Kişisel Verilerin Korunması Kanunu Hakkında Bilinmeyenler

6698 sayılı Kişisel Verilerin Korunması Kanunu’na Ne Kadar Uyumluyuz?

Kişisel verilerin işlenmesi (saklama ve imha) politikası oluşturdunuz mu?

Veri işlerken açık rıza beyanı alındı mı?

Verilerinizi yurt dışında herhangi bir gerçek/tüzel kişiye aktardınız mı?

Kanunu kapsamında aydınlatma yükümlülüğünüzü yerine getirdiniz mi?

Kişisel Verilerin Korunması Kanunu:

Söz konusu kanun 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek yasalaşmıştır. 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.

Gelişen teknoloji doğrultusunda her gün her an kişisel bilgilerimiz kurum ve kuruluşlar, elektronik platformlar, uygulamalar tarafından öğrenilerek kayıt altına alınmaktadır. Hukuk düzeni is bu verilerin korunmasını amaçlayarak yeni bir kanun tasarlama ihtiyacı duyulmuştur. Verilerin hangi şekilde, ne aralıklarla işleneceği, veri sorumlularını belirleyerek birtakım yükümlülükler getirmiştir. Kişisel verilerimiz işbu kanunla birlikte hukuki statü kazanmıştır.

Kişisel Veri Nedir?:

KVKK’ nın tanımına göre Kişisel Veri “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade etmektedir.

Bir gerçek kişinin adı, soyadı, doğum tarihi, doğum yeri vs. gibi kişinin salt kimliğini ortaya koyan bilgilerle sınırlı olmayıp; pasaport sicil numarası, çalışanların bordro bilgileri, sağlık verileri, fotoğrafı, kan bağı olan kimseler, dernek veya vakıf üyelikleri gibi hem doğrudan hem dolaylı olan kişiyi belirli veya belirlenebilir hale getiren tüm verileri ifade etmektedir.

Kişisel verilerin kullanılmasına dair kanun gerçek kişilerin kişisel verilerini kapsamaktadır. Tüzel kişilerin verileri ise ticaret kanunu haksız rekabet gibi hükümlerle korunmaktadır.

Burcu Kılıç tek başına kişisel veri olmayabilir yanına e-mailin eklenmesi halinde kişiyi belirlenebilir kıldığı için artık kişisel veri kabul edilebilir.
Kişisel verilerin kullanılmasına ilişkin kanun kişisel veri noktasında özel ve genel nitelikli kişisel veri ayrımı yapmıştır.

Özel Nitelikli Kişisel Veriler:

Özel Nitelikli Veriler Kanunda sınırlı olarak sayılmış olup genişletilmesi mümkün değildir.

Kanunumuzda kişi hakkında ayrımcılık yapılmasına ve mağduriyet yaratılmasına mahal verecek verilere hassas nitelikti yani özel nitelikli olarak tanımlanmıştır.

İhlali noktasında daha ağır sorumluluk öngörülmüştür. Kişilerin ırkı, mezhebi, sağlığı, cinsel tercihi, siyasi düşüncesi özel nitelikli veri kabul edilmiştir.

Alenileştirme:

Kanun, kişiyi belirlenebilir her veriyi kişisel veri saymış fakat alenileştirme kavramı adı altında kişilerin kendi verilerini kamuya açık hale getirmesi durumunda veri işleyenlere sorumluluk öngörmemiştir. Peki alenileştirme nedir? Örneğin; kişinin sosyal paylaşım hesabında gizlilik ayarları ‘public’ yani herkesin görebileceği aleni gizlilik seviyesine getirerek, gerek özel hayatı gerek siyasal düşüncesi gerekse kimlik bilgileri açısından paylaşımlarda bulunması ve bunu tüm insanların görebiliyor olması halinde ilgili kişilere, veri sorumlularına, veri aktaranlara bu konuda verilerinin ihlaline ilişkin hesap sorma yetkisine sahip değildir. Alenileştirme teşkil edip etmediğinin değerlendirmesi hukukun iyi niyet ilkesi ile çözümlenmektedir.

Veri Sorumlusu:

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Yani şirketin kendisidir. Aynı zamanda veri sorumlusu, şirketten yetkili organları aracılığıyla bu işlemleri yürütmesi ve süreci takip etmesi için birini atayabilmektedir. Ama bu kişiyi atamış olması veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.

Veri İşleyen:

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir

Veri işleyen hem şirket içerisinde veri sorumlusu olarak yetkilendirdiğimiz kişiler olabilir hem de aynı zamanda üçüncü parti firmalar olabilir.

Veri İşleme:

Kişisel verilerin tamamen veya kısmen otomatik veya otomatik olmayan yollarla ;

Gerek yurt içi gerekse yurt dışı veri tabanlarına kaydedilmesi,

Depolanması,

Muhafaza edilmesi,

Yeniden düzenlenmesi,

Devralınması,

Elde edilebilir hale getirilmesi,

Sınıflandırılması,

Paylaşılması

Kişisel verileri işleyen kelimesinde ki herkes ise;

Hastaneler,

Otobüs firmaları,

Üyelik sistemi ile çalışmakta olan tüm web siteleri,

e-ticaret siteleri,

sigorta şirketleri,

konum servisi bilgisi kullanan tüm kişi ve şirketleri

loyalty hizmeti sunan tüm perakende satış şirketleri

kanun kamu ve özel ayrımı yapmamaktadır.bir takım istisnalar dışında kurumda sorumludur. Bu istisnalar ise mesela bie suçun işlenmesini engellemek amacıyla bir suçun soruşturma kovuştrma aşamaları gibi istisnalarıdır.

