VERBİS’in Sorunları

Av. Hasan Selçuk Turan

Kişisel Verileri Koruma Kanunu uyarınca yükümlü olan veri sorumlularının kayıt olması gereken VERBİS Veri Sorumluları Sicili görücüye çıktı. Geçen hafta yapılan sunumda VERBİS'in nasıl çalıştığı anlatıldı. VERBİS'te hem hukuksal, hem mantıksal hem de teknik açıdan bir çok yanlışlıkları ve eksiklikleri var. Diğer yazılarda VERBİS'in nasıl çalıştığı adım adım anlatıldı. Kısaca özetlemek gerekirse veri sorumlusu VERBİS'e kayıt olduktan sonra bir irtibat kişisi atıyor ve o kişi de veri sorumlusuyla ilgili sicilde görünecek bilgileri giriyor ve değişiklikleri yapıyor.

Hukuki Sorunlar

1. Yine bir irtibat kişisi sorunu
Kanun'da bulunmayan ve yönetmelikler getirilen irtibat kişisi uygulamasının yanlışlıkları ve tutarsızlıkları ile ilgili daha önce Yönetmelikteki İrtibat Kişisi Sorunu ve İrtibat Kişisi Muamması başlıklı iki yazı paylaşıldı. Maalesef ki yönetmelikteki irtibat kişisi sorunu VERBİS'e de taşınmış. İrtibat kişisinin ne sıfatı ve ne yetkileri olduğu sorularının cevabı aranmaya devam ediyor.

Yönetmeliğin hiç bir maddesinde sicil bilgilerinin irtibat kişisi tarafından girileceğinden bahsedilmiyor. Hatta irtibat kişisi için belirlenen tek yükümlülük (Madde 11/4) ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlamak. Ancak VERBİS'te veri sorumlusunun sicilde yer alacak bilgileri irtibat kişisi giriyor.

Veri sorumlusunun bir kullanıcı kodu ve şifresi var iken bilgilerin irtibat kişisi tarafından girilmesi anlamsız bir işleyiş olmuş. Yönetmelikte yazılandan anlaşılan irtibat kişisi bilgisi veri sorumlusu tarafından bildirilen bir bilgi (isim) iken VERBİS uygulamasında irtibat kişisi bilgileri giren kişi haline gelmiş. Belki de bu sebeple irtibat kişisine bir taahhütnameyi onaylaması isteniyor.

Taahhütname
6698 sayılı Kanunun 16ncı maddesi gereği veri sorumlusunun vermiş olduğu yetkiye istinaden Veri Sorumluları Sicili'ne kayıt yükümlülüğünü yerine getirmek amacıyla bu bildirim irtibat kişisi olarak tarafımca yapılmaktadır.

Veri Sorumluları Sicili'ne bildirmiş olduğum bu bilgilerin eksiksiz, doğru ve güncel olduğunu, aksi durumda veri sorumlusu ile birlikte müştereken sorumlu olduğumu kabul ve taahhüt ediyorum.

Taahhütname ile irtibat kişisinin veri sorumlusu ile birlikte müştereken sorumlu olmayı kabul etmesi isteniyor. Bu sorumluluk kime karşı ve neye dayanarak düzenleniyor? Ayrıca irtibat kişisinin bu bilgileri girme yetkisinin hukuki dayanağı nedir?

Veri Sorumluları Sicili Hakkındaki Yönetmelik'in 11'nci maddesinin 1'nci fıkrası

(1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz.

denilmektedir.

Buna göre veri sorumlusunun Kanun kapsamındaki yükümlülükleri arasında olan Sicile kayıt yükümlülüğü iki şekilde yerine getirilebilir ve bu durumda dahi sorumluluktan kurtulamıyor:
1) İlgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler tarafından
2) Tüzel kişiliği temsile yetkili organ tarafından görevlendirilen bir veya birden fazla kişi tarafından

Bu sayılanlar arasında irtibat kişisi yok. Elbette irtibat kişisi olarak görevlendirilen kişi ile yetkili organ tarafından görevlendirilen kişi aynı kişi olabilir ama olması da gerekmiyor. Aynı kişi olmadıkları durumda irtibat kişisi görevlendirilmemiş ise bu bilgileri hangi yetkiye dayanarak girebilecek? Ve ne tür bir hukuki sorumluluğu olacak ve kime karşı sorumlu olacak ve hangi hukuki gerekçeyle?

