KVKK Haber

ITO tarafından VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) Konulu Web Seminer yapıldı

KİŞİSEL VERİLER VE VERBİS’E KAYIT ZORUNLULUĞU HAKKINDA SORU-CEVAP
6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel veri işleyen gerçek ve tüzel kişilerin
uyması gereken birçok kural getirilmiştir. Kişisel verileri, bu Kanun’a göre işleyen gerçek ve
tüzel kişiler “veri sorumlusu” olarak adlandırılmaktadır. Muayenehane, müessese, laboratuvar
gibi ayakta teşhis ve tedavi yapılan sağlık kuruluşu sahibi hekimler de veri sorumlusu kabul
edilmektedir.
Kanun kapsamında getirilen yükümlülükler kapsamlıdır. Bu yükümlülüklerden biri de
31.03.2021 tarihinden önce Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olma
zorunluluğudur. Kanun’da belirtilen yükümlülükleri yerine getirmemenin yaptırımları idari para
cezası olarak düzenlenmiştir.
Konuya dair bilgilendirme Hukuk Büromuzca soru-cevap şeklinde hazırlanmış olup aşağıda yer
almaktadır. Veri sorumlusu statüsündeki hekimlerin faydalanabilecekleri belgeler de metnin
içinde ve ekinde sunulmaktadır;
1- ‘KİŞİSEL VERİ’ NEDİR?
2- ‘ÖZEL NİTELİKLİ KİŞİSEL VERİ’ NE DEMEKTİR?
3- HANGİ İŞLEMLER 6698 SAYILI KANUN KAPSAMINDADIR?
4- ‘KİŞİSEL VERİLERİN İŞLENMESİ’ NE DEMEKTİR?
5- KİŞİSEL VERİLERİN İŞLENMESİ İZNE BAĞLI MIDIR?
6- ‘AÇIK RIZA’ ARANMAYAN İSTİNALAR NELERDİR?
7- ‘ÖZEL NİTELİKLİ KİŞİSEL VERİLER’ İÇİN DE AYNI KURALLAR GEÇERLİ MİDİR?
8- ‘KİŞİSEL VERİLERİN AKTARILMASI’ HANGİ KURALLARA BAĞLIDIR?
9- ‘VERİ SORUMLUSU’ KİMDİR?
10- VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ NELERDİR?
11- ‘AYDINLATMA YÜKÜMLÜLÜĞÜ’ NASIL YERİNE GETİRİLİR?
12- ‘AÇIK RIZA’ NEDİR? NE ZAMAN GEREKLİDİR?
13- AYDINLATMA VE RIZA İŞLEMLERİ YAZILI MI YAPILMALIDIR?
14- VERİLERİN KORUNMASI YÜKÜMLÜLÜĞÜNÜN KAPSAMI NEDİR?
15- VERİLERİ İŞLENEN İLGİLİLER HANGİ TALEPLERLE BAŞVURABİLİR?
16- TALEPLERİN YANITLANMASININ USULÜ NASILDIR?
17- VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ (VERBİS) NEDİR?
18- VERBİS’E KAYIT İÇİN SON TARİH NEDİR?
19- KAYIT OLMAMANIN YAPTIRIMI NEDİR?
20- VERBİS’E HASTA BİLGİLERİ KAYDEDİLECEK MİDİR?
21- ‘VERİ ENVANTERİ’ NELERİ İÇERMELİDİR?
22- UYUM İÇİN YAPILMASI GEREKEN/ÖNERİLEN DİĞER İŞLEMLER NELERDİR?

1- ‘KİŞİSEL VERİ’ NEDİR?
6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel veri, kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgidir:
• Ad, soyad, doğum tarihi, doğum yeri
• Ailevi, sosyal, ekonomik geçmiş
• TC kimlik no, telefon numarası,
• Özgeçmiş bilgileri,
• Fotoğraf, görüntü, ses kayıtları
• Parmaz izi vs.
2- ‘ÖZEL NİTELİKLİ KİŞİSEL VERİ’ NE DEMEKTİR?
Kişilerin diğer bilgilerine nazaran daha yüksek bir korumaya tabi kılınan;
• ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
• kılık ve kıyafeti,
• dernek, vakıf ya da sendika üyeliği,
• sağlığı ve cinsel hayatı,
• ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri,
• biyometrik ve genetik verileri
özel nitelikli kişisel veridir.

