Kayıt süresinin uzatılmasının, bu süre zarfında, Kişisel Verilerin Korunması Kanunu’na (KVKK) aykırı veri işlemeye devam edilebileceği anlamına gelmediğinin altını çizmek gerek. Ayrıca, VERBİS, KVKK kapsamında veri sorumluları tarafından yerine getirilmesi gereken tek yükümlülük değil. Aykırı hareket edenler hakkında idari para cezasına hükmedilecek yükümlülüklerden sadece bir tanesi.
****
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının, Veri Sorumluları Siciline (VERBİS) kayıt olmaları için verilen sürenin dolmasına sayılı günler kala süre 31 Aralık 2019 tarihine kadar uzatıldı. Olumlu tarafından bakarsak 12 aya sığdıramadığımız VERBİS kayıt işlemleri için verilen bu 3 aylık süre birçok şirket için bir nimet.
Kanuna uyumluluk noktasında herhangi bir girişimde bulunmamış veri sorumluları açısından hukuka aykırılık devam etmekte ise de bu süreyi doğru ve efektif kullanmaları bilincine sahip olmaları önemli.
VERBİS nedir?
VERBİS, Kurulca istisna getirilmiş olanlar hariç, veri sorumlularının, veri işlemeye başlamadan önce kaydolmaları gereken kayıt sistemi. Kamuya açık olarak tutulan VERBİS’in amacı, kişisel verisi işlenen gerçek kişilere karşı veri sorumlularının hesap verebilirliğini ve şeffaflığını sağlamak. VERBİS’e girilen bilgilerin görülebilir olması kişisel verisi işlenen kişilerin kendi kişisel verilerini kontrol etmelerine imkân vermekte.
VERBİS’in veri sorumlularınca gerçekleştirilen uyum sürecinin kısmi bir fotoğrafı olduğunu söyleyebiliriz. Çünkü söz konusu kayıt sistemine giriş aslında veri sorumlularınca gerçekleştirilmesi gereken detaylı bir çalışmanın sonucu. Yani buz dağının görünen yüzü. Dolayısıyla VERBİS’e öyle ya da böyle gelişigüzel yapılacak kayıt kısa vadede idari para cezasından kurtarsa da uzun vadede büyük kayıplara ve cezalara sebebiyet vereceği kesin.
Neden mi?
Veri sorumlularının bu sisteme, kişisel verilerin hangi amaçla işleneceğini, veri konusu kişi gruplarıyla bu kişilere ait veri kategorileri hakkındaki açıklamaları, verilerin aktarılabileceği alıcıları, yabancı ülkelere aktarımı öngörülen verileri, verilerin hukuka aykırı işlenmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik tedbirleri, verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresini girmeleri zorunlu.
Yönetmelik hükümlerine göre sicil başvurularında açıklanacak bu bilgilerin kişisel veri işleme envanterine dayalı olarak hazırlanması gerekmekte. Yine yönetmelikle, veri sorumluları için belirtilen aydınlatma yükümlülüğünde, ilgili kişi başvurularının yanıtlanmasında ve ilgili kişilerin açık rızasının kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak sicilde yayınlanan bilgilerin esas alınacağı düzenlenmekte.
Kaydolan bilgi bumerang gibi geri dönebilir
Bu sebeple veri sorumlularının gerçeği yansıtan bir envanter hazırlamaları önem kazanmakta. Bunun için tüm süreçler kapsamındaki tüm faaliyetlerin irdelenmesi, her faaliyetle ilgili işlenen verilerin tek tek belirlenmesi, bu verilerin hangi amaçlar ve hukuki sebeple işlendiği, aktarılıp aktarılmadığı, kimlere aktarıldığı, belirlenen saklama süresi, yurt dışına aktarım yapılıp yapılmadığı, verilerin güvenliği için hangi teknik veya idari tedbirlerin alındığı bilgilerinin detaylı analizinin yapılması gerekmekte.
Sonuç olarak şirketlerin VERBİS’e kaydı sadece bilgi depolamaktan ibaret görmemeleri, bu 3 aylık süreyi doğru kullanarak kişisel veri işleme faaliyetleri kapsamında kendilerini tanımaları ve dolu dolu bir uyum süreci geçirerek süreçlerini Kanuna uyumlu hale getirmeleri, kaydı gerçekleşen her bir bilginin bumerang gibi geri dönüşü olabileceğini göz önünde bulundurarak hareket etmeleri gerektiğini hatırlatalım.
