KİŞİSEL VERİLERİN KORUNMA KANUNU
1.Kişisel Verilerin Korunması Kanunu (KVK)
Hem özel sektör hem de kamu sektöründe, başta özel hayatın gizliliği olmak üzere, temel hak ve özgürlükleri korumak ve sadece şahısların kişisel verilerini işleyen, gerçek ve tüzel kişilerin, yükümlülüklerini düzenlemektir.
Kişisel Veri (Anonimleştirilmeyen);
- Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
- Adı soyadı, TC no, e-mail, sosyal hesapları, adres, telefon ile ilişkilendirilen alışveriş detayları, kamera görüntüsü, veya bir fotoğrafla eşleştirilmesi, giriş çıkış saatleri, iş başvuru formları, şikayet formları, elektronik veya kağıt ortamında tutulan her tür kişisel bilgi bu kapsamdadır.
Nitelikli Kişisel Veri(Açık Rıza Alınmayan);
- Öğrenildiğinde ilgili kişinin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikteki bilgilerdir.
- Irk, etnik köken, din, mezhep, tuttuğu takım, siyasi görüş, felsefi inanç, kılık kıyafet, üyelikler, sağlık, cinsel hayat, sabıka bilgisi, biyometrik, genetik veriler.
Veri Sorumlusu:
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan şirketlerimizdir.
Veri Temsilcisi:
Veri Sorumlusunun ilgili kanun maddeleri kapsamındaki görevlerini yerine getiren atanmış gerçek kişidir. Atanması kanunen zorunluluk içermemektedir.
Veri İşleyen:
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir.
Kurul:
7 üyeden oluşur. Kanunu icra eder.
Kurum (Sicil):
195 üyeden oluşur. Yönetmelikleri yayınlar. Şikayet ve denetlemeyi yapar. Kurum adına yaptırım kararı verir.
Bilgi teknolojilerinin gelişmesi ve yaygınlaşması ile birlikte topladığımız verilerin korunması ve anlamlandırılması büyük önem kazanmıştır.
Verinin toplanması ve anlamlandırılmasına esas olarak ülkemiz kanun ve yönetmelikleri yeniden düzenlenerek mevcut sistem üzerinde veri toplayan ve anlamlandıran her türlü kuruluş için uyumluluk süreci başlatılması gerekmektedir. Şimdi aşağıdaki sorulara göre sizde bir veri toplayan ve anlamlandıran bir kuruluş olabilirsiniz.
Aşağıdaki iki soruya “evet” cevabı veren şirketlerden ve/veya kişilerden iseniz Kanun kapsamına giriyor olacaksınız.
- Kurumunuz, kişisel verileri tamamen veya kısmen otomatik olan yollarla işliyor mu?
- Kurumunuz kişisel verileri herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işliyor mu?
Cevaplar EVET ise kurumunuzun kişisel verilerinin toplanması, işlenmesi ve saklanması hususunda ön bir teknik uyumluluk süreci mutlaktır.
2.CEZALAR
26.09.2004 tarihli 5237 sayılı Türk Ceza Kanunun 135 ila 140 ıncı madde hükümleri uygulanır.
Kişisel verileri silmeme veya anonim hale getirilmemesi durumunda Türk Ceza Kanununun 138. Maddesine göre cezalandırılır.
Kabahatlar;
Yerine getirilmemesi durumunda;
- Aydınlatma yükümlülüğünü 5.000 – 100.000 TL arası
- Veri güvenliği yükümlülüğünü 15.000 – 1.000.000 TL arası
- Kurul kararlarını 25.000 – 1.000.000 TL arası
- Sicile kayıt ve bildirim yükümlülüğünü 20.000 – 1.000.000 TL arası
Suç | Kişiler | Faile Özgü Ceza |
Kişisel verileri kaydetmek (TCK 135/1) | 1 yıl 3 yıl | 1,5 yıl 4,5 yıl |
Nitelikli kişisel verileri kaydetmek (TCK 135/2) | 1,5 yıl 4,5 yıl | 2 yıl 3 ay 6 yıl 9 ay |
Kişisel verileri başkasına vermek, yayma veya ele geçirmek (TCK 136/1) | 2 yıl 4 yıl | 3 yıl 6 yıl |
Verileri yok etmeme (TCK 138/1) | 1 yıl 2 yıl | 1 yıl 2 yıl |
Ceza Muhakemesi Kanununa göre silinmesi gerekenler (TCK 138/2) | 1,5 yıl 3 yıl | 1,5 yıl 3 yıl |
- NELER YAPILIR?