3- HANGİ İŞLEMLER 6698 SAYILI KANUN KAPSAMINDADIR?

6698 sayılı Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Muayenehanede sayılan biçimlerde veri işlenmemesi, örneğin sadece kâğıt şeklinde hasta
dosyası tutulması halinde, 6698 sayılı Kanun uygulanmaz. Bu halde kişisel verileri genel
hükümler çerçevesinde korumak gerekir.
4- ‘KİŞİSEL VERİLERİN İŞLENMESİ’ NE DEMEKTİR?
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla;
• elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
• değiştirilmesi, yeniden düzenlenmesi, açıklanması,
• aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi
gibi, kişisel veriler üzerinde gerçekleştirilen her türlü işlemdir.
5- KİŞİSEL VERİLERİN İŞLENMESİ İZNE BAĞLI MIDIR?
Kural olarak, kişisel veriler ilgilisinin açık rızası olmadan işlenemez.
6- ‘AÇIK RIZA’ ARANMAYAN İSTİNALAR NELERDİR?
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması,
hallerinde kişinin açık rızası aranmaksızın kişisel veriler işlenebilir.
7- ‘ÖZEL NİTELİKLİ KİŞİSEL VERİLER’ İÇİN DE AYNI KURALLAR GEÇERLİ MİDİR?
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Sağlık ve cinsel
hayat dışındaki özel nitelikli kişiler veriler, kanunlarda öngörülen hallerde ilgili kişinin açık
rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise ancak, sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından;
• kamu sağlığının korunması,
• koruyucu hekimlik,
• tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
• sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla
ilgilinin açık rızası aranmaksızın işlenebilir. Ayrıca, özel nitelikli kişisel verilerin işlenmesinde,
Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması da şarttır.
Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarih, 2018/10 sayılı kararı için bakınız;
https://kisiselveri.saglik.gov.tr/TR,55774/31012018-tarihli-ve-201810-sayili-karar-ozelnitelikli-kisisel-verilere-yonelik-yeterli-onlemler.html
8- ‘KİŞİSEL VERİLERİN AKTARILMASI’ HANGİ KURALLARA BAĞLIDIR?
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Açık rıza alınmaksızın verilerin
işlenmesi koşulları varsa açık rıza aranmaksızın veriler aktarılabilir. Sağlık ve cinsel hayat
dışındaki özel nitelikli kişiler veriler, kanunlarda öngörülen hallerde açık rıza olmaksızın
aktarılabilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, yeterli önlemler alınmak kaydıyla açık rıza
olmaksızın aktarılabilir. Yurtdışına aktarılacak kişisel verilerle ilgili olarak ise 6698 sayılı
Kanun’un düzenlediği yurtdışına veri aktarımı ile ilgili diğer koşullarının yerine getirilmesi
gerekir.
9- ‘VERİ SORUMLUSU’ KİMDİR?
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından
ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusudur. Kurumlarda veri
sorumlusu tüzel kişiliğin kendisidir. Örneğin hekimler tarafından kurulan şirketler açısından
veri sorumlusu hekim değil, şirketin tüzel kişiliğidir. Muayenehanesinde çalışan hekimler
açısından ise hekim doğrudan veri sorumlusudur.
10- VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ NELERDİR?
Veri sorumlusu, kişisel verilerin hukuka uygun olarak işlenmesini sağlayacak bütün
gerekliliklerin yerine getirilmesinden sorumludur. Yükümlülükleri;
• Aydınlatma
• İlgilinin açık rızasının alınması.
• Verilerin korunması.
• İlgililerin başvurularının yanıtlanması.
• Veri sorumlusu siciline kayıt olma.
11- ‘AYDINLATMA YÜKÜMLÜLÜĞÜ’ NASIL YERİNE GETİRİLİR?
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, verileri
işlenecek kişilere;
• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5
• Verileri işlenen kişilerin hakları
konularında bilgi vermekle yükümlüdür.
12- ‘AÇIK RIZA’ NEDİR? NE ZAMAN GEREKLİDİR?
Açık rıza, belirli bir konuya ilişkin veri işlemeye/aktarmaya yönelik olarak, bilgilendirilmeye
dayanan ve bireyin özgür iradesiyle açıklanan rızadır. Kişisel verilerin işlenmesi ve
aktarılmasının kişilerin açık rızasına bağlı olmadığı kanunda sayılı haller dışında, kişisel
verilerin işlenmesi ve aktarılması için ilgili kişilere aydınlatma yapılması ve açık rızalarının
alınması gerekmektedir.
13- AYDINLATMA VE RIZA İŞLEMLERİ YAZILI MI YAPILMALIDIR?
Muayenehane hekimi veya temsilcisi tarafından yapılacak aydınlatmanın belgelenmesi için
verileri işlenecek kişilere (hastalara/çalışanlara) yazılı olarak sunulması ve imzalatılması
gerekir.
Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenecek
sağlık verileri dışındaki durumlar için ise rıza metni kullanılması ve verisi işlenen kişilerin bu
metni imzalayarak onay vermesi ispat bakımından önemlidir.

