KVKK

Temel bir insan hakkı olan kişisel verilerin korunması hakkı, özel hayatın gizliliği ile doğrudan ilişkilidir. Üçüncü kişilerin eline geçmesinde sakınca bulunan bu verilerin korunması gerekliliği, hem kamu kurumlarını hem de özel kurumları ilgilendirmektedir. Bu sebeple, kişisel verilerin korunması konusu ilk olarak 5237 sayılı Türk Ceza Kanununda 135 ve 140. maddeler arasında düzenlenmiştir. Sonrasında Anayasada 2010 yılında yapılan değişiklikle kişisel verilerin korunması anayasal güvence altına alınmıştır. 7 Nisan 2016 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu bu kapsamdaki temel düzenleme olmuştur.

KVKK (Kişisel Verilerin Korunması Kanunu), verisi bulunan ilgili kişiye ve kişinin verisinden sorumlu olan ve veriyi işleyen gerçek veya tüzel kişilere bazı haklar vermektedir veya yaptırımlar öngörmektedir.

Kişisel Veri Nedir?

Belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilginin kişisel veri olarak kabul edilir. Kişinin doğrudan kesin teşhisini sağlayan kimlik bilgilerinin yanı sıra yardımcı veriler aracılığıyla kişinin kimliğine ulaşılabilecek veriler de kişisel veri kapsamına girmektedir.Örnek olarak; İletişim Bilgileri (Telefon-E-posta vb), Sağlık Bilgileri (Hastalık-Kan grubu vb), Kimlik Bilgileri (Ad-Soyad, TC NO vb), Dernek ve Vakıf Üyelikleri, Fotoğraf ve Kamera Kayıtları, Genetik Bilgiler, Biyometrik Bilgiler, Mali Bilgiler ve Banka Hesap Numarası gibi bilgiler kişisel veridir.

Kanunda, kişisel veriler sınırlı sayma yoluyla belirlenmediğinden, her somut olayın özelliğine göre kişisel verinin kapsamının genişletilmesi de
mümkündür.

KVKK Kapsamında İlgili Kişinin Hakları Nelerdir?

İlgili kişi kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna yönelik bilgi talep etme, işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel veriler üzerinde yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin analiz edilmesiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.

KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri nelerdir?

Veri sorumlusu KVKK kapsamında “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır.

Kişisel Verileri Koruma Kanunun 12 nci maddesinin birinci fıkrasında;
“Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri
almak zorundadır.” hükmü yer almaktadır.

A) Aydınlatma Yükümlülüğü

Aydınlatma yükümlülüğüne göre veri sorumlusu kişisel verilerin elde edilmesi sırasında ilgili kişiye bazı bilgileri sağlamalıdır. Bunlar;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere hangi amaçla akatarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
    1. maddede sayılan diğer hakları olarak belirtilmektedir. İlgili kişi verisinin işlendiği her durumdan haberdar olmalı ve bu konuda bilgilendirilmelidir.

B) Veri Güvenliğine İlişkin Yükümlülükler

Veri sorumlusu veri güvenliği konusunda aşağıdaki maddelerden sorumludur:

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak.

Veri sorumlusu bu yükümlülüklerini yürütebilmek için her türlü tedbiri almak ve kanunun işleyişi ile ilgili denetimleri yapmak zorundadır. Kişisel veri, veri sorumlusu adına başka bir kişi tarafından işlenmişse güvenlik konusunda iki kişi de sorumlu durumdadır. Hem veri sorumlusu hem de veriyi işleyen kişi görevi sona erdikten sonra da veriyi paylaşamaz veya işleme amacı dışında kullanamaz. Eğer veri 3. kişiler tarafından ele geçirilmişse bu durum en kısa sürede ilgili kişilere bildirilmelidir.

C) Veri Sorumluları Siciline Kayıt Yükümlülüğü

Veri sorumlularının kamu ile paylaşılabilmesi ve bu sayede kişisel verilerin korunması hakkının daha etkin şekilde kullanılması amacıyla veri sorumluları, Veri Sorumluları Sicili (VERBİS)’e kayıt yaptırmak zorundadır.

