Ana Faaliyet Konusu Özel Nitelikli Kişisel Veri İşleme Olan Gerçek ve Tüzel Kişi Veri Sorumlularının VERBİS Kayıt Yükümlülüğü
İçindekiler
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin mahremiyetinin korunmasını ve kişisel verilerin hukuka uygun şekilde işlenmesini amaçlayan temel bir yasal düzenlemedir. Bu kapsamda, her veri sorumlusu çeşitli yükümlülüklere tabidir. Ancak özel nitelikli kişisel verileri işleyen veri sorumluları için VERBİS kayıt yükümlülüğü, çalışan sayısına veya mali büyüklüğe bakılmaksızın doğrudan uygulanır.
Peki, Özel Nitelikli Kişisel Veri Nedir?
KVKK’nın 6. maddesinde özel nitelikli kişisel veriler açıkça belirtilmiştir. Bunlar arasında:
- Sağlık verileri
- Cinsel hayat bilgileri
- Biyometrik ve genetik veriler
- Irk ve etnik köken
- Siyasi düşünce, din, mezhep, inanç
- Ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin veriler
gibi, bireyin mahremiyetini doğrudan etkileyen ve ayrımcılık riski taşıyan veriler yer alır.
Bu verilerin işlenmesi, genel kişisel verilere göre daha sıkı koruma altındadır. Kanun, özel nitelikli verilerin işlenmesini sadece açık rıza veya özel şartlara bağlamıştır. Dolayısıyla bu verilerle çalışan işletmelerin çok daha dikkatli olması gerekir.
Kimler Bu Kapsama Girer?
50’den az çalışanı veya 100 milyon TL’den az yıllık bilançosu olan işletmeler, genel kural olarak VERBİS kaydından muaftır. Ancak bu muafiyet, özel nitelikli kişisel veri işleyenleri kapsamaz. Ana faaliyet konusu doğrudan özel nitelikli kişisel veri işlemek olan işletmeler, çalışan sayısı 1 bile olsa, yıllık cirosu ne kadar küçük olursa olsun istisnasız VERBİS kaydı yaptırmakla yükümlüdür.
Aşağıdaki faaliyet alanlarında çalışanlar bu kapsamdadır:
- Özel hastaneler
- Tıp merkezleri, poliklinikler
- Ağız ve diş sağlığı merkezleri
- Muayenehane sahibi doktorlar ve diş hekimleri
- Psikologlar ve psikolojik danışmanlar
- Diyetisyenler ve beslenme uzmanları
- Fizyoterapistler
- Eczacılar
- Optisyenler (gözlükçüler), işitme cihazı satıcıları
- Medikal cihaz ve ürün satıcıları (reçeteye dayalı işlem yapanlar)
- Tıbbi görüntüleme ve laboratuvar hizmeti sunanlar
- Evde bakım ve hemşirelik hizmeti sunan firmalar
- Sağlık kabinleri
- Tüp bebek ve diyaliz merkezleri
- Engelli bireylere özel eğitim ve rehabilitasyon hizmeti sunan merkezler
- Özel yaşlı bakım merkezleri (sosyal hizmet sınıfında yer alsa da sağlık verisi işliyorsa dahil olabilir)
Faaliyet alanı her ne kadar başka görünse de eğer sağlık verisi işleniyorsa bu zorunluluk doğar. Örneğin:
- Bir optik mağazası, lens satışı için reçete istiyorsa,
- Bir işitme cihazı merkezi, test sonuçlarını değerlendiriyorsa,
bu işleme sırasında sağlık verisi kullanılıyor demektir.
NACE Kodu Yeterli mi?
Hayır. Sadece NACE kodu, veri sorumlusunun yükümlülüklerini belirlemede yeterli değildir.
Kişisel Verileri Koruma Kurumu (KVKK Kurulu), NACE kodlarının veri sorumlusu yükümlülüğünün tespitinde yardımcı bir kaynak olduğunu belirtmektedir. Yani yalnızca NACE koduna bakarak VERBİS yükümlüsü olunup olunmadığına karar verilemez.
