Kişisel Verilerin Korunması Kanunu Kapsamında Yapılması Gerekenler

Kişisel Verilerin Korunması Kanunu (“KVKK”) 07.04.2016 tarihinde yürürlüğe girerek uygulanmaya başlamıştır. Zaman içerisinde yayınlanan yönetmelik ve tebliğler ile de kişisel verilerin korunması konusu detaylandırılmıştır. İlgili mevzuatın, ticari işletmeleri ilgilendiren hususlarını ve dikkat edilmesi gereken noktalarına dair hazırladığımız bu belgede, konu ile ilgili uyum çalışmalarımızı bulabilirsiniz.

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye “kişisel veri”, kişisel verilerin herhangi bir yolla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işleme ise “kişisel verilerin işlenmesi” denir.

Kişisel veri kapsamına sadece bireyin T.C. kimliğinde yer alan bilgileri değil, aynı zamanda bireyin fiziksel, ailevi, sosyo-ekonomik ve daha birçok konuya dair, o kişiyi belirlenebilir kılan her özelliğine ilişkin bilgiler de girmektedir. Bu nedenle TC kimlik numarası, adres, telefon numarası, CV, fotoğraf, parmak izi, sağlık bilgileri, askeri durum bildirimi, medeni hal ve daha birçok kişisel verinin işlenmesi kapsamında dikkat edilmesi gereken hususlar mevcuttur.

 

5237 sayılı Türk Ceza Kanunu’nda kişisel verilere ilişkin suçlar ve cezai yaptırımları düzenlenmiştir. Bunlar;

SUÇLAR	CEZAİ YAPTIRIMLAR
Hukuka Aykırı Kişisel Veri Kaydedilmesi	1-3 yıl hapis cezası
Hukuka Aykırı Özel Nitelikli Kişisel Veri Kaydedilmesi	1-3 yıl hapis cezasının yarı oranda arttırılması
Hukuka Aykırı Kişisel Verilerin Vermek, Yaymak, Ele Geçirmek	2-4 yıl hapis cezası
Kanuni Sürenin Dolmasına Rağmen Verileri Yok Etmemek	1-2 yıl hapis cezası

 

Kişisel Verilerin Korunması Kanunu uyarınca ise kanuni yükümlülüklere aykırı davranılması halinde uygulanacak olan idari yaptırımlar düzenlenmiştir.

 

 

KABAHATLER	YAPTIRIMLAR
Aydınlatma Yükümlüğü İhlali	5.000 TL – 100.000 TL
Veri Güvenliği Yükümlülüğü İhlali	15.000 TL – 1.000.000 TL
Kişisel Verileri Koruma Kurulu Kararlarına Muhalefet	25.000 TL – 1.000.000 TL
Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğüne Aykırılık	20.000 TL – 1.000.000 TL

 

 

Bu idari yaptırımlara Kurul tarafından karar veriliyor olmakla beraber, bu idari para cezaları veri sorumlusu olan gerçek kişi ve özel hukuk tüzel kişilerine uygulanacaktır.

Ticari işletmeler öncelikle Veri Sorumluları Sicili’ne kayıtlarını gerçekleştirmeli ve kanunen getirilen yükümlülüklere uygunluklarının kontrollerini sağlamalıdırlar.

 

KİŞİSEL VERİLERİN TOPLANMASI AŞAMASINDA YAPILMASI GEREKENLER

Açık rıza; belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Verisi işlenecek olan veri sahiplerinden; söz konusu verilerinin işlenmesine dair yapılan bilgilendirmenin ardından, özgür iradeleriyle bu hususa dair açık rızalarının alınması gerekmektedir.

Açık rıza metninin kanunda belirtilen şartları karşılayıp karşılamadığına dair hukuki bir incelemeden geçmiş olması gerekmektedir.

Aydınlatma yükümlülüğü; kişisel verileri işlenmeye başlanmadan önce, daha verileri elde ederken gerçekleştirilmesi gereken bir yükümlülüktür. Hangi kişisel veri işleme şartına dayanılıyor olunursa olunsun bu yükümlülük yerine getirilmek zorundadır. İlgili kişinin talebi olmaksızın bilgilendirme yapılması gerekmekle birlikte, ispat yükü veri sorumlusunun üzerindedir.

