten bu yana veri sorumluları tarafından hep ertelenmeye çalışılan VERBİS'e kayıt yükümlülüğünün artık ciddiye alınması gereken bir yükümlülük olduğu ve aksi takdirde ciddi idari para cezalarına hükmedilebileceği aşikar.

Ayrıca Kurul'un, ilk uzatma kararından farklı olarak, bu son kararında sadece süreleri uzatmak yerine bu tespitlerini kararın gerekçesi olarak belirtmesi, bu kararının bir uyarı olarak algılanması gerektiğini gösteriyor.

Peki ama sicile kayıt yükümlülüğü nasıl yerine getirilmeli?

Kurul'un son Karar'ı uyarınca VERBİS'e kayıt ve bildirim yükümlülüğünün yerine getirilmesi sırasında dikkat edilmesi gereken başlıkları şu şekilde toparlayabiliriz:

  • VERBİS'e kayıt ve bildirim yükümlülüğünün yalnızca süresi içinde sisteme giriş yapmakla sınırlı olmadığının, yapılan eksik ve hatalı bildirimlerin Kanun'a aykırılık oluşturacağının bilinmesi gerekir

Her şeyden önce Kurul'un bu yaklaşımını benimsemenin çok önemli ve faydalı olacağı düşüncesindeyiz. Kurul, VERBİS veri tabanı üzerinden özellikle son günlerde iletilen bildirimlerle ilgili olarak yaptığı araştırmada, kayıt için son tarihlerin yaklaşmasının da etkisiyle veri sorumlularının yükümlülüğü ve son tarihi karşılayabilmek adına eksik ve hatalı bildirimlerin yapıldığını tespit etmiştir. Örneğin, Kurul'a göre bazı bildirimlerde işlendiği beyan edilen kişisel verilerle işleme amaçlarının, aktarım gerçekleştirildiği beyan edilen alıcı/alıcı gruplarının, veri konusu kişi gruplarının, alınan teknik ve idari tedbirlerin, özel nitelikli kişisel veriler için alınması gereken yeterli önlemlerin, yurtdışına veri aktarımının ve saklamaya ilişkin beyan edilen sürelerin örtüşmemekte ve bu durum da Kanun'a/yönetmeliklere aykırılık oluşturmaktadır.

Kurul'un da belirttiği gibi bu şekilde bir yaklaşım, Kanun ile belirtilen bir kayıt ve bildirim ile bağdaşmayacak ve bu şekilde yapılan bildirim gerekli unsurları da taşıyamayacaktır. Zira VERBİS'in amacı da Karar'da "kişisel veri işlemede şeffaflık, kişisel verilerin gelişigüzel işlenmesinin önüne geçilerek kişisel veri işleme faaliyetlerinin disiplin altına alınması, bu alanda kültür ve farkındalık oluşması, veri sorumlularının kişisel verisini işlediği kişilere hesap verebilmesi" şeklinde belirtilmiştir.

Burada verilen 6 aylık sürenin, VERBİS kayıtlarının özenle, veri sorumlularının hazırladığı kişisel veri envanteri ile uyumlu şekilde hazırlanması için verilen bir süre mahiyetinde olduğu anlaşılmalı ve buna göre hareket edilmelidir.

  • Kişisel veri envanterinin hazırlanması Veri Sorumluları Sicili Hakkında Yönetmelik gereği zorunlu bir unsurdur

Kişisel veri envanterinin hazırlanması, VERBİS'e kayıt ve bildirim yükümlülüğünün yerine getirilmesi açısından zorunlu bir unsurdur. Ancak bu adım çoğu zaman atlanmak istenmekte ve hatta kayıt sürelerinin de sona ermeye yaklaşmasıyla birlikte yalnızca VERBİS'e kayıt yükümlülüğünün yerine getirilmesi amacıyla genel geçer girişler yapılabilmektedir.

Kurul'un, envanter hazırlanmasının ve VERBİS'e yapılacak olan bildirimin de oluşturulan bu envanter uyarınca gerçekleştirilmesi gerektiğinin zorunlu olduğunun altını çizme ihtiyacının da tam da bu nedenden kaynaklandığını düşünüyoruz. Ancak envanter hazırlanmaksızın, daha açık bir ifadeyle gerçekleştirilen kişisel veri işleme süreçlerinin her açıdan bir fotoğrafı çekilmeksizin yapılan bildirimin Kanun'a uyumlu olmayacağı ve bu takdirde de idari para cezalarıyla karşılaşılabileceği unutulmamalıdır.

