KİŞİSEL
VERİ
KORUMA
HİZMETLERİ
UYUM süreci işletmelerde ortalama 60 ile 70 gün arasında tamamlanır.
Bu sürecin sonunda Veri sorumlusunun aşağıdaki Veri Sorumluları Sicili Bilgi Sistemine (VERBİS) Kayıt için kriterleri incelenir. Verbis zorunluluğu var ise derhal bildirim yapılır.
UYUM SÜRECİ tamamlanmadan Verbis bildirimi yapmak doğru bir yaklaşım değildir.
VERBİSE BİLDİRİM KRİTERLERİ
1- Bir önceki takvim yılında çalışan sayısı 50 işçi ve daha fazla olan veri sorumluları,
2- Bir önceki takvim yılı (2023 ) mali bilanço toplamı 100 Milyon TL veya daha fazla olan gerçek ve tüzel kişi veri sorumluları,
3- Ana faaliyet konusu özel nitelikli kişisel veri işleme olan ( Her türlü sağlık işi ile iştigal eden doktorlar, muayene işletenler, Psikolog, diş hekimi, optisyenler, rehabilitasyon merkezleri, işitme ve protez merkezleri, eczaneler, hastaneler, poliklinikler, laboratuvarlar, sadece biyometrik fotoğraf çeken stüdyolar, estetik ve sağlık hizmeti veren güzellik salonları gibi sağlık verileri işleyen) gerçek ve tüzel veri sorumluları,
4- Web sayfası (E- ticaret ) veri sorumluları,
5- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları,
6- Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumluları,
Uyum Süreci sonunda Verbise kayıt yükümlülüğünü yerine getirmeleri zorunludur.
Buna göre Verbis bildirimine aykırı hareket etmek (Bildirim yapmamak, eksik yapmak veya mevcut bildirimin sürekliliğini sağlamamak) durumunda idari para cezası verilmektedir.
İDARİ PARA CEZASI
Ceza maddesi :18/ç-16
Suç : Veri Sorumluları siciline kayıt ve bildirim yükümlüğününe aykırı hareket edilmesi
Ceza Tutarı (2024) : 189.245,00 TL ile 9.463.213,00 TL arasında İdari para cezası verilmektedir.
VERBİSE BİLDİRİM MUAFİYETİ
Kanunun 16 ncı maddesinde, “işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir” hükmü yer almaktadır.
Bu hüküm doğrultusunda Kurulca bazı veri sorumluları için Sicile kayıt yükümlülüğüne istisna getirilmiştir. Bu kapsamda alınmış olan 2018/32 sayılı Kurul Kararı 15.05.2018 tarihli Resmi Gazete’de; 2018/68, 2018/75 ve 2018/87 sayılı Kurul Kararları ise 18.08.2018 tarihli Resmi Gazete’de yayımlanmıştır.
Buna göre;
1) Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
2) 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren
3) 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden,
4) 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan
5) 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
6) 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler,
7) 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
8) 6325 sayılı kanun gereği arabuluk yapanlar,
9) 4458 sayılı Gümrük müşavirleri uyarınca faaliyet gösteren gümrük müşavirleri,
10) 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,
11) Yıllık çalışan sayısı 50’den az veri sorumluları,
12) Yıllık mali bilanço toplamı 46 milyon 250 bin TL’den az olan gerçek veya tüzel kişi veri sorumluları,
13) Ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar,
14) Kişisel Verileri Koruma Kurulu’nun 14/12/2023 Tarihli ve 2023/2135 Sayılı Kararı, (Karar) 12.01.2024 tarihli ve 32427 sayılı Resmî Gazete’de yayımlandı.Karar uyarınca, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca köy kamu tüzel kişiliklerinin Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğüne istisna getirilmesine karar verildi.
KVKK m. 16 uyarınca, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kaydolmak zorundadır. Ancak, Kişisel Verileri Koruma Kurulu tarafından belirlenecek objektif kriterler ile, bazı veri sorumluları için Sicile kayıt yükümlülüğüne istisna getirilebilir.
Köy kamu tüzel kişilikleri için getirilen istisna da bu kapsamdadır.
Bu kapsamdaki veri sorumluları kayıt yükümlüsü olmamakla birlikte VERBİS’e kayıt yaptırmaları mümkündür.
Bununla birlikte, Sicile kayıt yükümlülüğünden istisna olma durumunun Kanun hükümlerinden de istisna olmak anlamına gelmediği unutulmamalıdır.
Özetle; Veri İşleyen her veri sorumlusu verbis bildirimi yapmasa bile UYUM ÇALIŞMASI (yasaya uyumlu olması) ZORUNLUDUR.
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında yapılan Uyum Süreci ve devamında Verbis Bildirimi zaman içinde güncellenmesi mümkündür.
Dolayısıyla yeni kişilerede dair verilerin alınması aşamasında aydınlatma metinleri, açık rıza beyanları, gizlilik taahhütnameleri, Veri envanterinin güncellenmesi ve işlenen verilerin takibinin yapılması gerekmektedir.
Verbis Bildirimi (teknik / idari tedbirler) gereklerinin sürekliliğinin korunmasıda kanun gereği zorunludur.
KVKK bir defa Verbis Bildirimi yapılan ve kenara konulan bir iş ve işlem değildir.
Kişisel verilerin sürekli güncel olması, ilgili verilerin güvenliğinin sağlanması ve korunması, veri işleme amaçlarının sona ermesi durumunda her yıl iki defa (6 ayda bir) imha işlemlerinin yapılması zorunludur.
