KİŞİSEL VERİLERİN LORUNMASI HAKKINDA KANUN

 

 

KİŞİSEL VERİLERİN KORUNMASI KANUNU’NA UYUM SÜRECİ

&

İZLENECEK ADIMLAR

 

Dünya küreselleştikçe ve tek bir tuş ile bütün verilere ulaşım mümkün hale gelmeye başlayınca kişisel verilerin korunması, saklanması oldukça önemli bir hal aldı.

 

Nitekim her birimiz bilinçli ya da bilinçsiz şekilde kişisel verilerimizi paylaşıyoruz. Bu nedenle günümüzde bu kapsamda birçok kişi ciddi problemlerle karşı karşıya kalmaktadır. Durum böyle olunca kullanıcılarının, abonelerinin yahut işçilerinin her türlü kişisel bilgilerini işleyen, tutan resmi-özel kurumlar önlem almak zorunda kalmışlardır.

 

Hele ki Avrupa Birliği Uyum Süreci’ndeki gelişmeler nedeniyle çok önemli hale gelmesiyle 6698 sayılı “Kişisel Verilerin Korunması Kanunu” (KVKK) her ne kadar 7 Nisan 2016 itibari yürürlüğe girmiş olsa da; bu konuda veri işleyenlerin halen birçok eksiği bulunmaktadır.Bu Kanun, 1995 tarihli 95/46/ AT sayılı direktif  (EuropeanUnion Directive 95/46/EC) çerçevesinde hazırlanmış olmasına karşın, 25 Mayıs 2018’de bu direktif yerine GDPR (Genel Veri Koruma Yönetmeliği) yürürlüğe girerek AB’ye üye 28 ülkenin tamamında geçerli hale gelmiştir. Etki alanı olarak Türkiye’deki şirketler bu yönetmelikten muaf gibi gözükse de, AB üyesi ülkeler ile çalışan şirketler de çalıştıkları bölümler için bu yönetmeliğe uymak zorundadırlar. Bu bakımdan GDPR kapsamına girebilecek şirketlerin öncelikle KVKK ‘ya, daha sonra ise GDPR hükümlerine uyumlu hale gelmek için gerekli adımları atmaları gerekmektedir.

 

Bu yazımızda şu aşamada Kişisel Verilerin Korunması Kanununa uyum süreci ve kanun kapsamında öncelikli olarak yapılması gerekenler izah edilmeye çalışılacaktır.

 

İlk Olarak Kişisel Veri Nedir?

 

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Dolayısıyla tüzel kişilere ilişkin kişisel veriler ise bu tanımın kapsamına girmemektedir.

 

Örneğin, bir kişinin adı, soyadı, taşıt plakası, TC kimlik numarası, SGK numarası, pasaport numarası, özgeçmişi, e-posta adresi veya resmi hep kişisel bilgidir. Daha geniş bir ifadeyle,  bir gerçek kişinin kimliği ile eşleşebilen her türlü veri kişisel veridir.

 

Kişisel verilerin işlenmesi kavramı ise, bu kişisel verilerin ilk elde edilişinden itibaren veriler üzerinde gerçekleştirilen her türlü eylemi ifade etmektedir. Bu verilerin elde edilmesi, çeşitli araçlar kullanılmak sureti ile kaydedilmesi, muhafazası, aktarılması, değiştirilmesi, devredilmesi vs. her türlü işlem bu kapsam içerisinde ele alınır.

 

 

Hangi Durumlarda Kişisel Veriler İşlenebilir?

 

Veri sorumlusu olarak, işletmenizin faaliyetleri için kişisel verileri işlemeniz zorunlu olabilir. Fakat bu verilerin hukuka uygun olarak işlenmesi için aşağıdaki belirtilen tüm şartların birlikte sağlanması gerekmekte olup aksi takdirde hukuki ve cezai müeyyidelerle karşılaşabilirsiniz:

 

-    Verinin işlenmesi için açık rıza alınmış veya Kanun’da sayılan istisnalardan biri uygulanıyor olmalıdır.

