Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?
Kişisel verilerin korunması kanunu (KVKK) Türkiye’ de kişisel verilerin korunması için yayınlanmış regülasyonun yasal adıdır. Bu kanun aslında Avrupa Birliği’ ne uyum süreci için gerekli olduğu düşünülen kanunlardan birisidir.
KVKK olarak bilinen ve anılan bu yasa, 7 Nisan 2016 tarihinde 6698 sayılı kanun olarak resmi gazetede yayımlanarak yürürlüğe girdi. Kişisel veri gizliliğinin korunmasının yanında kanunun belirlediği usul ve esasların tüm kurum ve kuruluşlar için geçerli olması, gerekli uyumun sağlanmaması halinde yaptırımların olması KVKK’ yı ülkemizde önemli ve popüler konulardan biri haline getirdi.
Kanun’un amacı 1. maddesinde açıklandığı üzere kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.
Türkiye’ de kanunun etkilerini Hukuk, Bilgi Güvenliği, Organizasyon, Veri Yönetimi, Süreç Optimizasyonu gibi alanlarda görmekteyiz. Kanuna uyumluluğun sağlanması için bu alanlarda bir takım çalışmalar ve düzenlemeler yapılması gerekiyor. KVKK’ ya uyum için ayrıca yönetim kurulu başta olmak üzere tüm üst yönetimin sorumluluğu, sahiplenmesi ve sponsorluğu önem taşıyor.
Kanun Kapsamındaki Kişisel Veri Nedir?
KVKK, kişisel veri kavramını “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde ifade etmiştir. Kişilerin adı, soyadı, doğum tarihi, ikameti, telefon numarası, araç plakası, pasaport numarası, SGK numarası, ses ve görüntü kayıtları, özgeçmiş, e-posta adresi ve kişinin tercihleri gibi bilgiler kişisel veri sınıfına girmektedir.
Bununla birlikte kanunda kişisel verilerin ne olduğu sınırlandırılmamıştır. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Dolayısıyla kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar.
Özel Nitelikli Kişisel Veri Nedir?
KVKK, kişisel veri kavramını “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde ifade etmiştir. Kişilerin adı, soyadı, doğum tarihi, ikameti, telefon numarası, araç plakası, pasaport numarası, SGK numarası, ses ve görüntü kayıtları, özgeçmiş, e-posta adresi ve kişinin tercihleri gibi bilgiler kişisel veri sınıfına girmektedir.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, kişi hakkında alınan güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Kıyas yoluyla genişletilmesi mümkün değildir.
KVKK ile Şirketlere Getirilen Yükümlülükler Nelerdir?
Kanun’da veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Veri sorumlusunun yanında bir de veri işleyen bulunmaktadır. Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri sorumlusu ve veri işleyen, Kanun’un getirdiği yükümlülüklere aykırı davranışlardan birlikte sorumlu olacaklardır.
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Kişisel Verileri Koruma Kurulunun gözetiminde tutulan Veri Sorumluları Siciline kaydolmak zorundadır. Nesnel sicile kayıt kriterlerini belirleme yetkisi Kurul’a aittir. Sicile yapılacak kayıt esnasında Kanun’un 16. maddesi uyarınca hangi kişisel verilerin işleneceğinin de bildirilmesi gerekmektedir.
Kanun, genel kural olarak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğini belirtmektedir. Açık rızanın aranmadığı istisna haller ise sınırlı şekilde sayılmak suretiyle belirlenmiştir. Dolayısıyla veri sorumlusu, Kanun’da aranan şartları sağlama yükümlülüğü altındadır.
Kanun, kişisel verilerin işlenmesinde aşağıda sayılan ilkelere uyulmasını zorunlu kılmıştır:
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işlenme
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
İşlenen kişisel verilerin, kanuni olmayan yollarla başkaları tarafından elde edilmesi hallerinde veri sorumlusu ayrıca bu durumu en kısa sürede ilgili kişiye ve Kurula bildirmekle yükümlüdür.
Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişilere;
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- Kanunda sayılan diğer haklarını
bildirmekle yükümlüdür. Aydınlatma yükümlüğünün yerine getirildiğinin ispat edilebilir durumda olması uygulama açısından büyük önem arz etmektedir.
Kanun uyarınca veri sorumlusu, kendi kurum veya kuruluşunda Kanun’a uygun hareket edilmesini sağlamak amacıyla gerekli denetimleri yapmakla veya yaptırmakla yükümlüdür.
Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.
Veri sorumluları, kanuna uyumlu olmak sürecinde işledikleri verilerin güvenliğini sağlamak zorundadır. KVK Kurumu, alınacak teknik tedbirleri siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı ve kişisel verilerin yedeklenmesi başlıkları altında toplayarak bir teknik rehber yayınlamıştır.
