KVKK

Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?

Uzun yıllardır tasarı halinde bekleyen ve 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşımaktadır.

Kanun’da belirtilen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek; üçüncü kişilere ve yurtdışına aktarılamayacaktır. Kanun’da ayrı ayrı maddelerde de belirtilmiş olan bu maddelere uyulmaması halinde, kurumlar idari para cezasına çarptırılabileceklerdir.

Kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

Kişisel Verilerin Korunması Kanunu; kişisel veriler, asıl sahipleri tarafından kurum ve kuruluşlara emanet edilen bilgiler olarak değerlendirildiğinde; veriyi işleyen kurumların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili “hesap verebilir” olması için zemin oluşturmakta, kuralları tanımlamaktadır. Kanun, kişisel veriyi işleyen kurumlar için önemli bir dönüşümü de beraberinde getirmektedir.

Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilmeli; bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinmeli, yok edilmeli veya anonim hâle getirilmelidir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak veri sahibinden alınmış rızalar, bir yıl içinde veri sahibi tarafından aksi belirtilmemesi hâlinde, bu Kanuna uygun kabul edilebilecektir.

Kurumları ilgilendiren temel soru ise: “Emanet aldığımız kişisel verilerle ilgili hesap verebilir olmak için neler yapmalıyız?” Bu sorunun cevabını verebilen kurumlar, Kişisel Verilerin Korunması Kanunu da uyumlu olacaklardır.

Kurum ve kuruluşların yukarıda belirtilen temel soruya cevap verebilmeleri:

  • Kişisel verilerin korunması ile ilgili kapsam ve hedefleri belirlemek
  • Kişisel veri politikası oluşturmak
  • Kişisel verilerin korunması ile ilgili sorumluluk ve hesap verebilirlik ilkelerini belirlemek
  • Kişisel veri koruma temsilcileri belirlemek
  • Kişisel verilerin kanuna uygun şekilde işlenmesini sağlayacak yapı için üst yönetim desteği ve kaynak sağlamak
  • Kişisel veri envanteri oluşturmak
  • Kişisel verilerle ilgili riskleri yönetmek
  • Kişisel veri toplama, işleme ve paylaşma yöntemlerini belirlemek
  • Kişisel verilerin güvenliğini sağlamak
  • Kişisel verilerle ilgili şikâyetlerin ele alınma yöntemlerini belirlemek

olarak özetleyebileceğimiz Veri Yönetimi çalışmalarının uygulanmasına bağlıdır.

VERBİS nedir? KVKK’ya göre veri sorumlusu kimdir?

Kişisel Verilerin Korunması Kanunu’na (KVKK) göre veri sorumlusu kimdir? Veri Sorumluları Sicili ne anlama geliyor? VERBİS nedir? Nasıl kayıt olunur? Veri Sorumlusu kimdir?

Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca Veri Sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu itibarla, tüzel kişiliği haiz şirketlerimiz Veri Sorumlusu olarak nitelendirilmektedir. Madde hükmü içerisinde yer alan gerçek kişiler ise avukatlar, danışmanlar veya doktorlar olarak değerlendirilmektedir. Veri Sorumlusu’nun yükümlülükleri nelerdir?

Veri Sorumluları’nın KVKK’nın 12. maddesinde yer alan İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Veri Sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirme yükümlülüğü ile aşağıdaki yükümlülükleri mevcuttur:

  • İlkelere uyum sağlama
  • İşleme şartlarına uyum sağlama
  • Aydınlatma yükümlülüğü
  • Silme/yok etme/anonimleştirme
  • Veri Sorumluları Sicili’ne kaydolma
  • Aktarım yasağı/yurtdışına aktarım yasağı
  • İlgilinin başvurusuna yanıt verme
  • Teknik ve idari tedbirler alma
  • Denetim yapma

Veri Sorumluları Sicili ne demektir?

KVKK’nın getirdiği yükümlülüklerden birisi de “Veri Sorumlusu” sıfatını haiz olup da Kişisel Verilerin Korunması Kurulu (Kurul) tarafından Sicil’e kayıttan müstesna kılınmamış bütün Veri Sorumluları tarafından bu Sicil’e kaydolunmasıdır.

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Veri Sorumluları’nın Sicil’e başvuruda ve Sicil’e ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini ifade etmektedir ve Kurul gözetiminde Kurul Başkan Yardımcısı ve hizmet birimlerinden oluşan Başkanlık tarafından kamuya açık bir şekilde olarak tutulan bir Sicil’dir.

Hangi Veri Sorumluları Sicil’e kayıttan istisna tutulmuştur?

KVKK’nın 28. maddesinde belirtilen hallerde ve 16. maddesine göre Kurul’ca getirilen istisnalar kapsamına giren Veri Sorumlularınca kişisel veri işlenmesi halinde kayıt zorunluluğu yoktur.

İstisna tutulan Veri Sorumluları kimlerdir?

  • Kurul’un 02/04/2018 tarihli ve 2018/32 sayılı kararı uyarınca herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
  • Noterler,
  • Dernekler kanununa göre kurulmuş dernekler, vakıflar kanununa göre kurulmuş vakıflar ve sendikalar ve toplu iş sözleşmesi kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanları ile sınırlı ve sadece kendi çalışanlarına, üyelerine mensuplarına bağışçılarına yönelik kişisel veri işleyenler,
  • Siyasi partiler,
  • Avukatlar,
  • Serbest muhasebeci ve yeminli mali müşavirler

VERBİS’e kaydolmaktan istisna tutulmuşlardır.

Veri Sorumluları Sicili’ne kayıt yükümlülüğe aykırılığın yaptırımı nedir?