-    Veri sorumlusu aydınlatma yükümlülüğünü yerine getirmiş/getiriyor olmalıdır.

-    Veri amaç ve süre ile sınırlı olarak işlenmiş olmalıdır.

-    Verilerin işlenmesine dair genel ilkelere uyulması gereklidir.

 

Açık Rıza Nasıl Alınmalıdır?

 

Açık rızanın; belirli bir konuya ilişkin, bilgilendirilmeye dayalı ve özgür iradeyle açıklanması gerekmektedir.

 

Bu çerçevede, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar hukuken geçersizdir. Kanunda açık rızanın verilmesi hususunda herhangi bir şekil şartı öngörülmemiştir. Ancak açık rızanın alındığı konusundaki ispat yükü veri sorumlusuna aittir. 

 

Hangi Durumlarda Kişisel Veriler İşlenebilir?

 

Veri sorumlusu olarak, işletmenizin faaliyetleri için kişisel verileri işlemeniz zorunlu olabilir. Fakat bu verilerin hukuka uygun olarak işlenmesi için aşağıdaki belirtilen tüm şartların birlikte sağlanması gerekmekte olup aksi takdirde hukuki ve cezai müeyyidelerle karşılaşabilirsiniz:

 

- Verinin işlenmesi için açık rıza alınmış veya Kanun’da sayılan istisnalardan biri uygulanıyor olmalıdır.

- Veri sorumlusu aydınlatma yükümlülüğünü yerine getirmiş/getiriyor olmalıdır.

- Veri amaç ve süre ile sınırlı olarak işlenmiş olmalıdır.

-  Verilerin işlenmesine dair genel ilkelere uyulması gereklidir.

 

Açık Rıza Nasıl Alınmalıdır?

 

Açık rızanın; belirli bir konuya ilişkin, bilgilendirilmeye dayalı ve özgür iradeyle açıklanması gerekmektedir.

 

Bu çerçevede, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar hukuken geçersizdir. Kanunda açık rızanın verilmesi hususunda herhangi bir şekil şartı öngörülmemiştir. Ancak açık rızanın alındığı konusundaki ispat yükü veri sorumlusuna aittir. 

Peki Kişisel Verileri İşlerken Uyulması Gereken İlkeler Nelerdir?

 

Uluslararası belgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kanunun 4. maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Avrupa Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine ve 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifine paralel şekilde düzenlenmiştir. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel ilkeler şunlardır:

 

  • Hukuka Ve Dürüstlük Kurallarına Uygun Olma
  • Doğru Ve Gerektiğinde Güncel Olma
  • Belirli, Açık Ve Meşru Amaçlar İçin İşlenme
  • İşlendikleri Amaçla Bağlantılı, Sınırlı Ve Ölçülü Olma
  • İlgili Mevzuatta Öngörülen Veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme

 

Veri Sorumlusu Kimdir?

 

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişidir.

 

Veri Sorumluları İçin Getirilen Bazı Esaslı Yükümlülükler Nelerdir?

 

  • İlkelere Uyum Sağlama
  • İşleme Şartlarına Uyum Sağlama
  • Aydınlatma Yükümlülüğü
  • Silme/Yok Etme/Anonimleştirme
  • Veri Sorumluları Siciline Kaydolma
  • Aktarım Yasağı/Yurt Dışına Aktarım Yasağı
  • İlgilinin Başvurusuna Yanıt Verme
  • Teknik Ve İdari Tedbirler Alma
  • Denetim Yapma

 

Veri Sorumlusundan Talep Edilebilecek Hususlar Nelerdir?

