Eczaneler, diş hekimleri, tıp merkezleri, psikologlar, özel muayenehaneler, yaşlı bakım evleri, laboratuvarlar ve diyetisyenler gibi ana faaliyeti özel nitelikli kişisel veri işleyen işletmelerin Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt süresi 31 Mart’ta doluyor. Bu tarihe kadar sisteme kayıt olmayan veri sorumluları 39 bin TL ile 1 milyon 966 bin TL arasında değişen idari para cezası ödemek durumunda kalacak.
31 Mart son
Çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının kayıt işlemleri geçtiğimiz yıl tamamlanmıştı. Şimdi ise yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları için 1 Ocak 2019 tarihinden başlayan VERBİS’e kayıt süreci, 31 Mart 2021 tarihinde sona erecek.
Sağlık verisi işleyenleri yakından ilgilendiriyor
DPC Kişisel Veri Koruma Danışmanlığı CEO’su Sefa Karcıoğlu konuyla ilgili detayları ve kayıt işlemleri için atılması gereken adımları şöyle sıraladı:
“VERBİS kaydı için büyük ölçekli şirketlerin ardından sıra özel nitelikli veri işleyen grupta. Söz konusu kayıt işlemi oldukça kapsamlı. Kayıt işlemi için, avukatına ve bilgi güvenliği uzmanına danışmadan, kayıt işlemini mali müşavirine yaptırmaya çalışanların kayıt işlemini yapamadıklarını, hukuki ve teknik konuda hatalı bildirimler yaparak, resmi bir kuruma gerçek dışı beyanda bulunduklarına şahit olduk. Kayıt işlemleri mali müşavirlerin işi değil. VERBİS’e yapılan bildirimlerde güncel ve gerçek olmak zorunluluğu unutulmamalı. VERBİS kaydı için şifre almak yeterli değil, yüzlerce soruya cevap verebilmek ve doğru kayıt yapabilmek için öncelikle kanunda sayılan idari ve teknik tedbirlerin alınması bir zorunluluk. Bu sebeple profesyonellerden destek almak veri sorumluları açısından çok önemli. İdari tedbirler üç beş evrak, teknik tedbirler de sadece anti-virüs ve güvenlik duvarından ibaret değil. İşletmeler, kişiler verilerin güvenliğini sağlamak için gerekli hallerde ek yazılım ve donanım satın alarak teknik tedbirleri almalı, idari tedbiri almak için maktu dokümanlara itibar etmemeli, kendi işleyişine özel olarak kurgu yaptırmalıdır.”
31 Mart’ta süresi dolan düzenlemenin özellikle kişilerin sağlık verilerini işleyen grubu yakından ilgilendirdiğini vurgulayan Karcıoğlu, “Söz konusu tarihe kadar kayıt yaptırmayan özel nitelikli kişisel verilerden sağlık verisi işleyen grup 39 bin 337 TL’den 1 milyon 966 bin TL’ye kadar idari para cezası ödemek durumunda kalacak. Kişisel Verilerin Korunması Kurulu teknik ve idari tedbirlerin alınmadığı gerekçesiyle 2018 yılından itibaren, onlarca eczacı ve hekime yüzbinlerce liralık idari para cezası uyguladı. Kurul’un cezalarından da anlaşıldığı üzere, teknik ve idari tedbirlerin birlikte alındıktan sonra VERBİS kaydı ve bildirim işlemleri tamamlanmalıdır. Kanunda yer alan diğer idari ve teknik tedbirlerin alınmaması halinde işletmelere ayrıca ceza uygulanacaktır” ifadelerini kullandı.