03.11.2020, 08:38

VERBİS bildirim süresi uzadı

Çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan şirketlerin VERBİS'e kayıt olma süresi 30.09.2020 tarihinde sona erdi. Kişisel Verileri Koruma Kurulu 01.10.2020 tarihli duyuru ile bu süreyi bir kez daha uzattı.

Kişisel Verileri Koruma Kurumu, VERBİS'e kayıt olmayan şirketlere, yazılı olarak vereceği süre içinde (tahminen 30 gün) VERBİS'e kaydolmasını isteyecek, kaydolmayanlara (2020 yılı için) 36.053.-TL ile 1.802,641.-TL arasında idari para cezası uygulayacağını bildirecek.

Anılan yazı gelmeden de, cezai yaptırımla karşılaşmadan, VERBİS'e kayıt yapılabilmektedir. Diğer taraftan, KVKK tarafından belirlenen süre sonrası bir tarihte, şartları (50'den çok çalışan veya bilanço toplamı 25 milyon) sağlayan  şirketler, 30 günlük sürede VERBİS bildirimi yapmalıdır.

VERBİS, şirketlerde işlenen kişilere ait verilerin, ne kadar süreyle saklandığı, hangi amaçlarla işlendiği, kimlere aktarıldığı, alınan idari ve teknik önlemler vb. bilgilerin KVKK'ya bildirimini gerçekleştiren, isteyenlerin bildirimi yapılan sicile web ortamında ulaştığı kayıt uygulamasıdır. 

VERBİS üç aşamada gerçekleşmektedir: 1. Şirket bilgilerinin bildirilmesi, 2. İrtibat kişisinin atanması ve 3. Sicil kaydının oluşturulması. Sadece şirket bilgileri veya irtibat kişisinin atanmasıyla VERBİS yükümlüğü yerine gelmemektedir. Asıl bu aşamalardan sonra hazırlanması günler süren, bildirimi 2-4 saat arası zaman alan sicil kaydı gerçekleşebilmektedir. 

VERBİS'te hal böyle olmakla birlikte, 6698 Kişisel Verileri Koruma Kanunda şirketlere öngörülen diğer yükümlülükler bulunmakta; VERBİS, kişisel verileri koruma alanındaki yükümlülüklerinin sonu değil, aksine bir başlangıcı olarak kabul edilmelidir. Şirketlerin yükümlülükleri sadece VERBİS'ten ibaret değil, VERBİS bu yükümlülüklerin yerine getirildiğine ilişkin, diğer taraflara bildirilen herkese açık bir platformdur. 

ŞİMDİ ŞİRKETLER NE YAPMALI?

6698 sayılı Kişisel Verileri Koruma Kanunu, kişisel verilerin korunmasına yönelik güvenliği sağlama yükümlülüğünü şirketlere vermektedir. Şirketler bu yükümlülüğü, Kişisel Verileri Koruma Kurumu (KVKK) tarafından belirlenen yönetmelik, karar, rehberler vb. alt düzenlemeleri uygulayacak bütüncül bir sistemi kurarak yerine getirebilir. Sistem, şirketlerin tedarik-üretim-müşteri ilişkilerinde, özellikle insan kaynakları, üretim, satış pazarlama, bilgi işlem departmanları başta olmak üzere bütün iş süreçleri üzerinde oluşturulmalı.

Şirketler, en başta “Kişisel Veri İşleme Envanteri” ile “KVKK Politikası”, “İmha Politikası" hazırlaması, anılan politika belgelerinde kişisel verileri koruyacak idari ve teknik önlemlere ilişkin prosedürler belirlenmeli. Kişisel veri işleme hallerine bağlı, her duruma özel aydınlatma yükümlülüğü yerine getirilmeli ve gereken hallerde uygun açık rıza beyanları alınmalı. Kişisel verilerin paylaşılmasını gerektiren sözleşmelere gizlilik ve korunmaya ilişkin hükümler eklenmeli. Her şeyden önce şirket çalışanlarında bu yönde farkındalığı arttırmak, bilinci oluşturmak, kültür haline getirmek için gerekli eğitimler verilmeli, denetimler yapılmalıdır. 

Şirketin kağıt ortamında tutulan arşiv, sistem ağı, web, e posta bilgi yönetim altyapıları güvenlik politikaları ile güçlendirilmelidir. Yetkisiz veri ulaşımını engelleyecek koruma mekanizmaları kurulmalı, veri sızıntısı gerçekleşmesi durumuna karşı, müdahale planı oluşturulmalıdır.

Şirketler bu sistemi özel bir çalışma (proje) yürüterek kurabilir. Proje dönemini yönetmek için, KVKK uyum çalışma grubu oluşturmalı, tüm bu işler bu grup tarafından yerine getirilmelidir. İkişer aylık dönemlerle altı ay sürecek proje: Dökümanların hazırlanması, belirlenen prosudürlerin denenmesi, eğitim ile denetleme olmak üzere üç aşamada gerçekleştirilmelidir. 

PROJE SONRASI UYGULAMA

Proje döneminde kurulan sistemin sonrasında nasıl işletileceği konusu, merak edilen sorular arasındadır. Sistemin işletilmesi;

1- Kurulan sistem proje dönemine ilişkin kişisel verileri esas aldığından, sonrasında kişisel verilerde meydana gelen değişiklikler üzerine, değişiklikler politika ve aydınlatma belgelerine yansıtarak versiyon yükseltilmeli. 

2- İlgili kişilere (çalışan, müşteri, tedarikçi vd.) aydınlatma yapılmalı ve gereken durumlarda açık rızaları alınmalı. 

3- İdari ve teknik alınan önlemler sürekli uygulanmalı ve denetimlerle geliştirilmelidir. Tüm bu işlemler "Çalışma Grubu"ndan dönüştürülen "Komite" tarafından yerine getirilmeli.

4- VERBİS'e bildirilmeli.

Uyarı:

Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvelik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) işleme olan veri sorumluları için VERBİS son tarihi 31.03.2021’dir.

Saygılarımla...

Yorumlar (0)