14- VERİLERİN KORUNMASI YÜKÜMLÜLÜĞÜNÜN KAPSAMI NEDİR?

Veri sorumlusu;

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı
olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak, amacıyla uygun
güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak
zorundadır.
• Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde
gerekli tedbirlerin alınması hususunda bu kişilerle birlikte sorumludur.
• Kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak
amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
• Öğrendiği kişisel verileri 6698 sayılı Kanun hükümlerine aykırı olarak başkasına
açıklayamaz ve işleme amacı dışında kullanamaz. Veri işleyenler açısından bu
yükümlülük görevden ayrılmalarından sonra da devam eder.
• İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi
hâlinde, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na
bildirmekle yükümlüdür.
15- VERİLERİ İŞLENEN İLGİLİLER HANGİ TALEPLERLE BAŞVURABİLİR?
Kişisel verisi işlenen gerçek kişiler, veri sorumlusuna başvuru hakkına sahiptir. Başvuru, yazılı
olarak veya Kişisel Verileri Koruma Kurulu’nun belirleyeceği diğer yöntemlerle yapılabilir.
Başvuruda;
• Kişisel verilerin silinmesi veya yok edilmesi istenebilir.
• Verilerin aktarıldığı kişiler ile verilerin düzeltilmesini isteme hakkının, kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesi istenebilir.
• Kişi kendisi aleyhine bir sonucun ortaya çıkmasına itiraz edebilir.
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması hâlinde
zararın giderilmesi talep edilebilir.
16- TALEPLERİN YANITLANMASININ USULÜ NASILDIR?
Veri sorumlusu, kendisine iletilen talepleri en kısa sürede (en geç otuz gün içinde) ücretsiz
olarak sonuçlandırmalıdır. İşlemin ayrıca bir maliyet gerektirmesi halinde veri sorumlusu, Kurul
tarafından belirlenen tarifedeki ücretleri talepte bulunan kişiden isteyebilir.
Veri sorumlusu, talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili
kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi
hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir.
17- VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ (VERBİS) NEDİR?
VERBİS, veri sorumluları ile veri sorumlularının irtibat kişilerinin ve işlenen verilere ilişkin
kategorik bilgilerin kaydedileceği bir sicildir. Veri sorumluları, Kişisel Verileri Koruma Kurulu
tarafından belirlenen süreden önce bu sicile kaydolmak zorundadır. Sicile kayıt ücretsizdir.