  • Veri sorumlusu, VERBİS'e girilen bilgilerin doğruluğu ve güncelliğinden sorumludur

Yukarıda da ifade ettiğimiz gibi veri sorumlusunun VERBİS'e herhangi bir şekilde kaydolması bu yükümlülüğün sona erdiği anlamına gelmez. Esas dikkat edilmesi gereken noktalardan biri de budur. Zira veri sorumlusu VERBİS'e girdiği bilgilerin doğruluğundan sorumludur. Kurul, yaptığı incelemeler sırasında son zamanlarda yanlış ve eksik bildirimlerin yapıldığı ve girilen bilgilerin birbiriyle örtüşmediği (kişisel veriler ile işleme amaçları, alıcı/alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yeterli önlemler, yurtdışına veri aktarımı ve saklama süreleri) şeklinde hukuka aykırılıklar tespit ettiğini belirtmiştir. Dolayısıyla bu noktada da karşımıza kişisel veri envanterinin hazırlanması ve güncelliğinin korunması gereği ortaya çıkmaktadır.

Bir adım öteye gidersek, veri sorumlularının tam ve doğru bir şekilde girilen bilgilerin "güncel" olmasından da sorumlu olduğu atlanmamalıdır. Bu husus Karar'da da çok açık bir şekilde ifade edilmiştir. Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişikliklerin, meydana gelme tarihinden itibaren yedi gün içerisinde VERBİS üzerinden Kurum'a bildirilmesi gerektiği yükümlülüğün bir diğer tarafıdır.

Bu çerçevede, veri sorumlularının yapmış oldukları kayıtların güncelliğini kontrol etmeleri ve en kısa sürede hatalı/eksik bildirimlerini düzeltmeleri gereklidir.

  • VERBİS'e giriş yapıldıktan sonra iletilen kullanıcı adı ve parola aracılığıyla bildirimin gerçekleştirilmesi

Kurul, vermiş olduğu Karar ile kayıt ve bildirim yükümlülüğünün yerine getirilmiş olduğundan bahsedilebilmesi için nelere ihtiyaç olduğu bir kez daha hatırlatmıştır. Buna göre; "veri sorumlularının, önce VERBİS'e giriş yaparak başvuru formunu sistem üzerinden oluşturması ve bu formu Kuruma kargo / posta / elden iletilmesi veya Kayıtlı Elektronik Posta (KEP) aracılığıyla iletmesi gerekli görülmektedir. Başvuru formunun iletilmesi üzerine Kurum tarafından kendisine iletilen "kullanıcı adı" ve "parola" ile VERBİS'e giriş yaparak bildirimi gerçekleştirmesi gerekmektedir."

Kurul burada yükümlülüğün sadece VERBİS'e giriş yapmakla sona ermediği noktasına dikkat çekerek bundan sonra yapılması gereken bildirimin altını çiziyor. Zira Kanun ile getirilen bu yükümlülüğün aynı zamanda bildirim yapılmasını da kapsadığı unutulmamalıdır. Dolayısıyla VERBİS'e giriş yapmak yükümlülüğün sadece ilk aşaması olup; bundan sonra başvuru formunun belirtildiği şekilde Kurul'a iletilmesi ve ardından Kurul tarafından iletilen kullanıcı adı ve parola aracılığıyla kişisel veri işleme süreçlerine ilişkin bildirimlerin yapılmasıdır.

Sonuç

Kurul'un VERBİS'e kayıt ve bildirim yükümlülüğü için belirlenen tarihleri uzatma kararı, tüm veri sorumluları tarafından ciddiye alınmalıdır. Bu uzatma kararının gerekçelerinde yer alan tespitler, veri sorumlularına ve uygulamacılara bir uyarıdır. Kurul'un istediği yalnızca süresi içinde VERBİS'e bir giriş yapılması ve gelişigüzel bildirimlerin yapılması değil; VERBİS'in öngörülme amacı bilinciyle hareket edilmesidir.

Bu çerçevede yapılması gereken, veri sorumlusu bünyesinde gerçekleştirilen tüm kişisel veri işleme süreçlerinin bir kişisel veri envanteri oluşturularak tam ve doğru bir şekilde ortaya konulması ve ancak bundan sonra adım adım ilerlenerek VERBİS'e kayıt ve bildirim yükümlülüğünün yerine getirilmesidir. Öte yandan bildirimin tam ve doğru bir şekilde yapılmasıyla dahi söz konusu yükümlülüğün aslında sona ermediği ve veri işleme süreçleriyle ilgili meydana gelen yenilik ve değişikliklerin de VERBİS'e girilerek bilgilerin doğruluğu ve güncelliğinin sağlanması ve bu bakımdan devam eden bir çalışmanın gerektiği de unutulmamalıdır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.