Hukuki sorumluluk açısından irtibat kişisi veri sorumlusunun bir çalışanı ise işverenin kusursuz sorumluluğu gerekçesiyle işverenine yani veri sorumlusuna gidilir. Veri sorumlusunun çalışanı değil ise bu durumda irtibat kişisi ile veri sorumlusu arasında hukuki sorumluluk açısından bir bağın olması gerekir. Bu bağ veri sorumlusunun irtibat kişisini kendisinin belirlemesi sebebiyle kurulabilir. Bu durumda da veri sorumlusuna gidilebilir.

Ancak bu da irtibat kişisinin veri sorumlusuna karşı hukuki sorumluluğunun bir sözleşme ile düzenlenmesini gerektirir. Bu sözleşmeyi düzenlemeyen veri sorumluları uğradıkları zararı irtibat kişisine rücu ederken sorun yaşarlar.

Özetlemek gerekirse irtibat kişisi sorunu büyüyerek devam etmektedir.

2. Veri Kategorilerinden İşlenmeyenleri Beyan Etmek

VERBİS'te her bir veri kategorisi için bildirimde bulunma zorunluluğu var. Aşağıdaki bilgilerden hiç birinin barındırılmadığını taahhüt ederim ve ile ilgili bilgiler barındırılmaktadır seçeneklerinden biri seçilmek zorunda.

Yönetmeliğin 9'uncu maddesinde sicile yapılan kayıt başvurusunda yer alması gereken bilgiler sıralanmıştır. Bu bilgilerin içinde işlenmeyen kişisel verilerin bildirilmesi yoktur. Kaldı ki Kanun da zaten işlenmeyen bilgilerin bildirilmesini öngörmemiştir. İşlenmeyen kişisel veri kategorilerin bildirilmesinin bir kolaylık sağladığı düşünülse bile veri sorumlusunu Kanun'da ve Yönetmelik'te olmayan bir bildirime zorlamak hukuka aykırıdır.

Veri sorumlusunun eksik bildirimde bulunmasının sonuçlarına katlanması Kanun gereği iken bildirim zorunluluğu olmayan bilgilerin sonuçlarına katlanması beklenemez. Zaten veri sorumluları Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur.

Bu uygulamanın bir başka sıkıntısı da bir veri türünün birden fazla veri kategorisinde yer alabilmesi ihtimalidir. Örneğin kimlik bilgileri diye bir veri kategorisi var. Ayrıca özlük diye bir başka veri kategorisi var. İş Kanunu çalışana ait kimlik bilgilerinin özlük dosyasında saklanmasını düzenlemektedir. Kimlik bilgileri özlük veri kategorisinde mi olmalı yoksa ayrıca mı bildirilmeli? Eğer veri sorumlusu sadece çalışanların kişisel verilerini saklıyorsa kimlik veri kategorisini barındırmadığını bildirirse ne olacak?

Her veri kategorisi için bir seçim yapılmasına son verilmelidir. Veri sorumlusunun işlediği veri kategorileri ile ilgili beyanıyla yetinilmeli ayrıca işlemediklerine ilişkin beyan alınmamalıdır.

3. Yanlış Terim: Barındırmak
Kanun kişisel verilerin işlenmesini tanımlarken kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi şeklinde saydıktan sonra gibi eklemiş ve her türlü işlem demiştir. VERBİS'te ise kanunun tanımını yaptığı kişisel veri işleme tanımı yerine barındırma kullanılmaktadır. Barındırmak yani hosting bilgi işlemcilerin sevdiği güzel bir terimdir ama kişisel veri işleme kapsamındaki eylemlerden sadece biridir. Kanundaki karşılığı kaydetmek, muhafaza etmek veya depolamak olabilir.