18- VERBİS’E KAYIT İÇİN SON TARİH NEDİR?
Kamu kurum ve kuruluşları ile yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25
milyon liradan az olan gerçek ve tüzel kişiler için son kayıt tarihi 31.03.2021’dir. Dolayısıyla
muayenehane, laboratuvar, müessese gibi sağlık kuruluşları için de 31.03.2021 son kayıt
tarihidir.
19- KAYIT OLMAMANIN YAPTIRIMI NEDİR?
VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmeyenler hakkında, 2021 yılı için
39.337,22-1.966.861,00-TL arasında idari para cezası verilecektir.
Diğer yaptırımlar da şöyledir:
• Aydınlatma yükümlülüğünün yerine getirilmemesi: 9.834,00-196.686,00-TL
• Veri güvenliği yükümlülüklerinin yerine getirilmemesi: 29.503,00–1.966.861,00-TL
• Kurul kararlarının yerine getirilmemesi: 49.171.53-1.966.861,00-TL
20- VERBİS’E HASTA BİLGİLERİ KAYDEDİLECEK MİDİR?
VERBİS, E-Nabız gibi kişisel verilerin kaydedildiği bir sistem değildir. VERBİS’e hastalara ait
kişisel veriler gönderilmemektedir.
21- ‘VERİ ENVANTERİ’ NELERİ İÇERMELİDİR?
Bu envanter, 6698 sayılı Kanun kapsamında işyerinin genel profilinin çıkarılmasına yönelik bir çalışmadır. Envanterde;
• Kişisel veri işleme amaçlarına
• Kişisel veri işleminin hukuki sebebine
• Veri kategorisine
• Kişisel verilerin aktarıldığı alıcı grubuna
• Kişisel verilerin azami saklama süresine
• Yabancı ülkelere aktarım konusuna
• Veri güvenliğine ilişkin tedbirlere
yer verilir.
Yedi başlıkta sayılan bilgileri içermesi koşuluyla düz yazı veya çizelge olarak envanter
hazırlanması mümkündür. Envanter, VERBİS’e gönderilmeyecek veya kaydedilmeyecektir.
VERBİS’in ilgili bölümlerinin doldurulması sırasında bu bilgilere ihtiyaç duyulacağından, kayıt olmadan önce hazırlanması önerilmektedir. Envanter, rapor olarak veri sorumlusunda kalacak, Kişisel Verileri Koruma Kurulu tarafından talep edilmesi durumunda ibraz edilecektir.
Kişisel Veri İşleme Envanteri Hazırlama Rehberi için bakınız;
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/224af10e-ff71-4cc9-9e18-
c6c142f8da05.pdf
22- UYUM İÇİN YAPILMASI GEREKEN/ÖNERİLEN DİĞER İŞLEMLER NELERDİR?
• Çalışanlar ile ilgili sözleşmeler gözden geçirilmeli, çalışanlar kişisel verileri koruma
mevzuatı kapsamında yükümlülükleri konusunda bilgilendirilmeli ve eğitim verilmelidir.
• Kişisel verilerin saklandığı bilgi işlem sistemleri dışarıdan müdahalelere karşı korumalı
hale getirilmeli, bu konuda teknik önlemler alınmalı, yetkisiz kişilerin girişleri
önlenmelidir.
• Kişisel verilerin saklandığı fiziki ortamlara (arşiv) yetkisiz kişilerin erişimi
engellenmelidir.
• Varsa WEB sitesinin mevzuata uygunluğu denetlenmeli, çerez ve gizlilik politikası
hazırlanmalıdır.
• Sosyal medya hesapları kişisel verileri koruma mevzuatına uygun hale getirilmelidir.
• Muayenehanelerin giriş ve bekleme alanlarında güvenlik kamerası varsa bu konuya
ilişkin bilgilendirme metinleri ve tabelalar hazırlanmalıdır.
• Kişisel veri saklama ve imha politikası hazırlanmalıdır.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi için
bakınız; https://www.kvkk.gov.tr/Icerik/2038/Kisisel-Verilerin-Silinmesi,-YokEdilmesi-veya-Anonim-Hale-Getirilmesi