KİŞİSEL VERİLERİN KORUNMASI UYUM SÜRECİ

KİŞİSEL VERİLERİN KORUNMASI UYUM SÜRECİ

29677 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. KVKK, kişisel verilerin işlenmesinin kontrol altına alınmasını, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini ve uyacakları usul ve esasları belirlenmesini sağlamayı hedeflemiştir. KVKK’nın öngördüğü uyum süreci 7 Nisan 2018 tarihinde sona ermiştir. Buna göre; 7 Nisan 2018 tarihine kadar Kişisel Veri Envanteri, Kişisel Verilerin Korunması ve İşlenmesi Politikası, Aydınlatma Metni ve Açık Rıza Formları, Kişisel Verileri Saklama ve İmha Politikası ve Gizlilik Politikası dokümanlarının hazırlanması gerekmekteydi. Bu dokümanların hazırlanmamasının aşağıda bahsedileceği üzere yaptırımları bulunmaktadır. Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) ise uyum sürecinin son aşamasıdır.

1-  Kişisel Veri Envanteri

Kişisel Verileri Koruma Kurulu (“Kurul”) düzenlemeleri uyarınca şirketlerin verilerin ne zaman ve kimlerden toplandığını, verinin ne şekilde kullanıldığını, depolandığını, devredildiğini ve imha edildiğini gösteren bir envanteri oluşturması ve bunun güncel tutulması için gerekli altyapı çalışmasını yapmaları gerekmektedir. Veri güvenliğine ilişkin tedbirler Kurum tarafından rehber vasıtasıyla yayınlanmıştır. Bu doğrultuda veri güvenliği tedbirleri de envantere işlenmelidir.

2- Kişisel Verilerin Korunması ve İşlenmesi Politikası

Veri Koruma ve İşleme Politikası, veri sorumlusu şirket tarafından, hangi kişisel verilere kimler tarafından erişilebileceği veya hangi kullanımların yasak olduğunu belirleyen kurallar bütünüdür. Şirket tarafından hazırlanacak süreç ve politikalar, veri işleme faaliyetinin nasıl yürütüleceğini düzenler.

3- Aydınlatma Metni ve Açık Rıza Formları

Veri sorumlusu şirket tarafından, kişilerden kişisel verilerinin işlenmesine ilişkin rıza alınması amacıyla aydınlatma ve bilgilendirme formları hazırlanmalıdır. KVKK’ya göre kişisel verilerin işlenebilmesi için gerektiği hallerde, ilgilinin açık rızası şarttır. Açık rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, kendi özgür iradesiyle, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır. Ancak, dikkat edilmelidir ki açık rıza her zaman geri alınabilmektedir.

4- Saklama ve İmha Politikası

Veri sorumluları tarafından, kişisel verilerin ne kadar süre saklanacağı ve sürenin bitiminde imha işlemi uygulanacağına ilişkin belirleme yapılmalıdır. Veri sorumlularının KVKK çerçevesinde, kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme yükümlülüğü bulunmaktadır. Yasal olarak belirlenen bir sürenin mevcut olması durumunda bu süre belirtilir. Aksi takdirde kişisel veriler ihtiyaç duyulan saklama süresi kadar muhafaza edilmelidir.

5- Gizlilik Politikası

Gizlilik politikası, veri sorumlusunun ilgili kişinin verilerini aktarmayacağına dair vermiş olduğu bir veri taahhütnamesi niteliğindedir.

6- VERBİS

VERBİS sistemi; kişisel verileri işleyen gerçek veya tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir sistemdir.

VERBİS’e Son Kayıt Tarihleri
Veri Sorumluları Kayıt yükümlülüğü başlangıç tarihi Kayıt için verilen süre Kayıt için son tarih

 

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları 01.10.2018 15 ay 30.06.2020

 

 

 

7- Uyum Sürecine Uyulmaması Halinde Uygulanacak Cezai Hükümler

KVKK madde 17 uyarınca ihlalin niteliğine göre kişisel verilere ilişkin işlenen suçlar 5237 sayılı Türk Ceza Kanunu (“TCK”) çerçevesinde aşağıdaki şekilde değerlendirilecektir:

TCK madde 135 çerçevesinde kişisel verilerin hukuka aykırı olarak kaydedilmesi Bu hükmü ihlal eden kişiye, 1 yıldan 3 yıla kadar hapis cezası verilir.
TCK madde 136 çerçevesinde verileri hukuka aykırı olarak verme, yayma veya ele geçirme Bu hükmü ihlal eden kişiye, 2 yıldan 4 yıla kadar hapis cezası verilir.
TCK madde 138 çerçevesinde KVKK madde 7 hükmüne aykırı olarak; kanunların belirlediği sürelerin geçmiş olmasına karşın kişisel verileri sistem içinde yok etmekle, silmekle, anonim hale getirmekle yükümlü olanların görevlerini yerine getirmemesi Bu hükmü ihlal eden kişiye, 1 yıldan 2 yıla kadar hapis cezası verilir.

 

İdari para cezaları, KVKK’nın 18. Maddesinde kabahatler başlığı altında incelenmiştir. KVKK’da belirtilmiş olan idari para cezaları her yıl enflasyona bağlı olarak değişmektedir. Buna göre 2020 yılı için idari para cezaları aşağıdaki şekilde olacaktır:

  Alt Sınır Üst Sınır
KVKK madde 10 çerçevesinde aydınlatma yükümlülüğünü yerine getirmemek Kanun 2020* Kanun 2020*
5.000-TL 9.013-TL 100.000-TL 180.264-TL
KVKK madde 12 çerçevesinde veri güvenliğine ilişkin yükümlülüklerini yerine getirmemek Kanun 2020* Kanun 2020*
15.000-TL 27.040-TL 1.000.000-TL 1.802.641-TL
KVKK madde 15 çerçevesinde Kurul tarafından verilen kararları yerine getirme Kanun 2020* Kanun 2020*
25.000-TL 45.066-TL 1.000.000-TL 1.802.641-TL
KVKK madde 16 çerçevesinde VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket edenler Kanun 2020* Kanun 2020*
20.000-TL 36.053-TL 1.000.000-TL 1.802.641-TL

 

8- Sonuç

Veri sorumluları şirketler, kişisel verilerin korunması uyum süreci kapsamında; Kişisel Veri Envanteri, Kişisel Verilerin Korunması ve İşlenmesi Politikası, Aydınlatma Metni ve Açık Rıza Formları, Kişisel Verileri Saklama ve İmha Politikası ve Gizlilik Politikası dokümanlarını hazır etmesi gerekmektedir. Bu dokümantasyonların hazır edilmesi VERBİS’ kayıt sürecinden farklıdır. VERBİS’e kayıt tarihi 30.06.2020 tarihine kadar uzamış olmasına karşın bahsi geçen dokümanların tamamlanma tarihi geçmiş olduğundan ivedilikle hazır edilmesi gerekmektedir.