Veri sorumlusu, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kendiliğinden veya ilgili kişinin talebi üzerine verileri silmekle, yok etmekle veya anonimleştirmekle yükümlüdür. Bunun daha sonraki olası sorgulamalara istinaden ispat edilebilir durumda olması gerekmektedir.
Kişisel verileri işlenen kişi, Kanun uygulamasıyla ilgili taleplerini veri sorumlusuna iletebilecektir. Veri sorumlusu, ilgili talebi niteliğine göre en geç 30 gün içerisinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Ancak, işlem ayrıca bir maliyet gerektiriyorsa Kurul’un belirleyeceği bir tarifeye göre ücret istenebilecektir.
KVKK ihlali Durumunda Kanuni Yaptırımlar ve Cezalar
Kişisel verilerin korunması ile ilgili ihmal ve ihlaller işletmelere ağır hukuki ve cezai sorumluluklar yükler. Benzer şekilde GDPR ile ilgili uyum sorunlarında şirketin bir önceki yıla ait küresel cirosunun %4’ü veya 20.000.000 Euro’ya kadar yüksek para cezalarının uygulanması söz konusudur. Kanun, ihlal halinde uygulanacak yaptırımları “Suçlar” ve “Kabahatler” olarak iki başlık altında toplamıştır.
Kabahatler (2020 Güncel)
KVKK kanununda belirtilen ihlal durumlarında uygulanacak idari para cezaları, kanunun 18. maddesinde belirtilmiştir.
27.040 Türk Lirasından 1.802.641 Türk Lirası’ na kadar para cezası verilir.
9.013 Türk Lirasından 180.264 Türk Lirası’ na kadar para cezası verilir.
45.066 Türk Lirasından 1.802.641 Türk Lirası’ na kadar para cezası verilir.
36.053 Türk Lirasından 1.802.641 Türk Lirası’ na kadar para cezası verilir.
Yaptırımlar (2020 Güncel)
KVKK Kanunu 17. maddesinde Türk Ceza Kanunu’nun maddelerine atıfta bulunarak suç teşkil eden durumları ve cezaları belirtmiştir.
Hukuka aykırı olarak kişisel verileri kaydeden kişiye 1 yıldan 3 yıla kadar hapis cezası verilir. Özel nitelikli kişisel veri ise ceza yarı oranda artırılır
Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.
Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verilir.
Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
Süreklilik
Kişisel Verilerin Korunması Kanunu gerekliliklerini sağlamak, uyum sürecini bir kereye mahsus geçireceğiniz denetim ve bu kapsamda alacağınız danışmanlık ve VERBİS kaydınızı tamamlamak olarak anlaşılmamalıdır. Bu şekilde yasal yükümlülüklerinizin bir kısmını yerine getirseniz de Kanuna uyumun devamlılığının sağlanması ve beyan edilen bilgilerin güncel olması gerekmektedir.
KVKK, 2016’da hayatımıza girmiş ve halen güncellemelerle süreçlerimize yeni uygulamaları adapte etmemizi gerektiren bir kanundur. Bu kanunun direktiflerinden biri, tüm faaliyetlerimizin her zaman KVKK hükümlerine uygun sürdürülmesi, VERBİS‘teki kaydımızın, Kişisel Veri Envanterimizin ve uyum sürecinde hazırlanan diğer dokümanların her zaman güncel tutulduğundan emin olmamızdır. Ayrıca sürdürülebilirliğin sağlandığından emin olunması için periyodik olarak denetimlerin yapılması gerektiği KVKK’da yer alan bir başka husustur.
Bu noktada Carnatech’ in sunduğu denetim, danışmanlık ve sürdürebilirlik hizmeti, süreçlerinizin yasalarla uyumlu olup olmadığını; uyum süreci tamamlandıktan sonra ise devamlılığın sağlanıp sağlanmadığını kontrol ederek sizi karşı karşıya kalabileceğiniz idari ve hukuki yaptırımlardan koruma garantisi sağlar.
Kişisel verilerin korunması ile ilgili yasal düzenlemelere ve KVK Kurul’u tarafından yayımlanan güncel kararlara kvkk mevzuatları sayfamızdan ulaşabilirsiniz. Ayrıca Carnatech olarak, uyum sürecinizde size sağlayabileceğimiz danışmanlığa dair detayları ve uyum sürecinin tamamlanmasının ardından müşterilerimize sunduğumuz sürdürebilirlik hizmetlerinin kapsamını incelemek için danışmanlık hizmetleri sayfamızı ziyaret edebilirsiniz.