KVKK Danışmanlığı
6698 SAYILI KİŞİSEL VERİLEN KORUNMASI KANUNU
Veri dolaşım hızı ve veri hâkimiyetinin kötüye kullanımının artışı ile Kişisel Veri sahiplerinin kendilerine ait Kişisel Verilerin korunmasını isteme, kendisiyle ilgili işlenen Kişisel Veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve Kişisel Verilerin işlenme amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme hakları anayasal düzeyde korunan temel hak ve özgürlükler kapsamına alınmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanununun 7 Nisan 2016 tarihinde yürürlüğe girmesiyle birlikte kısa süre içerisinde ikincil mevzuat da Resmi Gazete 'de yayımlanarak yürürlüğe girmiştir.
Kişisel Verilerin Korunması Kanunu ile birlikte şirketleri bekleyen çok önemli değişiklikler bulunmaktadır. Uluslararası benzer standartlar ve Kanunlar ile birlikte değerlendirildiğinde; KVKK ile birlikte kişisel verilerin sınırsız olarak gelişigüzel toplanması, denetimsiz olarak açıklanması veya yetkisiz kişilerin eline geçmesi durumunda kötüye kullanılarak kişilik haklarının ihlal edilmesi gibi sorunların önüne geçilmesi amaçlanıyor.
Kanun’da yer alan çerçeve ilkeler ve maddeler ile beraber şirketlerin uyması gereken kurallar belirlenmekte ve söz konusu kurallara ihlal olması durumunda karşılaşılacak cezai ve hukuki yaptırımlar yer almaktadır.
Kişisel Veri Nedir?
Kişisel Veriler, Kişisel Veri ve Özel Nitelikli Kişisel Veri (Hassas Veri) olarak gruplandırılmıştır.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin ad, soyad, doğum tarihi, doğum yeri, telefon numarası, e-mail adresi, araç plakası, sosyal güvenlik numarası, pasaport numarası gibi her türlü bilgiyi ifade etmektedir.
Özel Nitelikli Kişisel Veri (Hassas Veri): Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel veridir.
Kimleri Kapsar?
Kişisel Verilerin Korunması Kanunu hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişilere uygulanır.
Kişisel Verilerin İşlenmesiyle ilgili Şartlar Nelerdir?
Kişisel verilerin işlenmesi ile ilgili şartlar Kişisel Veri ve Özel Nitelikli Kişisel Veri kapsamında farklılık gösterir.
Kişisel Verilerin Işlenme Şartları: Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak aşağıdaki şartlardan en az birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
1- Kanunlarda açıkça öngörülmesi.
2- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
3- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
4- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
5- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
6- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
7- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel Nitelikli Kişisel Verilerin işlenme şartları: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel veridir. Bu veriler Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemler alınmaksızın ve kişinin açık rızası olmaksızın işlenemez.
VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ (TÜZEL KİŞİLİĞİN)
Veri sorumlusunun kanun kapsamında pek çok yükümlülüğü bulunmakla birlikte bunlardan bazıları şu şekildedir:
A) Veri Sorumluları Siciline Kaydolma Yükümlülüğü (VERBİS)
Önceki yıl 50 çalışanı olan veya bilançodaki aktif veya pasif büyüklüğü 100.000.000 TL yi aşan kişisel verileri işleyen gerçek ve tüzel kişiler, 31/12/2021 tarihine kadar bu Sicile kaydolmak zorundadır. Süresinde sicile kayıt işlemlerini yapmayanlar Kurul tarafından veri sorumlularına bildirilen 30 günlük kesin sürede kanuni yükümlülüklerini yerine getirmeleri gerekmektedir.
Veri Sorumluları Siciline kayıt olmak için başvuru, aşağıdaki bilgileri içeren bir bildirim ile yapılacaktır:
• Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
• Kişisel verilerin hangi amaçla işleneceği,
• Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
• Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
• Yabancı ülkelere aktarımı öngörülen kişisel veriler,
• Kişisel veri güvenliğine ilişkin alınan tedbirler,
• Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
Yukarıda listelenen bilgilerde herhangi bir değişiklik olması halinde, söz konusu değişikliklerin derhal Kuruma bildirilmesi gerekmektedir.
A. Aydınlatma Yükümlülüğü
Kanun koyucu kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır.
Veri sorumlusu, kişisel verilerin elde edilmesi sırasında aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- 11. maddede sayılan diğer hakları
İlgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.
Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin onayına tabi değildir. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir.
B. Veri Güvenliğine İlişkin Yükümlülükler
Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak ile yükümlüdür.
Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir.
C. Denetim Yükümlülüğü
Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Kanun denetimin veri sorumlusu tarafından yapılması gerektiğini öngörmektedir. Veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir.
D. Bildirim Yükümlülüğü
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması ve Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Veri sorumluları, ilgili kişiler tarafından yapılan başvuruları niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.
Kişisel Verileri Koruma Kurumunun Bazı Kararları
- Sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması;
- Online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorumlusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaşması;
- Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesi; Örn: İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılması;
- Veri sorumlusu tarafından müşterisinin kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesi;
- Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması;
- Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde veri sorumlusu tarafından, işveren iletişim adresi kısmına şirketin adresinin yazılması gerekirken, şirket adına sürecin yönetiminden sorumlu kişinin ev adresinin yazılması;
- Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunması nedeniyle 30.000-TL para cezası uygulandı.