Örneğin:
- Eczacıların NACE kodu “eczacılık ürünlerinin satışı” olarak geçse de, sağlık verisi işledikleri için kayıt zorunlulukları vardır.
- Optisyenler, işitme cihazı satıcıları da medikal ürün sattıkları ve reçete/toplama süreçlerinde sağlık verisi işledikleri için bu kapsama girer.
Kurum, NACE kodlarını faydalanılan bir kaynak olarak görmekte, esas olarak faaliyetin fiili içeriğine bakmaktadır. Bu nedenle bir işletmenin NACE kodu sağlıkla ilgili olmasa bile, özel nitelikli kişsel veri işliyorsa yükümlü sayılabilir.
Bu konuda kararsız kalan veri sorumluları, Kişisel Verileri Koruma Kurumu’ndan görüş talebinde bulunabilir.
Gerçek Kişiler de Sorumlu mu?
Evet. Yalnızca şirketler değil, serbest çalışan psikologlar, diyetisyenler, doktorlar, fizyoterapistler ve benzeri sağlık meslek mensupları da VERBİS’e kayıt yaptırmakla yükümlüdür. Örneğin kendi muayenehanesi olan bir diyetisyen, özel nitelikli kişisel veri işlediği için kayıt yaptırmalıdır.
Kayıt Olmayanları Ne Bekliyor?
KVKK’ya göre VERBİS’e kayıt yükümlülüğünü yerine getirmeyen veri sorumlularına 2025 yılı itibarıyla uygulanabilecek idari para cezaları şu şekildedir:
- Asgari ceza: 272.380 TL
- Azami ceza: 13.620.402 TL
Bu cezalara ek olarak:
- Şirketin kamuoyundaki itibarı zedelenebilir
- Sosyal medya ve müşteri şikayet platformlarında itibar kaybı yaşanabilir
- Denetimlerde verilerinizin işlenme şekli incelenebilir
- Uyum süreçleri tamamlanana kadar faaliyete ara verilmesi gerekebilir
Ne Yapmalı?
- KVKK kapsamındaki yükümlülüklerinizi uzman bir danışmanla birlikte analiz edin.
- Faaliyetiniz özel nitelikli kişisel veri işlemekle ilgiliyse, hemen VERBİS kayıt sürecine başlayın.
- Aydınlatma metni, açık rıza metni, gizlilik politikası gibi belgelerinizi hazırlayın.
- Çalışanlarınızı ve yöneticilerinizi veri güvenliği konusunda eğitin.
Özel nitelikli verilerin işlenmesi ciddi bir sorumluluk gerektirir. Küçük ölçekli bir işletme ya da bireysel bir sağlık uzmanı olsanız bile bu yükümlülüklerden muaftı değilsiniz.
Prestij Marka Tescil ve Danışmanlık Ofisi olarak, işletmenize özel KVKK danışmanlığı ve VERBİS kayıt hizmetleri sunuyoruz.
Kapsamlı uyum analizinden belge hazırlığına, çalışan eğitimlerinden veri işleme politikasına kadar her aşamada sizinleyiz. İdari cezalarla karşılaşmadan önce bize ulaşarak yasal uyumluluğunuzu sağlayın, markanızı ve itibarınızı güvence altına alın.
Eğer siz de özel nitelikli veri işleyen bir işletme sahibiyseniz veya danışmanlık veriyorsanız, VERBİS kaydı yükümlülüğünüzü ihmal etmeyin. Uyumsuzluk yalnızca idari para cezasına değil, markanızın itibar kaybına da yol açabilir.
Bizimle iletişime geçerek VERBİS kayıt sürecinizi kolaylaştırabilir, danışmanlık paketlerimizle baştan sona KVKK uyumluluğu sağlayabilirsiniz.
