KİŞİSEL VERİLERİN KORUNMASI UYUM SÜRECİ
KİŞİSEL VERİLERİN KORUNMASI UYUM SÜRECİ
29677 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. KVKK, kişisel verilerin işlenmesinin kontrol altına alınmasını, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini ve uyacakları usul ve esasları belirlenmesini sağlamayı hedeflemiştir. KVKK’nın öngördüğü uyum süreci 7 Nisan 2018 tarihinde sona ermiştir. Buna göre; 7 Nisan 2018 tarihine kadar Kişisel Veri Envanteri, Kişisel Verilerin Korunması ve İşlenmesi Politikası, Aydınlatma Metni ve Açık Rıza Formları, Kişisel Verileri Saklama ve İmha Politikası ve Gizlilik Politikası dokümanlarının hazırlanması gerekmekteydi. Bu dokümanların hazırlanmamasının aşağıda bahsedileceği üzere yaptırımları bulunmaktadır. Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) ise uyum sürecinin son aşamasıdır.
1- Kişisel Veri Envanteri
Kişisel Verileri Koruma Kurulu (“Kurul”) düzenlemeleri uyarınca şirketlerin verilerin ne zaman ve kimlerden toplandığını, verinin ne şekilde kullanıldığını, depolandığını, devredildiğini ve imha edildiğini gösteren bir envanteri oluşturması ve bunun güncel tutulması için gerekli altyapı çalışmasını yapmaları gerekmektedir. Veri güvenliğine ilişkin tedbirler Kurum tarafından rehber vasıtasıyla yayınlanmıştır. Bu doğrultuda veri güvenliği tedbirleri de envantere işlenmelidir.
2- Kişisel Verilerin Korunması ve İşlenmesi Politikası
Veri Koruma ve İşleme Politikası, veri sorumlusu şirket tarafından, hangi kişisel verilere kimler tarafından erişilebileceği veya hangi kullanımların yasak olduğunu belirleyen kurallar bütünüdür. Şirket tarafından hazırlanacak süreç ve politikalar, veri işleme faaliyetinin nasıl yürütüleceğini düzenler.
3- Aydınlatma Metni ve Açık Rıza Formları
Veri sorumlusu şirket tarafından, kişilerden kişisel verilerinin işlenmesine ilişkin rıza alınması amacıyla aydınlatma ve bilgilendirme formları hazırlanmalıdır. KVKK’ya göre kişisel verilerin işlenebilmesi için gerektiği hallerde, ilgilinin açık rızası şarttır. Açık rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, kendi özgür iradesiyle, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır. Ancak, dikkat edilmelidir ki açık rıza her zaman geri alınabilmektedir.
4- Saklama ve İmha Politikası
Veri sorumluları tarafından, kişisel verilerin ne kadar süre saklanacağı ve sürenin bitiminde imha işlemi uygulanacağına ilişkin belirleme yapılmalıdır. Veri sorumlularının KVKK çerçevesinde, kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme yükümlülüğü bulunmaktadır. Yasal olarak belirlenen bir sürenin mevcut olması durumunda bu süre belirtilir. Aksi takdirde kişisel veriler ihtiyaç duyulan saklama süresi kadar muhafaza edilmelidir.
5- Gizlilik Politikası
Gizlilik politikası, veri sorumlusunun ilgili kişinin verilerini aktarmayacağına dair vermiş olduğu bir veri taahhütnamesi niteliğindedir.
6- VERBİS
VERBİS sistemi; kişisel verileri işleyen gerçek veya tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir sistemdir.
VERBİS’e Son Kayıt Tarihleri | |||
Veri Sorumluları | Kayıt yükümlülüğü başlangıç tarihi | Kayıt için verilen süre | Kayıt için son tarih
|
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları | 01.10.2018 | 15 ay | 30.06.2020 |
7- Uyum Sürecine Uyulmaması Halinde Uygulanacak Cezai Hükümler
KVKK madde 17 uyarınca ihlalin niteliğine göre kişisel verilere ilişkin işlenen suçlar 5237 sayılı Türk Ceza Kanunu (“TCK”) çerçevesinde aşağıdaki şekilde değerlendirilecektir:
TCK madde 135 çerçevesinde kişisel verilerin hukuka aykırı olarak kaydedilmesi | Bu hükmü ihlal eden kişiye, 1 yıldan 3 yıla kadar hapis cezası verilir. |
TCK madde 136 çerçevesinde verileri hukuka aykırı olarak verme, yayma veya ele geçirme | Bu hükmü ihlal eden kişiye, 2 yıldan 4 yıla kadar hapis cezası verilir. |
TCK madde 138 çerçevesinde KVKK madde 7 hükmüne aykırı olarak; kanunların belirlediği sürelerin geçmiş olmasına karşın kişisel verileri sistem içinde yok etmekle, silmekle, anonim hale getirmekle yükümlü olanların görevlerini yerine getirmemesi | Bu hükmü ihlal eden kişiye, 1 yıldan 2 yıla kadar hapis cezası verilir. |
İdari para cezaları, KVKK’nın 18. Maddesinde kabahatler başlığı altında incelenmiştir. KVKK’da belirtilmiş olan idari para cezaları her yıl enflasyona bağlı olarak değişmektedir. Buna göre 2020 yılı için idari para cezaları aşağıdaki şekilde olacaktır:
Alt Sınır | Üst Sınır | |||
KVKK madde 10 çerçevesinde aydınlatma yükümlülüğünü yerine getirmemek | Kanun | 2020* | Kanun | 2020* |
5.000-TL | 9.013-TL | 100.000-TL | 180.264-TL | |
KVKK madde 12 çerçevesinde veri güvenliğine ilişkin yükümlülüklerini yerine getirmemek | Kanun | 2020* | Kanun | 2020* |
15.000-TL | 27.040-TL | 1.000.000-TL | 1.802.641-TL | |
KVKK madde 15 çerçevesinde Kurul tarafından verilen kararları yerine getirme | Kanun | 2020* | Kanun | 2020* |
25.000-TL | 45.066-TL | 1.000.000-TL | 1.802.641-TL | |
KVKK madde 16 çerçevesinde VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket edenler | Kanun | 2020* | Kanun | 2020* |
20.000-TL | 36.053-TL | 1.000.000-TL | 1.802.641-TL |
8- Sonuç
Veri sorumluları şirketler, kişisel verilerin korunması uyum süreci kapsamında; Kişisel Veri Envanteri, Kişisel Verilerin Korunması ve İşlenmesi Politikası, Aydınlatma Metni ve Açık Rıza Formları, Kişisel Verileri Saklama ve İmha Politikası ve Gizlilik Politikası dokümanlarını hazır etmesi gerekmektedir. Bu dokümantasyonların hazır edilmesi VERBİS’ kayıt sürecinden farklıdır. VERBİS’e kayıt tarihi 30.06.2020 tarihine kadar uzamış olmasına karşın bahsi geçen dokümanların tamamlanma tarihi geçmiş olduğundan ivedilikle hazır edilmesi gerekmektedir.