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Veri Sorumluları Bilgi Sicil Sistemine (VERBİS) 31 Aralık 2019 tarihine kadar (bu tarih dâhil) kayıt yaptırmaları gerekiyor. Belirtilen tarihe kadar kayıt yaptırmayanlara 1.000.000 Türk lirasına kadar idari para cezası kesilecektir.

D) İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü

Veri sorumluları, ilgili kişilerce kendisine iletilen, kanunun uygulanması ile ilgili talepleri en geç otuz gün içerisinde sonuçlandırmalıdır. Veri sorumlusu bu talebin olumlu ya da olumsuz cevabını ilgili kişiye bildirmelidir. İlgili kişi red cevabı alması halinde, cevabı öğrendikten sonraki otuz gün içinde Kurula şikayette bulunabilmektedir. Genellikle ücretsiz olan bu işlem, gerekmesi halinde bir ücret karşılığında da yapılabilmektedir.

E) Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

Veri sorumlusu, kurula gelen bir şikayet olması ya da kurulun bir ihlali tespit etmesi halinde, konuyla ilgili hukuka aykırılıkların giderilmesi ile sorumludur.

KVKK Kapsamında Suçlar ve Kabahatler

Kişisel Verilerin Korunması Kanununda, kanuna uymayanlar için cezai yaptırımlar da mevcuttur. Bu yaptırımlar suçlar ve kabahatler olarak ikiye ayrılmıştır.

A) Suçlar

Kişisel verilere ilişkin suçlara Türk Ceza Kanununun 135 ila 140’ncı madde hükümleri uygulanır. Türk Ceza Kanununda;

  • Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar,
  • Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi iki yıldan dört yıla kadar,
  • Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

B) Kabahatler

Kişisel Verilerin Korunması Kanununda;

  • Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 10.000 Türk lirasına kadar,
  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

VERBİS’e kayıt olmanız ve/veya sicile kayıt yükümlülüğünden istisna tutulan Veri Sorumlularından olmanız Kişisel Verilerin Korunması Kanunu’na tabi olmadığınız anlamına gelmemektedir. Bu sebeple kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla işlemeniz halinde Kanun’a uyumlu hale gelmeniz gerektiğini hatırlatmak isteriz.

UYUM SÜRECİNDE YAPILMASI GEREKENLER

6698 Sayılı Kişisel Verilerin Korunması Kanun ve ilgili mevzuat kapsamında yapılması gerekenleri tespit etmek ve aşağıdaki kapsamda uyum sürecini derhal başlatmak gerekmektedir.

1 | Mevcut Durum Analizi Yapılması
2 | Veri Politikalarının Oluşturulması
3 | Yetki Matrisi Çalışmalarının Yapılması
4 | Veri Paylaşım Şeması Oluşturulması
5 | Kişisel Veri Envanterinin Hazırlanması
6 | Kişisel Veri İşleme Sisteminde Bulunması Gerekenlerin Listesi
7 | Sözleşmelerin Düzenlenmesi
8 | Açık Rıza, Aydınlatma ve Bilgilendirme Metinlerinin Düzenlenmesi
9 | VERBİS Bildirim Sistemine Geçilmesi
10 | Kurumsal İletişimin Güçlendirilmesi
11 | Eğitim ve Farkındalık Faaliyetlerinin Düzenlenmesi
12 | Teknik Veri Koruma Önlemlerinin Geliştirilmesi
13 | Kişisel Veri Uyumsuzlukları ve Risk Listesi Oluşturulması
14 | Veri Silme, Periyodik İmha ve Anonim Hale Getirme Uygulamalarının Belirlenmesi
15 | Kişisel Verilerin Azaltılması
16 | Sonuç ve Değerlendirme Raporunun Hazırlanması

6698 sayılı KVKK madde 12/3 gereğince veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

Spread the word. Share this post!