Buna göre Verbis Bildirimine aykırı hareket etmek (Bildirim yapmamak, eksik yapmak veya mevcut bildirimin sürekliliğini sağlamamak) durumunda idari para cezası verilmektedir.
İDARİ PARA CEZASI
Ceza Maddesi : 18/ç- 16
Suç : Veri Sorumluları siciline kayıt ve bildirim yükümlüğüne aykırı hareket edilmesi
Ceza Tutarı (2024) : 189.245,00 TL ile 9.463.213,00 TL arasında İdari para cezası verilmektedir.
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU
Kapsam
Madde 2-(1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Kanun kapsamı açık ve nettir. Verileri işlenen gerçek kişilerin, kişisel ve/veya özel nitelikli kişisel verilerini veri sorumlularının koruması ve güvenliğini sağlanması zorunludur.
Bu ve benzeri iş ve işlemler genel olarak UYUM SÜRECİ olarak tanımlanmıştır.
İşlenen verilerin amaçları ortadan kalktığında ise, her yıl 6 ayda bir imha işlemi yapmaları da kanunen zorunluluktur.
Uyum süreci işletmelerde şu şekilde ilerler:
1- Öncelikle Veri Sorumlu ile yapılan toplantıda Kvkk genel bilgilendirmesi yapılır ve süreç programı yapılır.
2- Kvkk Komitesi oluşturulur.
3-Komite ile birlikte işyerindeki departmanlar ve departmanlarda işlenen veriler ile işlenen verilerin amaçları belirlenir.
4-İşlenen verilerin sahiplerine aydınlatma metinleri düzenlenerek onaya sunulur, amaçlarına göre gerekiyorsa açık rıza beyanları alınır.
5. Kritik görevler verilerin ve verileri uhdesinde bulunduran kişilerle gizlilik sözleşmeleri düzenlenir.
6-Veri işleyenlere aydınlatma metinleri ve gizlilk sözleşmeleri onaya sunurlur ve imzalatılır.
7- İşlenen verilerin alıcı grupları belirlenir.
8- İşlenen verilerin saklama ve imha sürleri belirlenir.
9-İşlenen verilerin kim /kimlerden alınacağı belirlenir.
10-İşlenen verilerin yabancı ülkelere aktarılıp, aktarılmayacağı, aktarılıyorsa, hangi verilerin hangi amaçlarla aktarılacağı tespit edilir. Aktarılan verilere dair aydınlatma yapılarak, açık rıza beyanları alınır.
Aktarılacak verilerin güvenli ülkeler olup olmamasına göre gizlilik ve taahhütnameler düzenlenir ve Kvk kurumunda onay alınır.
11-Veri sorumlusunun, işletme ortamındaki, kişisel verilerin koruma kurumu tarafından istenilen veri güvenliği (teknik ve idari) tedbirleri uygun ve yeterli duruma getirilir.
12-İşletmenin web sayfası var ise; ilgili sitenin kvkk presüdürleri uygun hale getirilir.
13- Kvk komitesine yapılan toplantılarda eğitim verilir.
14-Tüm çalışanlara Kvk farkındalık eğitimi verilir ve bu eğitimler her yıl tekrarlanır. Ayrıca her işe giren çalışana Kvk farkındalık eğitimi verilir.
15-Toplanan bilgi ve belgeler doğrultusunda Veri envanteri hazırlanır.
16-Veri sorumlusunun Verbis bildirim yükümlüğü var ise; verbis bildirimi yapılır. Yok ise, Uyum süreci dokümanları veri sorumlusuna teslim edilir ve sürekliliği sağlaması yönünde gerekli eğitim ve bilgilendirmeler yapılırak program sonlandırılır.
17-Bu aşamadan sonra Veri sorumlunun sürekliliğin sağlanmasına dair (Veri takibi, veri sürekliliği ve imha işlemleri, kvkk eğitimleri, ticari faaliyet kapsamında yeni verileri alınan kişilerin aydınlatma metinleri ve açık rıza beyanları) iş ve işlemler yapılarak Verbis bildirimi / Uyum çalışması gerekliliklerinin devamı yönünde takipler yapılır.
İşletmenizde BGYS kurulumu, iç ve dış denetim ile raporlama hizmetleri ile Başdenetçilerimiz ve iç tetkiçilerimiz ile hizmet vermekteyiz..
İşletmenizde KVGYS Başdenetçilerimiz ile daha önceden vermiş olduğunuz Verbis Bildirimlerinizin raporlarını düzenliyor ve cezai durum oluşmasını önlüyoruz...
İşletmenizde KVGYS kurulumu, iç ve dış denetim ile raporlama hizmetleri ile Başdenetçilerimiz ve iç tetkiçilerimiz ile hizmet vermekteyiz...
Konularında uzman başdenetçi ve denetçilerimiz ile veri güvenliği (Siber güvenlik, ağ güvenliği, web güvenliği, fiziki güvenlik, e-posta güvenliği, parola güvenliği, kriptolama, zararlı yazılımlar) konularında kurumsal ve bireysel eğitimler ile hizmet vermekteyiz...
Değerli Veri Sorumlusu;
sizde ELVER BİLİŞİM'in deneyim ve uzman ekibi ile Kişisel Verilerinizi güvende tutmak istiyor ve Kişisel Verilerin Korunması Kanunu kapsamında Uyum Süreci, Verbis Bildirimi ve Süreklilik işlemleri için, Kişisel Verileri Koruma Uzmanlarımız ile iletişime geçebilirsiniz...
+90 555 886 94 60 - info@elverbilisim.com