- KİŞİSEL VERİLERİN KORUNMASI MEVZUATINA UYUM İÇİN YAPILMASI GEREKENLER

HAKKINDA HUKUK BÜLTENİ-

07.06.2018

I. GENEL BİLGİLER

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kısaca “KVKK/Kanun”) 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Bu kapsamda Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu Kanun, kişisel veri işleyen tüm gerçek ve tüzel kişilere önemli yükümlülükler getirmektedir. Bu kapsamda, şirketinizin de anılan kanuna ve ikincil mevzuata uyum sağlaması önem taşımaktadır.

Kişisel veri, kimliği belirli ya da belirlenebilir nitelikteki gerçek bir kişiye ilişkin her türlü bilgidir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Örneğin, e-mail, adres, telefon bilgileri, doğum tarihi, hesap bilgileri, fotoğraflar, vergi veya TC kimlik numaraları kişisel veri örneği olarak sayılabilir.

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Örneğin, kişisel verilerin sadece bir Hard Disk’de, CD’de, Server’da depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir. Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.

Kanun’a göre kişisel verilerin işlenebilmesi için, ilgilinin açık rızası şarttır. Açık rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır. Açık rızanın özgür irade ile açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumu (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmamalıdır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “Şemsiye rızalar” hukuken geçersizdir.

Açık rıza olmaksızın, kişisel veriler üçüncü kişilere aktarılamaz.

Verisi işlenen ilgili kimsenin, kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, kişisel verilerin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme gibi hakları bulunmaktadır.

II. YAPILMASI GEREKENLER

Kişisel verilerin korunması mevzuatına uyum sağlanması için çok detaylı ve titiz bir çalışma yürütülmesi gereklidir. Bu kapsamda atılması gereken adımların bazıları şunlardır:

• Öncelikle “detaylı şirket incelemesi ve durum tespiti” yapılmalıdır. Detaylı inceleme ve durum tespiti aşamasında, öncelikle şirketlerin verinin giriş ve çıkış noktalarını belirlemesi gerekir. Kişisel Verileri Koruma Kurulu (Kısaca “Kurul”) düzenlemeleri uyarınca şirketlerin verilerin ne zaman ve kimlerden toplandığını, verinin ne şekilde kullanıldığını, depolandığını, devredildiğini ve imha edildiğini gösteren bir envanter oluşturması ve bunun güncel tutulması için gerekli altyapı çalışmasını yapmaları gerekmektedir. Bu çalışma için veri sorumluları, her bir iş sürecini belirleyip, organizasyonel yapılarını ve kimlerin kişisel verilere eşimi olduğunu tespit etmelidir. Bu değerlendirmenin sonucunda kişisel verileri işleyen, aktaran, saklayan ve imha eden iş ve teknik süreçlere dair eksiklikler ve bu eksiklikleri giderme yollarının belirlenmesi gerçekleştirilmelidir.
• “Uygulama” aşamasında ise, ilgili kişilerden kişisel verilerinin işlenmesine ilişkin rıza alınması amacıyla beyan metinleri ve bilgilendirme formları, ilgililerin başvurularını yapmaları için başvuru formları hazırlanmalıdır. Ayrıca çalışanlara gerekli şirket içi eğitimler verilmeli ve gerçek veya tüzel kişiler tarafından çalışanlar, müşteri ve iş ortakları ve veri işleyenlerle imzalanmış ve/veya imzalanacak sözleşmelere ilişkin gerekli tadil çalışmaları yapılmalıdır.
• Veri İşleme Politikası, veri sorumlusu şirket tarafından, hangi kişisel verilere kimler tarafından erişilebileceği veya hangi kullanımların yasak olduğunu belirleyen kurallar bütünüdür. Şirket tarafından hazırlanacak süreç ve politikalar, veri işleme faaliyetinin nasıl yürütüleceği konusunda bir kılavuz niteliğindedir.
• Veri Sorumluluları Sicili’ne kayıt yapılması da gerekmektedir. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Yani şirketin kendisi veri sorumlusudur. Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Şu an için bu Sicil işlemeye başlamamıştır. İşlemeye başlamasının ardından veri işleyen her şirketin sicile kaydı zorunludur.
• Kişisel verileri işlenen kişileri talep ve başvurularını cevaplandırmak için gerekli sistem kurulmalıdır. Kanun’a göre bu talepler en geç 30 gün içerisinde cevaplanmalıdır. Aksi halde ilgilinin, Kurul’a şikayet yolu açılacaktır.

III. YAPTIRIMLAR

KVKK m. 18’e göre,

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar

idari para cezası verilir.

Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

Kurul Kanun’u ihlal eden şirketlere hakkındaki şikayetleri incelemeye başlamış ve ilk cezaları vermiştir. Örneğin, bankacılık ve sigortacılık sektörleri başta olmak üzere banko, gişe, masa gibi bitişik hizmet alanlarında hizmet verilen durumlarda, kişisel verilerin başkalarınca duyulmaması için ve öğrenilmemesi için gerekli tedbirlerin alınması hususunda karar alınmıştır (bkz. http://www.resmigazete.gov.tr/eskiler/2018/01/20180125-13.pdf).

IV. SONUÇ

6698 sayılı Kanun ile birlikte kişisel verilerin korunması üzerine ciddiyetle eğilinmesi gereken, aksi halde büyük yaptırımlarla karşılaşılabilecek bir alan haline gelmiştir. Kurul da Kanun’u ihlal eden şirketlere hakkındaki şikayetleri incelemeye başlamış ve ilk cezaları vermiştir. Bu sebeple, ivedilikle Kanun’a uyum çalışmalarının başlatılması önem arz etmektedir.  

Forensis Hukuk olarak, aklınıza takılan her türlü soru ve sorun için uzman ekibimizle sizlere yardımcı olmaktan mutluluk duyacağız.

Saygılarımızla

Forensis Hukuk Bürosu

Not: Bültenimizde yer verilen açıklamalar, ilgili mevzuat çerçevesinde konuyu genel hatlarıyla ele alır tarzda hazırlanmıştır. Size özel detaylı bilgi için Büromuzla bağlantıya geçmenizi tavsiye ederiz.

Bültene PDF formatında erişmek için tıklayınız...