VERBİS bir şirketin para kazanmak için hazırladığı bir yazılım değildir. Kaldı ki VERBİS'in her aşaması yönetmelikle düzenlenmişken barındırma gibi kısıtlı bir anlamı olan terimin kullanılması vahim bir hatadır. Bir örnek vermek gerekirse kaydedilmeden veya saklanmadan (güvenlik kamerasının kaydetmeden çekim yapması) bir başka veri sorumlusuna aktarılan kişisel veriler barındırılmadığına göre sicile bildirilmeyecek mi?

Barındırılma yerine kişisel verilerin işlenmesi terimi kullanılmalıdır.

Mantıksal Hatalar

1. Kurgu Hatası
VERBİS veri kategorisini temel alan bir yapıda kurgulanmış. Yani ilk önce hangi veri kategorilerinde bilgi sakladığınızı bildiriyorsunuz. Ondan sonra bu bilgi kategorilerini kullanmadaki amaçlarınızı, ilgili kişi gruplarını, süreleri ve yabancı ülkelere aktarılmasını giriyorsunuz. Ayrıca güvenlik tedbirleri ile alıcı grupları da veri kategorilerinden bağımsız.

Kanun'un metninden ve ruhundan bu yapının anlaşılması maalesef yanlış bir yorumdur.

Konunun daha iyi anlaşılabilmesi için Kanun'da sicile bildirilmesi gereken bilgilerin incelenmesi gerekir.

Mevzuat

Madde 16
(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
b) Kişisel verilerin hangi amaçla işleneceği.
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Veri Sorumluları Sicili Hakkında Yönetmelik'teki düzenleme ise şöyledir:

MADDE 9
(1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:
a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.

(a) ve (e) bentlerinin Kanun'daki ilgili bendin açıklanması olarak değerlendirilirse, Kanunla yönetmelik arasındaki fark sadece (f) bendindedir.

Olması Gereken Yapı

Kanun'u yorumlarken, ki zaten yönetmelik de yorumlanmasına yardımcı olmak üzere çıkartılmıştır, amacına uygun olarak metne bağlı kalınmalıdır.

VERBİS'in mevcut yapısına göre, alıcı veya alıcı grupları ile güvenlik tedbirlerinin ne amaçla ne de veri kategorileri ile ilgisi yoktur. Bu sonuca ulaşılmasının sebebi de (e) ve (ç) bentlerinde ilişkinin ifade edilmemesidir. O zaman VERBİS'i tasarlayanlara sorulması gereken soru şu: Veri kategorisini neden amaçla ilişkilendiriyorsunuz? (c) bendinde de amaçla ilgili hiç bir ifade yok.

Kanunun metninden ve ruhundan varılması gereken yapı aşağıdaki gibi olmalıydı:

Neden böyle olması gerektiğini açıklamak gerekirse bir gerçek kişinin kişisel verilerini veri sorumlusuna aktarırken aydınlatma metninde olması gerekenler şunlardır:

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.

(Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ, Madde 4)

Tebliğde bulunan bir başka düzenleme de

Madde 5
c) Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.
ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.

Yönetmeliğe göre aydınlatma metni VERBİS'teki bilgilere göre hazırlanacaktır ve farklı birimler için de ayrıca hazırlanacaktır. VERBİS'in mevcut yapısına göre aydınlatma metni düzenlendiğinde çalışanlar için hazırlanacak aydınlatma metni ile firmayı ziyarete gelenler için hazırlanacak aydınlatma metninin alıcılar kısmı aynı olacaktır. Çünkü yapı ilgili kişi grubu ile alıcı ve alıcı gruplarını ilişkilendirmiyor. Türkiye'de bir holdingin grup şirketlerindeki çalışan bilgilerini bir merkezde toplaması sıradan bir durumdur. Bu durum VERBİS'te belirlenen alıcı grupları arasında da yer almaktadır. Çalışanlar için hazırlanacak aydınlatma metninde grup şirketine çalışanların kişisel verilerinin aktarılacağı bilgisi yer alacaktır. İlgili kişi grubu ve amaçtan bağımsız bir alıcı grubu tanımı yapıldığına göre ziyaretçiler için hazırlanacak aydınlatma metninde de alıcı grubu olarak grup şirketleri yer alacaktır. Oysa ki ziyaretçi bilgileri aktarılmıyor da olabilir. Ya da tersi düşünüldüğünde ziyaretçi bilgilerinin bir güvenlik şirketine aktarılması durumunda çalışan aydınlatma metninde de aktarılanlar arasında güvenlik şirketi yer alacaktır.