Veri kayıt sistemi; Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi elektronik ya da fiziki ortamda oluşturulabilir.

VERİ SORUMLULUĞUN KAPSAMI?

Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Ayrıca, veri sorumlusu, kurum ve kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır. Belirli şartlar da VERBİS kaydının yapılması gerekmektedir.

Verbis kaydına Tabi Olan Veri Sorumluları:

Yıllık çalışan sayısı 50 ‘den çok veya yıllık mali bilanço toplamı 25 milyon TL’ den çok olan gerçek ve tüzel kişi veri sorumluları

Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları,

Yıllık çalışan sayısı 50 den az ve yıllık mali bilanço toplamı 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları,

Kamu kurum ve kuruluşu veri sorumluları

Sonradan kayıt yükümlüsü haline gelen veri sorumluları ise ilgili yükümlülüğün doğmasına müteakiben 30 gün içerisinde VERBİS e kaydolmak ile yükümlüdür.

Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 -1 milyon TL idari para cezası vardır.

Veri sorumluları öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri görevden ayrılmalarından sonra da devam eder. Öte yandan, veri sorumluları için düzenlenen sır saklama yükümlülüğü Kanunda ile veri işleyenler için de getirilmiştir.

Veri sorumlusunun bir diğer yükümlülüğü ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde de veri sorumlusunun bu durumu Kurula bildirme yükümlülüğüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan eder. Madde halinde ifade edecek olursak;

Aydınlatma yükümlülüğü:

Veri işlemeye başlamadan önce kişinin açık rızasının alınması gerekmektedir.

Açık rıza: Veri sahibin kendisi ile ilgili veri işlenmesine özgürce, konu ile ilgili yeterli bilgiye sahip olarak tereddütte yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği bir onaydır.

Aydınlatma yükümlülüğü KVKK’nın 10. Maddesinde düzenlenmiştir;

Veri sorumlusunun aydınlatma yükümlülüğü;

MADDE 10- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir. Aydınlatma yükümlülüğünü yerine getirdiğinin ispatı bizzat veri sorumlusuna aittir.

Veri güvenliğinin sağlanması:

Erişim yetkilerinin belirlenmesi ve sınıflandırılması

Kullanıcı aktivitelerinin 7/24 izlenmesi

Güçlü parola özetlerinin oluşturulması

Veri İşleme Şartları:

Tüm veri sorumluları ancak aşağıdaki şartlar oluştuğunda veya ilgili kişi açık rıza verdiğinde veri işleme hakkına sahiptir:

-Kanunlarda açıkça öngörülmesi (Bankacılık Kanunu, MASAK Mevzuatı)

-Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,

-Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi,

-İlgili kişinin kendisi tarafından alenileştirilmiş olması,

-Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

-Veri sorumlusunun meşru menfaati.

Kişisel veri işleme envanteri:

Veri Sorumluları Sicili Hakkında Yönetmelik’te; “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter” olarak tanımlanmıştır. Kısaca envanter, veri sorumlularının gerçekleştirdiği bütün veri işleme faaliyetlerini gösteren dokümandır.

Envanter İçeriğinde Bulunması Gerekenler:

-Hazırlanacak olan envanterde aşağıdakilerin bulunması önerilmektedir.

-Veriyi işleyen departman

-Süreç ve faaliyet bilgisi

-Veri kategorisi

-Kişisel Veri İşleme amacı ve işlemenin hukuki sebebi

-Veri konusu kişi grupları

-Muhafaza edilme süresi

-Alıcı grupları

-Yurtdışına aktarıma ilişkin bilgiler

-Alınan idari ve teknik tedbirler

İDARİ PARA CEZALARI

-Aydınlatma Yükümlülüğünü yerine getirmemek;

5-000- 100.000 TL

-Veri Güvenliğinin yerine getirilmemesi;

15.000- 1 milyon TL

-Kurul tarafından verilen kararları yerine getirmemek;

25.000- 1 milyon TL

-Veri sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler

20.000 – 1 milyon TL

İdari para cezasına hükmolunur.

Aynı zamanda Türk Ceza Kanunu kapsamında da cezai hükümlere tabidir;

-Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

Kişisel verilerin, kişilerin siyasi, felsefi veya dini görüşlerine, ırk kökenlerine, cinsel yaşamlarına sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda cezalar yarı oranında arttırılır.

- Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

- Kanunların belirlediği süreyi geçmiş olmasına karşın, verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verilir.

- Suçların işlenmesi halinde tüzel kişiler hakkında bunlara özgü güvenlik tedbirlere hükmolunur.

Bahsi geçen gerek KVKK Kanunu Kapsamında yüksek miktarlarda idari para cezasına gerekse TCK kapsamında cezaya maruz kalmamak adına şartları taşıyan şirketlerin yukarıda anlatmaya çalıştığımız bilgilerin daha fazlasını edinerek, danışmanlık alarak söz konusu Kanuna acilen uyumlanması şirketlerin faydasına olacaktır.

Biz derya deniz olan Kanun kapsamında yapılması gerekenleri bir nebze aktarmaya çalıştık ancak yükümlülüklere uyum ve uygulamaya yönelik çalışmaların şirket bazında şirketin bünyesinin değerlendirilerek yasal uyum sürecine adaptasyonu özellikli olarak sağlanmalıdır.