 

  • Kişisel verilerin işlenip işlenmediğini öğrenme,
  • İşlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı 3. Kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halimde bunların düzeltilmesini isteme,
  • İşlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme,
  • Kişisel verilerin yalnızca otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme

 

İlgili Kişilerin Haklarına İlişkin Talepleri Veri Sorumlusu Tarafından Ne Kadar Sürede Cevaplanmalıdır?

 

Veri sorumluları ilgili kişilerin taleplerini en kısa sürede ve en geç otuz gün içinde incelemelidir. İnceleme sonucuna göre talebi kabul etmeli veya gerekçesini açıklayarak reddetmeli, ayrıca cevabını ilgili kişiye bildirmelidir.

 

VERBİS Sistemine Kimler Kayıt Olmak Zorundadır?

 

Yıllık çalışan sayısı 50’den az veya yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların sicile kaydı zorunlu değildir.

 

Kişisel Verilerin Korunması Kapsamında Cezai ve İdari Yaptırımlar Nelerdir?

 

  • Aydınlatma yükümlülüğüne aykırılık hakinde 5.000 ile 100.000 TL,
  • Veri güvenliğine ilişkin yükümlülüklere aykırılık halinde 15.000 ile 1.000.000 TL,
  • Kurul kararların yerine getirilmemesi halinde 25.000 ile 1.000.000 TL ,
  • Sicile kayıt ve bildirim yükümlülüğüne aykırı hareket etme halinde 20.000 ile 1.000.000 TL

idari para cezasına hükmolunur.

 

  • Kişisel verileri hukuka aykırı kaydetmek                                                              : 1 - 3 yıl
  • Nitelikli kişisel verileri hukuk aykırı kaydetmek                                                  : 1,5 - 4,5 Yıl
  • Kişisel verileri başkasına vermek, yaymak veya ele geçirmek                          : 2 - 4 Yıl
  • Kanunla belirlenen süreler geçmiş olmasına rağmen verileri yok etmeme   : 1 - 2 yıl
  • Ceza Muhakemesi Kanunu’na göre silinmesi gerekenler                                  : 1,5 - 3 yıl

 

BU KANUN KAPSAMINDA YAPILMASI GEREKENLER NELERDİR?

 

İvedilikle mevcut veri işleme faaliyetlerine dair bazı aksiyonların öncelikli olarak alınmasını öneriyoruz:

 

- Uyum sürecinin yönetimi için bir uyum ekibi kurulmasının değerlendirilmesi ve şirketin büyüklüğü dikkate alınarak başta bilişim ve hukuk danışmanları olmak üzere, varsa risk yöneticisi ve iç denetçilerden oluşan bir ekibin oluşturulması,

- Şirkette veri işleme faaliyetlerine ve uyuma dair bir iç denetim yapılması,

- Şirket içi ve dışı veri kullanım politikalarının belirlenmesi,

- Şirkette veri sorumlusunun temsilcisi olarak bir veri koruması görevlisi ya da uyum görevlisinin istihdamının değerlendirilmesi ve görev tanımı ile yetkilendirmelerinin yapılması

- Şirket adına veri işleyen üçüncü bir kişi var ise, hak ve yükümlülüklere dair sözleşmesel bir altyapının kurulması,

- Verinin 3. kişilere veya yurtdışına aktarılması durumunun olup olmadığının, varsa aktarım yapılan kişi ve ülkelere dair yükümlülüklerin tespiti,

- Kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve hukuki alt yapının kurulması,

- Şirket tarafından kullanılan başvuru formları dahil, tüm sözleşmelerin veri işleme ve aktarımı açısından incelenmesi, uyum programı çerçevesinde tadili,

- Şirketteki üst düzey yöneticiler ile veri işleyen durumundaki operasyonel birimlerin eğitilmesi.

 

KVKK uyum süreci ile ilgili daha ayrıntılı bilgi ve profesyonel yardım almak için; bu önerilerimiz doğrultusunda uyum sürecini en risksiz şekilde tamamlamak adına bizimle irtibata geçebilirsiniz.

 

 

.