Aydınlatma metinlerinde ilgili kişinin kendisi ile alakasız bilgileri görmesinin ne veri sorumlusuna ne de ilgili kişiye faydası vardır. Aksine ilgili kişinin, kişisel verileriyle alakasız bilgilerin metinde bulunması kafasını karıştırır ve veri sorumlusuna olan güvenin sarsılmasına ve gereken bir açık rıza varsa verilmesine bile engel olur.

Veri sorumlusu açısından iş sürecinin tasarlanmasndaki akışa bakıldığında ise hukuka uygun çalışmak isteyen veri sorumlusu öncelikle veri kategorisini değil amacını belirler. Amaç belirlendikten sonra kimlerin bilgisinin işleneceğini ve veri kategorilerini belirlenir. Sonra kimlere hangi amaçla aktarması gerektiğini ve alınması gereken güvenlik tedbirlerini belirler.

Kısacası kişisel verilerin işlendiği iş süreçlerinde süreç amaç ile başlar. Zaten kişisel veri işleme envanteri de amaç ile başlamaktadır.

VERBİS'in mevcut yapısı hayatın olağan akışına aykırı olduğu gibi mevzuata da aykırıdır. Bu yapının değiştirilmesi gerekmektedir.

2. Azami Süre Sorunu
Yönetmelite yer alan "mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi (Mad. 9/1f)" ifadesinin Kanun'dan farkı "mevzuatta öngörülen" ifadesinin eklenmesidir. Yönetmelik aynı maddenin 4'üncü fıkrasında azami sürenin nasıl bulunacağını da açıklamaktadır.

(...)
(4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. (...)

Bu düzenlemeden anlaşılan her veri kategorisi için bir tane azami süre olacaktır. Yani veri kategorisi farklı amaçlar için de işleniyor olsa Sicile bildirilecek süre bir tanedir. Zaten VERBİS de her veri kategorisi için bir tane süre kabul etmektedir.

Oysa bu uygulama ne pratikle ne de Kanun'la uyumlu değildir. Kanun "amaç için gerekli süre" diyerek azami sürenin her amaç için farklı olabileceğini öngörmektedir. Pratikte de budur. Örneğin çalışan ve çalışan adayı için kimlik bilgileri tutulmaktadır. Mevcut VERBİS yapısına göre 10 yıl saklanması gereken çalışanın kimlik bilgileri ile 6 ay sonra silinmesi gerekebilecek çalışan adayının kimlik bilgileri için aynı süre geçerli görünecektir. Her ne kadar bir sonraki fıkrada kişisel veri saklama ve imha politikasında farklı sürelerin bulunabileceği anlaşılsa da Sicilin varlık sebebiyle çelişen bir durum ortaya çıkmaktadır. Sicile bakan bir kişi kişisel veriler için olması gerekenin çok üstünde bir süre saklanacağını düşünecektir. Aydınlatma metinlerinde saklanacak azami sürenin olmaması sebebiyle de ilgili kişi kişisel verilerinin ne kadar süre ile saklanacağını bilemeyecektir. Bu durum da onun hak arama hakkını kullanmasını engelleyecek bir durumdur.

Bir başka sıkıntılı örnek de 5651 sayılı Internet Kanunu'na göre trafik bilgilerinin saklanma süresidir. İlgili mevzuat şöyledir:

5651 sayılı Internet Kanunu
Madde 5
(3) Yer sağlayıcı, yer sağladığı hizmetlere ilişkin trafik bilgilerini bir yıldan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlüdür.

Yönetmelik
Madde 7
(1) (...)
c) c) Yer sağlayıcı trafik bilgisini altı ay saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle,
yükümlüdür.

