VERBİS Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 16. maddesi ile gerçek veya tüzel kişilere, kişisel verileri işlemeye başlamadan önce Veri Sorumluları Siciline (VERBİS) bildirimde bulunarak kaydolma ve işlenecek kişisel verilere ilişkin kategorik belirlemeler yapma zorunluluğu getirilmiştir. Bu zorunluluğun, Kişisel Verileri İşleme Kurulu tarafından belirlenmiş birtakım istisnaları mevcuttur.
Veri sorumluları, VERBİS’e kayıt yaptırmadan önce kişisel verileri işleme faaliyetleri, verilerin ne amaçla işlendiği, verilerin muhafaza edilme süresi ve sair hususların detaylandırıldığı Kişisel Veri İşleme Envanterini hazırlamakla yükümlüdür. Böylelikle, veri sorumlularının işledikleri kişisel verilerin ne amaçla işlendiği ve kimlerle paylaşıldığı gibi hususlar şeffaflıkla kamuoyu ile paylaşılmış olur.
VERBİS’e Kayıt Yükümlülüğü Bulunanlar
KVKK’nın 16. maddesi hükmüne göre, kimlerin VERBİS’e kayıt zorunluluğu bulunduğunun belirlenmesi işi Kişisel Verileri Koruma Kurumu’na bırakmıştır. Kurum da buna istinaden 2018/87 sayılı kararı yayınlamıştır. Bu karara göre,
“…istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına oybirliği ile karar verilmiştir.”
Bu karara göre;
a-) 50’den fazla çalışanı olanlar,
b-) Yıllık mali bilanço toplamı 25 milyon TL’den fazla olanlar, (2025 için 100 milyon TL)
c-) Ana faaliyet konusu özel nitelikli kişisel veri işleme olanlar,
Bu üç şartın en az birini karşılayan veri sorumluları VERBİS’e kayıt yaptırmakla yükümlüdürler.
Özel Nitelikli Kişisel Veriler
Yukarıda değinildiği üzere, ana faaliyet konusu özel nitelikli kişisel veri işlemek olanların yıllık mali bilançoya ya da çalışan sayısına bakılmaksızın VERBİS’e kayıt zorunluluğu bulunmaktadır. Peki, özel nitelikli kişisel veriler nelerdir?
KVKK’nın 6. maddesinde özel nitelikli veriler sayılmıştır:
“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”
VERBİS özelinde konuyu değerlendirirsek; bu tür verileri işleyen veri sorumluları, yıllık mali bilançosuna ya da çalışan sayısına bakılmaksızın VERBİS’e kayıt yaptırmakla yükümlü tutulmuştur.
Bu türden veri sorumlularına örnek olarak hastane, eczane, vakıf, dernek, laboratuvar vb. gösterilebilir. Yukarıda bahsedildiği gibi, özel nitelikli kişisel veri işleyen veri sorumluları için çalışan sayısı ya da bilanço büyüklüğüne bakılmadan VERBİS’e kaydolmaları öngörülmüştür.
VERBİS Yükümlülüklerine Aykırı Davranmanın Yaptırımları
KVKK 18. maddede “Kabahatler” başlığı altında veri sorumlularının VERBİS yükümlülüklerine aykırı hareket etmesi halinde karşı karşıya kalacağı yaptırımlar düzenlenmiştir:
MADDE 18- (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, (2025 yılı için 68.083 Türk lirasından 1.362.021 Türk lirasına kadar)
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, (2025 yılı için 204.285 Türk lirasından 13.620.402 Türk lirasına kadar)
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, (2025 yılı için 340. 476 Türk lirasından 13.620.402 Türk lirasına kadar)
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, (2025 yılı için 272.380 Türk lirasından 13.620.402 Türk lirasına kadar)
d) (Ek:2/3/2024-7499/35 md.) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar, (2025 yılı için 71.965 Türk lirasından 1.439.300 Türk lirasına kadar)
idari para cezası verilir.
Görüldüğü üzere VERBİS yükümlülüklerine uymamanın maliyeti oldukça yüksek miktarlarda cezalar ile muhatap olmaktır. Bu nedenle veri sorumlularına, VERBİS kayıt işlemlerini ve diğer yükümlülüklerini zamanında ve eksiksiz olarak yerine getirmeleri konusunda hassasiyet göstermelerini tavsiye ederiz.