Kurumunda ülkemiz standartları ve yasaları dâhilinde mevcut sistemin legal bir şekilde kişisel verilerin toplanması, işlenmesi ve saklanması hususunda aşağıdaki başlıklar halinde uygun çalışmaların yapılması gerekmektedir. Söz konusu çalışmalar kapsamında yapılabilecek işlemler aşağıdaki gibidir.
- Aydınlatma yazısı yayınlanması
- Veri sorumlusu veya varsa temsilcisinin görev tanımı
- Proje Ekibi
- Birim müdürleri bilgilendirmesi ve envanter hazırlığının önemi
- Veri temsilcisi atanması (Yönetmeliklerin çıkmasına müteakip)
- Veri sorumlusu / temsilcisi kimlik bilgilerinin yayınlanması (kurul ve yönetmelik bekleniyor)
- Kişisel Veri Envanteri Hazırlanması ve kurula bildirilmesi
- Kişisel Veri Prosedürü: Güvenliğin sağlanması, nasıl silinir/yok edilir, taleplere nasıl cevap verilir, kurum yazışma takibi, paylaşma yöntemi, izinler
- Sözleşmelerde gizlilik metninin yeniden hazırlanması
- Açık rıza yöntemlerinin belirlenmesi
- Eski veriler için açık rıza alınması / anonimleştirilmesi / yok edilmesi
- Gerekiyor ise Aydınlatma yazısının revize edilerek yayınlanması (veri sorumlusunun veya temsilcisi kimliği, işleme amacı, süre, kimlere neden aktarılabileceği, veri toplamanın yöntem ve hukuki sebebi, veri sahibinin hakları)
- Şirket çalışanlarına genel bilgilendirme duyurusunun hazırlanması ve yapılması
- Çalışan İş akdinde KVK kanunu gereği açık rıza alınması yazısı hazırlanması ve imzalatılması, pano, portal gibi alanlardan güncel halinin sürekli duyurulması
- Güvenlik, Resepsiyon, Call Center gibi özel durumlu çalışanlardan imza / taahhüt alınması
- Bilgi Güvenliği Taahhüdün revizyonu
- Geri bildirim mailleri ve müşteri şikâyet formlarının açık rızaya göre revizyonu
- Maillerin altına otomatik yazı eklenmesi
- Denetim kurallarının yazılması ve denetlenmesi
Söz konusu çalışmalar için ortalama uyum süreci 3 ay civarında olup, belirlenecek ekip ile koordineli olarak yürütülmektedir.
MEVCUT DURUM ANALİZİ
- Toplanan kişisel verilerin tespiti
- Alınma amaçları, ihtiyaç süreleri ve veri gerekliliğinin tespiti
- Kurum dışına aktarılan/paylaşılan verilerin tespiti
- Veri güvenlik uygulamalarının tespiti
UYGUNLUK KONTROLLERİ
- Toplanan verilerin niteliklerinin kontrolü
- Toplanma amaçlarının uygunluğunun kontrolü
- Açık rıza ve bilgilendirme yapılarının kontrolleri
- Dışarı aktarılan/paylaşılan verilerin amaçları ve kanuni uygunluklarının kontrolü
- Güvenlik uygulamalarının yeterliliklerinin kontrolü
MEVCUT DURUM DENETİMİ
- Veri sorumluları siciline kayıt
- Kanuna uymayan verilerin uygun hale getirilmesi aksi durumda silinmesi ya da anonimleştirilmesi
- Verilerin, açık rıza ile alınmasının sağlanması ve onay bilgilerinin gelecekte sunulabilecek şekilde kaydedilmesinin sağlanması
- Dış paydaşlar ile gerekli güvenlik sözleşmelerinin imzalanması aksi durumda paylaşmanın sona erdirilmesi
- Tüm kullanıcılara gerekli eğitimlerin verilerek sorumluluklarının bildirilmesi
- Veri güvenliğinin sağlanmasına yönelik sistemsel ve fiziksel düzenlemelerin ve ihtiyaçların sağlanması
Yukarıdaki açıklamalar şirketlerin KVKK kapsamında uyum sürecinin başarılı bir şekilde yapılabilmesi için gerekli işlemlerin bir özeti anlamındadır. Bu kapsamda Kılıç Hukuk Bürosu, bilişim ortakları ile beraber hareket ederek söz konusu işlemlerde yardımcı olabilmektedir. Daha fazla bilgi için bir önceki makalemize ve Kişisel Verileri Koruma Kurumu web sitesine bakmanız faydalı olacaktır.