Yönetmelikte öngörülen süre Kanun'da öngörülen aralığın dışında da olsa yönetmelik uygulanacağından web sitesine yer sağlayanlar için trafik kayıtlarının azami saklanma süresi altı aydır. Müşterilerinin hangi sayfaları ziyaret ettiğini saklayan bir şirketin trafik verilerini 6 ay sonra silmesi gerekecektir. Web sitesini ziyaret eden ziyaretçi ile ziyaretçilik dışında bir ilişkisi bulunan veri sorumlusunun kişisel verilerini saklama süresinin açık rıza alınması şartıyla 6 aydan fazla olabilmesi gerekir. Veri sorumlusu açık rıza şartını yerine getirse bile VERBİS'e bunu bildiremeyecektir. İlgili kişi de ne aydınlatma yükümlülüğünden ne de VERBİS'ten gerçek süreyi öğrenmesi mümkün olamayacaktır.

Bu sorunun çözümü ancak azami süre bildiriminin amaçla ve ilgili kişi grubu ile ilişkilendirilmesi ve bu ilişkiye özel süre bildirilmesi ile gerçekleştirilebilir.

3. Bu Yapı İle Aydınlatma Metni Hazırlanamaz

Tebliğdeki düzenlemeye göre aydınlatma metninde kişisel verilerin kimlere ve hangi amaçla aktarılabileceği bilgisi de yer almalıdır. VERBİS'in mevcut yapısında ilgili kişi grubu ile ilişkisiz bir alıcı grubu tanımlaması vardır ama aktarılma amacı yoktur. Aktarılma amacı dışında aydınlatma yükümlülüğünün yerine getirilmesinde hem VERBİS'in mevcut yapısı hem de Kişisel Veri İşleme Envanteri yetersizdir.

Aşağıdaki şekilde mevzuatta tanımları yapılan yapıların kullanılması durumunda aydınlatma metninde eksik kalan alanları gösterilmektedir. Bunlar: Yöntem, hukuki sebep ve aktarılma amacıdır.

Bu yapı bozukluğunun kaynağı kişisel veri işleme envanteridir. Bu bozukluk VERBİS'te azaltılmamış artarak devam etmiştir. Tebliğde yer alan "Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır" yükümlülüğünün mevcut yapıyla yerine getirilmesi mümkün değildir.

Teknik Hatalar

Teknik Açıdan Değerlendirme
Bir yazılımcı gözüyle bakıldığında, VERBİS sisteminin 15-20 arasında bir tablodan oluşan veritabanı var. Tabloların alanları sınırlı sayıda alanlan oluşmakta, alanlar için kısıtlar son derece az. Yazılımın ana işlevi de alanların içeriklerinden ziyade tablolar arasındaki ilişkiyi düzenlemek. Kısacası hem veri tabanı hem de yazılım olarak basit bir sistemdir. Bir sistemin kendisinden beklenen işlevleri yerine getirebilmesi için karmaşık ve büyük olması gerekmediğini unutmamak gerekir. Kuralların önceden belli olması durumunda bu sistemin kurulması uzman bir kişi için 2-3 haftalık bir iştir. Asıl uzun süren kısım başlıkların belirlenmesine harcanmıştır.

Basit Hatalar
Veri kategorileri ile ilişkilendirme sayfaları birbirlerine benzediğinden yazılımcı sayfaları kopyala/yapıştır ile oluşturmuş ama sonrasında ilgili bölümü değiştirmemiş.

Bir başka hata da bildirimi göndermek istiyor musunuz sorusuna hayır dediğinizde sürekli aynı sorunun gelmesiydi.

Bunlar basit hatalar ve kolayca düzeltilebilir. Ancak bu kadar geniş katılımlı bir sunumda olmaması gereken basitlikte hatalardır.

Geçmişin Görüntülenmesi
VERBİS kamuya açık bir Sicil sistemidir. Sunumda da bunun nasıl yapıldığı gösterilmiş. Ancak orada bir tarih göremedik. Yani sistemin bir veri sorumlusunun istenen bir tarihte geçerli olan bildirimini gösterebilmesi gerekir. Sunumda sadece bir tane girildiği için olabilir ancak sözle de bir ifadede bulunulmadı.