Veri sorumlusu kim olduğunu, hangi amaçla veri işleyeceğini, verileri hangi amaçlarla ve kimlere aktarabileceğini, veri toplamanın yöntemi ve hukuki sebepleri ile birlikte aydınlatma yükümlülüğü metninde; verinin işlenmesine dair usul, esas ve yöntemleri bakımından hukuki çerçevesinin belirlenerek hazırlanmış olması gerekmektedir.

 

VERİ SORUMLUSU VE YÜKÜMLÜLÜKLERİ

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiye “veri sorumlusu” denir. Tüzel kişiliğe haiz şirketler veri sorumlusu olarak değerlendirilmekte, ancak şirket temsilcileri ya da irtibat kişilerinin bu hususta bir yükümlülüğü bulunmamaktadır.

Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğündedir. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmekle yükümlüdür. Bunun yanında veri sorumlusunun; ilkelere uygun davranma, veri işlenmesi şartlarına uyum sağlama, aydınlatma yükümlülüğüne uyma, silme/yok etme/ anonimleştirme işlemlerini gerçekleştirme, aktarım yasaklarına uyma, ilgililerin başvurularına yanıt verme ve kişisel veriler adına aldığı tedbirlerin denetimini yapmak gibi sorumlulukları mevcuttur.

Kişisel Verilerin Korunması Kanunu’n getirmiş olduğu yükümlülüklerden biri, de veri sorumlusu sıfatına haiz kişilerin “Veri Sorumluları Sicili” (“VERBİS”) adında, kamuya açık olan bilişim sistemine kayıt yaptırmaları yükümlülüğüdür.

VERBİS; veri sorumluları sicil bilgi sistemi, sicile başvuru ve ilgili işlemlerde kullanılan, internet üzerinden erişilebilen, başkanlık tarafından oluşturulan ve yönetilen bilişim sistemidir. VERBİS’e giriş: www.kvkk.gov.tr ile ya da e-Devlet üzerinden kamu kurumları adına olan bölümden yapılabilmektedir.

 

VERBİS’e Girilecek Bilgiler:

• Veri kategorileri; kimlik, iletişim, özlük, hukuki işlem, sağlık gibi.
• Veri işleme amaçları
• Veri konusu kişi grubu
• Verilerin saklanma süresi
• Veri sorumlusu ve veri sorumlusu temsilcisinin kimlik ve iletişim bilgileri
• Alıcı ve alıcı grupları
• Yurtdışına veri aktarımı
• Alınan teknik ve idari tedbirler

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan veri sorumlularının 31.12.2019 tarihine kadar sicile kayıtlarını yaptırmaları gerekmektedir!

 

KİŞİSEL VERİ ENVANTERİ NEDİR?

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envantere “kişisel veri işleme envanteri” denir.

Veri Sorumluları Sicili Hakkında Yönetmelik’in 5. maddesinin 1. fıkrasının (ç) bendi uyarınca, sicil başvurularında sicile açıklanacak bilgilerin Kişisel Veri İşleme Envanterine dayalı olarak hazırlanmasının gerektiği düzenlenmiştir. Hükmün (d) bendinde ise “Kanunun 10 uncu maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.” şeklinde bir düzenlemeye yer verilmektedir.

VERBİS’e kaydolma yükümlülüğü mevcut olan veri sorumlulularının, kişisel veri envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlama yükümlülükleri de mevcuttur.

Bu düzenlemeler ışığında VERBİS’e kayıt yükümlülüğü olan tüm veri sorumlularının hem sicile kaydolmaları hem de kişisel veri envanteri hazırlamalarının gerektiği anlaşılmaktadır. Söz konusu envanter; sicile kayıt aşamasında, açık rızanın alınmasında, aydınlatma yükümlülüğü yerine getirilirken ve ilgili kişi başvurularının yanıtlanması aşamalarında esas alınacaktır. Bu sebeplerden dolayı sicile kayıtla yükümlü olan veri sorumlularının envanter hazırlaması KVKK uyum sürecinde önem arz etmektedir.