KVKK’nın kabahatlar başlıklı 18. maddesine uyarınca VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı davrananlar hakkında Kurul tarafından 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmedilebilir.

Veri Sorumluları Sicili’ne kayıt yükümlülüğü ne zaman başlayacak?

Veri sorumlularının, Veri Sorumluları Siciline kayıt yükümlülüklerinin başlama tarihleri ve bu veri sorumlularına kayıt için verilen süreler Kişisel Verileri Koruma Kurulu’nun 2018/88 sayılı kararı kapsamında aşağıdaki şekilde açıklanmıştır:

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için son tarih 30.09.2019
  • Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için son tarih 30.09.2019
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için son tarih 31.03.2020
  • Kamu kurum ve kuruluşu veri sorumluları için son tarih 30.06.2020

VERBİS‘e hangi bilgiler kaydettirilecek?

  • Veri Sorumlusu, varsa Veri Sorumlusu Temsilcisi ve irtibat kişisinin adı, adresi ve alınmış olması halinde KEP adresi,
  • Kişisel verilerin hangi amaçlarla işlenebileceği,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • KVKK’da öngörülen ve Kurul tarafından belirlenen kriterlere göre kişisel veri güvenliğine ilişkin alınan tedbirler,
  • Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.

Veri Sorumluları Sicili’ne “Kişisel” veri kaydedilecek midir?

Veri Sorumluları Sicili’ne hiçbir şekilde kişisel veri kaydedilmeyecektir. Kaldı ki VERBİS kamuya açık bir Sicil’dir. VERBİS’e başlıklar halinde kategorik bazda hangi tür kişisel verilerin hangi amaçlarla işlendiği, ne kadar süreyle muhafaza edileceği ve kategorik bazda nerelere aktarılabileceği gibi bilgiler girilecektir. Bu nedenle, VERBİS kesinlikle kişisel veri içermeyecek ve dolayısıyla da kişisel verilerin kamuya ifşa edilmesi gibi bir durum da söz konusu olmayacaktır.

KVKK Kişisel Verileri Koruma Kurumu

KVKK VERBİS’e yasa uyarınca aşağıdaki bilgilerin kaydedilmesi gerekmektedir: (Kişisel veri işleme envanteri)

Veri Sorumluları’nın iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter olarak tanımlanmıştır.

Kurul tarafından yayınlanan teknik ve idari tedbirlere ilişkin rehber içerisinde Kişisel Veri İşleme Envanteri hazırlamak da alınacak idari tedbirler arasında sayılmıştır. Bu itibarla, envanterin hazırlanmaması KVKK’nın 12. maddesinde belirtilen veri güvenliğine ilişkin tedbirlerin yerine getirilmediği anlamına gelecek olup bu sebeple Kurul tarafından 15.000 Türk lirası ila 1.000.000 Türk lirası idari para cezasına hükmedilebilecektir.

İrtibat kişisi Veri Sorumlusu’nun Kişisel Veri İşleme Envanterine dayalı olarak kayıt işlemini başlatacaktır. İrtibat kişisi tarafından sisteme girilip kayıt işlemleri başlatıldığında sistem tek tek veri kategorileri üzerinden sorular sorarak kaydın yapılmasını sağlayacaktır. Her veri kategorisi için (kimlik, iletişim gibi veriler için teker teker) o veri kategorisinin işlenip işlenmediğinin beyan edilmesi gerekecektir. Bu bakımdan her veri kategorisi için ya işlemediğini beyan ederim ya da ilgili veri süreçlerim kapsamında işlenmektedir seçeneği işaretlenecektir. Sistemde mevcut olmayan veriler için de “diğer” seçeneği seçilerek kayıt gerçekleştirilecektir. Örneğin Veri Sorumlusu’nun faaliyeti gereği müşterinin ayakkabı numarası verisini işlemesi halinde ve sistemde ayakkabı numarası mevcut değilse ilgili veri için kayıt “diğer” seçeneği seçilerek yapılacaktır.

Bir sonraki aşamada ilk aşamada işlendiği belirtilen veri kategorileri için işleme amaçları ve ilgili kişi grupları seçilecektir. Kurul tarafından 50 amaç belirtilmiş olup bu amaçlardan birisi ya da yine “diğer” seçeneği kullanılarak Veri Sorumlusu adına irtibat kişisi tarafından belirtilecek amaçla sisteme kaydolmak mümkün olabilecektir. Daha sonra verisi işlenen veri konusu kişi grupları sekmesinde belirtilen işlenen verilerin kimlere ait olduğu bildirilecektir. Sonrasında ise bu veri kategorilerinin korunması açısından ne tür tedbirlerin alındığının tek tek belirtilmesi gerekecektir. Bir sonraki aşamada ise ilgili verinin yurtiçindeki bir üçünü kişiye aktarılıp aktarılmadığı ve aktarım yapılıyorsa aktarımın kime yapıldığı belirtilecektir. Bu kısımda aktarım yapılan kişinin adı açıkça yazılmayacak olup yalnızca “iş ortağı” gibi belirtilen kategorilerden birisinin seçilmesi yeterli olacaktır. Yine verilerin yurtdışına aktarılıp aktarılmadığına dair beyan da kaydın bir aşamasında yer alacaktır. Sonrasında kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi sisteme kaydedilecektir. Kayıt irtibat kişisince bu şekilde tamamlanıp Kurula gönderilecektir. Kurul’un onayı ile kayıt gerçekleşmiş olacaktır.

Sicil kayıtlarının güncel tutulması

Veri Sorumluları, VERBİS’e sunulan ve VERBİS’te yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Veri Sorumluları, Sicil’de kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kuruma bildirir. Veri Sorumluları, VERBİS’e sunulan ve VERBİS’te yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur.

KVKK