KVKK ile ilgili bilinmesi gerekenleri işlediğimiz bu yazımızda kişisel veri nedir, KVKK kimleri kapsamaktadır, veri sorumlusu kimdir, kanunun kapsamı ve amacı nedir gibi soruları sizler için cevapladık:
KVKK, kişisel verilerin korunması kanunu demektir. Bilgi teknolojilerinin yaygın kullanımı ile birlikte oluşabilecek güvenlik risklerine karşı önlem alma ihtiyacı doğmuştur. Bilgi güvenliğini sağlamaya yönelik yürürlüğe giren KVKK, kişisel verilerin kim tarafından ve hangi amaçla toplayabileceği, nasıl saklayacağı ve nasıl imha edeceği ile ilgili düzenlemeleri içermektedir.
İçindekiler
Kişilerin temel hak ve özgürlüklerini koruma, kişisel verileri işleyen veri sorumlularının yükümlülüklerini düzenleme amacını taşımaktadır.
6698 Sayılı Kişisel Verilerin Korunması Kanunu(KVKK) 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiş, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek yasalaşmış ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
Kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişileri kapsar. Kamu kurumları ve özel sektörler de dâhil olmak üzere hak ehliyeti bulunan tüm vatandaşlar kanun kapsamındadır.
Bunu sayma yoluyla örneklendirecek olursak; aşağıdaki tüm kurumlar veri sorumlusu ve veri işleyen olarak kanun kapsamındadır:
Kısacası tüm kurum ve kuruluşlar KVKK kapsamında değerlendirilmekte ve cezai sorumlulukları bulunmaktadır.
Milli güvenlik, özel hayatın gizliliği ve kişilik haklarını ihlal etmemek koşulu ile kanun kapsamı dışında kalan istisnalar bulunmaktadır:
Gerçek kişilere ilişkin olan her türlü bilgi kişisel veri olarak kabul edilmektedir. Kişisel veri yalnızca ad, soyad, TC kimlik numarası gibi kişinin kimlik bilgileri olarak anlaşılmamalıdır. Telefon numarası, araç plakası, hobileri, sağlık bilgileri gibi kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılan her türlü bilgi kişisel veridir ve bu verilerin elde edilmesi, tutulması ve bu bilgi ile neler yapılabileceği gibi tüm eylemler kanun kapsamında düzenlenmiştir.
Bir bilginin kişisel veri olabilmesi için gerçek kişi ile ilişkili olması gerekmektedir. Tüzel kişi olan bir firmanın ticaret unvanı, adresi gibi bilgiler KVKK kapsamında kişisel veri olarak değerlendirilmemektedir. Ancak firma personelinin adres bilgisi; ilgili kişi gerçek kişi olduğu için kişisel veridir
Özel nitelikli kişisel veri, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Örneğin dini inanç, siyasi görüş, cinsel görüş gibi konularla alakalı bilgiler başkaları tarafından kötüye kullanılabilecek ve kişinin mağduriyetine sebebiyet verebilecek bilgilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.
6698 sayılı
Kişisel Verilerin Korunması
Hakkındaki Kanunda özel nitelikli kişisel veriler tek tek belirlenmiştir. Kanunda belirlenmiş olan özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.
Kişisel verinin elde edilmesi, değiştirilmesi, saklanması, aktarılması, güvenliğinin sağlanması gibi tüm eylemler kişisel verilerin işlenmesi sürecinin parçasıdır. Bir kişisel veriyi bir hard diske kaydetmek, kopyalamak, saklamak ya da bir özgeçmişi dosyalamak kişisel verilerin işlenmesine verilebilecek örneklerdir.
Verinin yönetilmesinde sorumlu olan kişidir. Veri sorumlusu kişisel verilerin ne amaçla işleneceği, veri işleme faaliyetlerinin nasıl sürdürüleceği konusunda yetkilidir. Veri sorumlusu veri işleme süreçlerini yönetirken kanunun gerektirdiği tüm koşul ve esaslara uymakla yükümlüdür. Aynı zamanda veri işleyen kişilerin eylemlerinden de kanunen sorumludur.
Veri sorumlusunun veriyi işleme konusunda yetkilendirdiği kişidir. Bazı durumlarda veri sorumlusu aynı zamanda veri işleyen de olabilmektedir.
KVKK kapsamında alınması gereken tedbirler; teknik tedbirler ve idari tedbirler olarak iki türdür.
Ağ güvenliği, şifreleme, sızma testleri, güvenlik duvarları, erişim logları teknik tedbirlerden bazılarıdır. Kurumsal politikalar, gizlilik sözleşmeleri, iş sözleşmeleri, kurum içi denetimler, risk analizleri de idari tedbirlere örnek olarak verilebilir.
KVKK kapsamında tedbirlerin doğru şekilde alınabilmesi için KVKK uyum sürecinde konusunda uzman kişi ya da kurumlarla çalışılması önerilmektedir.
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) veri sorumlularının kayıt olduğu ve veri işleme faaliyetleri ile ilgili bilgilerin beyan edildiği bir kayıt sistemidir. Kurum, kuruluş ve firmalar veri sorumlusudur.
Kişisel Verilerin Korunması Kanunu uyarınca, yukarıda belirtilen veri sorumlularının, veri işlemeye başlamadan önce sicile kaydolması gerekmektedir. Aksi durumda KVKK yükümlülükleri yerine getirilmemesi nedeniyle ağır cezalar uygulanmaktadır.
Kişisel Verileri Koruma Kurul’un 23 Haziran 2020 tarihli yayınladığı 2020/482 sayılı kararı uyarınca VERBİS’e kayıt süreleri aşağıdaki şekildedir.
| Veri Sorumluları | Güncel Son Tarih |
|
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları
|
30.09.2020 |
|
Yurtdışında yerleşik veri sorumluları
|
30.09.2020 |
|
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları
|
31.03.2021 |
|
Kamu kurum ve kuruluşu veri sorumluları
|
31.03.2021 |
Kişisel verileri koruma kanununun yürürlüğe girmesi ile birlikte tüm veri sorumlularının yükümlülükleri yerine getirmesi gerekmektedir. Yükümlülüklerin yerine getirilmemesi halinde idari para cezaları ve bazı durumlarda hapis cezaları söz konusudur.
| KABAHATLER | CEZA MİKTARLARI |
| Veri güvenliğiniihlaletmehalinde | 29.503 – 1.966.856-TL |
| Aydınlatmayükümlülüğüneaykırılıkhalinde | 9.834 – 196.686-TL |
| Kurul tarafından verilenkararıyerinegetirmeme | 49.171 – 1.966.856-TL |
|
Veri sorumlularısicilinekayıt ve bildirim
yükümlülüğüneaykırılıkhalinde |
39.337 – 1.966.856-TL |
Kişisel verilerin hukuka aykırı olacak şekilde kaydetmek, kişisel verileri hukuka aykırı olacak şekilde yaymak ya da ele geçirmek, kişisel verileri süresi bitmesine ve ilgili kişinin talep etmesine rağmen imha etmemek gibi eylemlerde de hapis cezaları söz konusu olabilmektedir.