Kanunun Firmalara Getirdiği Yükümlülüker;
• Kişisel Veri Envanteri Hazırlanması
• Aydınlatma Metinlerinin Hazırlanması
• Açık Rıza Metinlerinin Hazırlanması
• Sözleşmelerinin Kanun Kapsamında Revize Edilmesi
• Gizlilik Sözleşmelerinin Hazırlanması/Yapılması
• Verilerin Korunması İçin İdari ve Teknik Tedbirlerin Alınması
• Politikaların Hazırlanması
• Farkındalık Eğitimlerinin Yapılması
• Denetimlerin Yapılması
•VERBİS Sistemine Kayıt Yapılması
-
VERBİS'e Ne Zaman Kayıt Olunur?
|
Veri Sorumluları
|
Kayıt Yükümlülüğü Başlangıç Tarihi
|
Kayıt Yükümlülüğü Son Tarihi
|
- Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 100 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları
|
1.10.2018
|
31.12.2021
|
- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları
|
1.10.2018
|
31.12.2021
|
- Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 100 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları (Eczane, Diş Poliklinikleri, Doktorlar, Sağlık Kuruluşları, Rehabilitasyon ve Diyaliz Merkezleri, Psikologlar, Diyetisyenler vb)
|
1.01.2019
|
31.12.2021
|
- Kamu kurum ve kuruluşu veri sorumluları
|
1.04.2019
|
31.12.2021
|
Kişisel Verileri Koruma Kurulunun 22/12/2020 Tarihli ve 2020/966 sayılı İlke Kararı;
‘’…. 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (1) numaralı fıkrasında kişisel verilerin ancak bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hüküm altına alınmış ve (2) numaralı fıkrasında kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kuralına uygun olma b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulmasının zorunlu olduğu düzenleme altına alınmıştır.’’ Şeklinde ilke kararı almıştır.
Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. Maddesinde;
- Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.
- Kanunun 10 uncu maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.
- Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz.
- Yukarıdaki düzenlemeler gereği kişisel veri envanteri hazırlanmadan yapılan işlemler eksik ve hatalı olacaktır. Kurul’a herhangi bir şikâyet iletildiğinde ya da Kurul re’sen denetime geçtiğinde Veri Sorumlularından ‘’Kişisel Veri Envanteri’’ ni talep ederek edecektir. VERBİS sistemine işlenen veriler, hazırlanan aydınlatma ve açık rıza metinleri ile saklama ve imha politikasının kişisel veri envanteriniz ile uyumlu olup olmadığının tespitini yapacaktır.
- 6698 Sayılı Yasa, Veri Sorumluları Sicili Hakkında Yönetmelik ve Kişisel Verilerin Korunması Kurulunun aldığı ilke kararları doğrultusunda; VERBİS’e işlenen verilerin; -Doğru ve gerektiğinde güncel olma, -Belirli, açık ve meşru amaçlar için işlenme -İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine uygun olarak yapılmalıdır. Kişisel Veri Envanteri hazırlanmadan VERBİS ile ilgili yapılan işlemler hatalı ve eksik olacaktır.
GÜNCEL CEZAİ YAPTIRIMLAR
| Yükümlülük |
İlgili Kanun Hükmü |
" 2023 yılı içinde Yeniden Değerlendirme Oranı ile Belirlenen İdari Para Cezası tutarı (%58,46 )'' |
| Aydınlatma Yükümlülüğünün Yerine Getirilmemesi |
18/1/a, 10 |
47.303,00₺ - 946.308,00₺ |
| Veri Güvenliğine İlişkin Yükümlülüklerin Yerine Getirilmemesi |
18/1/b, 12 |
141.934,00₺ - 9.463.213,00₺ |
| Kurul Tarafından Verilen Kararların Yerine Getirilmemesi |
18/1/c, 15 |
263.557,00₺ - 9.463.213,00₺ |
| Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğüne Aykırı Hareket Edilmesi |
18/1/ç, 16 |
189.245,00₺ - 9.463.213,00₺ |
KVKK’nın 17. maddesinde kişisel verilere ilişkin suçlar bakımından TCK’nın 5237 Sayılı 135 ila 140. maddelerinin uygulanacağı hükmü yer almıştır. Bu cezalar 2021 Yılında güncellenmiştir.
|
| Verileri hukuka aykırı olarak kaydetmek- Bir yıldan üç yıla kadar hapis cezası. |
| Siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel verileri hukuka aykırı olarak kaydetmek -Bir yıldan üç yıla kadar hapis cezası yarı oranında artırılır. |
| Verileri, hukuka aykırı olarak bir başkasına vermek, yaymak veya ele geçirmek -İki yıldan dört yıla kadar hapis cezası. |
| Suçlar kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanmak suretiyle, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, işlenirse -Yukarıda verilecek cezalar yarı oranında artırılır. |
| Belirlediği sürelerin geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemesi- Bir yıldan iki yıla kadar hapis cezası. |
| Konusunun ceza muhakemesi kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması -Verilecek ceza bir kat artırılır. |
E-Mail : murat@populerdanismanlik.com
Telefon : +90 555 071 29 11