Sicilin Silinmesi
İsteyen veri sorumlusu kendisini Sicilden sildirebilmektedir. Silme işlemi veri sorumlusunun pasif yapılması suretiyle gerçekleştiriliyor olsa da silinmenin otomatik değil talep şeklinde olması ve gerekçenin bildirilmesi gerekir. Gerekçesiz silme ancak isteğe bağlı kayıtlar için geçerli olabilecek bir yöntemken VERBİS'e kayıt bir yükümlülüktür. Bu durumda yükümlülüğün düştüğünün bildirilmesi ve bunun gerekçesinin de belirtilmesi gerekir. Silinme ancak Kurum'un onayı ile mümkün olmalıdır.

Kullanıcı Şifresinin E-posta İle Gönderilmesi
Veri sorumlusunun kayıt için başvurusu kabul edildiğinde, kullanıcı kodu ve şifresi e-posta ile gönderilmektedir. Şifrelerin e-posta ile gönderilmesi güvenlik açısından sıkıntılı olduğundan önerilmeyen bir bilgilendirme yöntemidir. Bu yöntemi uygulayan kurumların şifreleri açık şekilde sakladığına ilişkin bir intiba oluşur. İrtibat kişisini e-devlet üzerinden giriş yapmaya zorlayan sistemin irtibat kişisini belirleyen veri sorumlusunun şifresine de daha fazla özen göstermesi beklenir.

İrtibat Kişisinin KEP Adresi
Yönetmelik irtibat kişisine ait KEP adresinin kayıt sırasında bildirileceğini söylese de VERBİS'te bu bilgi girişi için alan yoktur.

Sonuç

Bu yazıda hizmete girdiğinde yüzbinlerce veri sorumlusunu ilgilendirecek olan VERBİS'i incelemeye çalışıldı. Elbette bizim gözden kaçırdığımız hatalar ya da bizim eleştirilerimizde de hatalar olabilir. Tüm amaç mükemmel bir VERBİS'in hizmet vermesi ve herkesin maksimum seviyede memnun olmasıdır.

Diğer Yazılar

Güvenlik

KVKK Yeterli Güvenlik Tedbirlerinde Sınır

Kanuna göre veri sorumlusu kişisel verilerin güvenliği için yeterli güvenlik tedbirlerini almakla yükümlüdür. Yeterli olmasında sınır nedir?

Bir Kurul Kararı Daha

İlgili kişinin KEP adresine yaptığı başvurusuna zamanında cevap vermeyen veri sorumlusunun cevap vermesi ve vermemesi durumunda idari para cezası uygulanacağına ilişkin Kurul kararı

İstisnalar

Kurul’un Sicile kayıttan istisna tutulanları belirlediği kararının incelenmesi. Veri sorumlularının doğrudan belirlenmesi mevzuata aykırıdır.

KVKK – GDPR Karşılaştırması

23 mayısta İstanbul Barosu’ndaki etkinlikte yapılan KVKK-GDPR karşılaştırması sunumu. (Sürenin kısalığı sebebiyle en önemli maddelerin karşılaştırılması)

VERBİS Nasıl Çalışıyor?

Kişisel Verilerin Korunması Kanunu’nda öngörülen Veri Sorumluları Sicili VERBİS’in nasıl çalıştığına dair Kurumca yapılan sunumdaki bilgiler

7 Nisan’ın Önemi

7 Nisan 2016 öncesinde işlenen kişisel verilerin Kanun’a uygun hale getirilmesini düzenleyen Kanun’un geçici birinci maddesi ile ilgili açıklamalar

Bildiğimiz Ders: Kişisel Verilerini Kullanarak Kişileri Yönetmek

Facebook kullanıcıları ile kişisel verilerin seçimlerde seçmenlerin kararını manipüle etmek amacıyla kullanılması ilgili bir yazı

İrtibat Kişisi Muamması

Veri Sorumluları Sicili Hakkındaki Yönetmelik’te yer alan İrtibat Kişisi konusundaki düzenlemelerdeki çelişkiler ve hatalar

Kişisel Verileri Koruma Görevlisi (KVKG)

Veri sorumlularında yapılması gereken ve sürdürülmesi gereken görevler için görevlendirilecek kişisel verileri koruma görevlisi