KVKK Nedir? Şirketlerin Yükümlülükleri Nelerdir?

Kişisel verilerin korunması, veri işleme faaliyetlerinin önceden belirlenen kurallar gözetilerek yapılması ve kişinin temel hak ve özgürlüklerinin zarar görmemesi için bir disiplin sağlanmasıdır. Bu noktada vurgulanması gereken şudur: Veriyi korumak, verinin kullanılmasının yasaklanması değil; verinin kim tarafından hangi amaca yönelik olarak ve nasıl kullanacağının kararını, verinin sahibinin vermesini sağlamak ve veri sahibinin bu konuda bilgi talep etme hakkını daimi kılmaktır.

  1. Kişisel Verilerin Korunması Kanunu’na göre kişisel veri;
    Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Avrupa Birliği Kişisel Verileri Koruma Tüzüğü de 2016 yılında General Data Protection Regulation (GDPR) yani Genel Veri Koruma Kanunu (GVKK) Türkiye ile aynı tarihlerde yürürlüğe girmiştir. Kişisel verilerin tanımlanması, ifade edilmesi ülkeye göre değişmekle birlikte tanımın içeriğinde büyük farklılıklar yoktur. Örneğin Almanya Verilerin Korunması Kanunu’nda kişisel veri şöyle tanımlanmıştır: Belirli ya da belirlenebilen bir gerçek kişinin kişisel ya da maddi ilişkilerine ait münferit veriler. Kişisel verileri alan ve işleyenler kanunda veri sorumlusu olarak tanımlanmıştır.
  2. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade etmektedir.

Kişisel Verilerin Korunması Kanununun Amacı Nedir?

Bilgi teknolojilerinin büyük bir hızla geliştiği ve resmi işlemlerin de çoğunlukla elektronik ortamda yapıldığı çağımızda, kişisel verilerin işlenmesinin pek çok avantajı vardır. Örneğin bilgilerinizi verdiğiniz bir kurumdan kampanya ve indirim günlerinde haber alabilirsiniz. Ancak bilgilerinizin kötüye kullanılması olasılığı da vardır. Kanunun amacı bu olasılığı ortadan kaldırmaktır. KVKK’nda amaç, verilerin belli bir rejimde işlenmesini sağlamak ve veri işleme faaliyetlerinin şeffaflık ilkesi benimsenerek yapılmasıdır. Bu sayede veri sahibinin verileri üzerinde söz sahibi olmasını sağlanır. Ülkemizde kişisel verilerin korunmasına yönelik çalışmaları ve uygulamaları takip etmek üzere özerk bir kurum olan Kişisel Verileri Koruma Kurumu kurulmuştur. KVKK olarak ifade edilen kurumun misyonu: Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak. KVKK’nın misyonu: Kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak olarak tanımlanmıştır.

Kişisel Veri ve Türleri Nelerdir?

Tüzel kişiler ile vefat eden hakkındaki kişisel verilerin korunması KVKK kapsamı dışındadır. Benzer bir açıklamaya GDPR giriş 27. maddede yer verilmiştir. Ancak, GDPR vefat eden kişiler hakkındaki kişisel verilerinin koruma kapsamına alma konusunda üye ülkeler serbest bırakmıştır. Bununla birlikte, ölene ilişkin ölmeden önce işlenen verilerinde diğer aile üyelerini uzaktan ilgilendirse dahi bu kişisel verilerin mirasçıları tarafından imhasını talep hakkı tanınması isabetli olurdu. Zira, kişisel verilerin korunması konusunun, üst norm olarak kaynağı (AY m. 20, f. I) olarak özel hayatın gizliliğini koruyan hükümlerdir. Bu itibarla kişisel veriler şahıs varlığı hakkının özel bir görünümüdür.

İlginizi çekebilir:  Kambiyo Senetlerine Özgü Takip Nasıl Yapılır?

Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak ifade edilebilir (KVKK m. 3, f. I-d). Bu kanuni tanımdan hareketle kişisel veri, belirli veya belirlenebilir olmak kaydıyla bir gerçek kişiye ait bütün bilgiler olarak tanımlanabilir.

Özel Kişisel Veri Nedir?

Özel kişisel veri, özel nitelikte kişisel veri ve hassas veri olarak da anılmaktadır. Türk hukukunda, kanun koyucu tarafından, “özel kişisel veri” olarak kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler tahdidi olarak sayılmıştır. Buna göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler özel nitelikli kişisel veridir (KVKK m. 6, f. I)

Kişisel Verilerin İşlenmesi Kavramı Nedir?

“Kişisel verilerin tamamen veya kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” şeklinde tanımlanmıştır (KVKK m. 3, f. I-e).” Bu tanım kapsamında bir gerçek kişiye ait verinin, internete veya elektronik kapalı bir sisteme bağlı bir bilgisayara yüklenmesiyle birlikte iletime, saklama veya imha edilmeye dair her işlemin, kişisel verinin işlenmesi olduğu rahatlıkla söylenebilir. Bu tanımlar esas alındığında işlemenin bir ortama kayıt edilmesinden sonra silme ve imha işlemi de dahil her türlü değişikliğe uğratma ile aleni hale getirilmesi verilerin işlenmesi olarak kabul edilebilir. Özetle, kişisel verinin işlenmesi, verinin kaydedilmesiyle başlayan geri döndürülmeyecek şekilde silinmesi ve imha edilmesine kadar olan bir süreç olarak tanımlanabilir.

Kişisel Verilerin İşlenmesinde Esas Olan İlkeler Nelerdir?

Kişisel verilerin toplanması ve işlenmesiyle ilgili genel ilkeler KVKK m. 4’te 95 sayılmıştır. Bunlar hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve öngörülen ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilme olarak sayılmıştır. Kişiliğin korunması kapsamında kişisel verilerin korunması KVKK’da düzenlenen bu genel ilkeler çerçevesinde yorumlanacaktır. KVKK’nın yürürlüğe girmesinden önce işlenmiş veriler için aydınlatma yükümlülüğü adresine tebligat adresine posta, veri sahibi adına kayıtlı cep telefonu numarasına yazılı veya sesli mesaj, e-posta adresine veya kayıtlı e-posta adreslerine katmanlı bilgilendirme yapılarak yerine getirilebilir. Bu iletişim kanallarından ulaşılmayan veri sahiplerine ise gerçek veya tüzel kişinin resmi internet sitesinden aydınlatma metni yayımlanarak bu sorumluluk yerine getirilmiş sayılır.

İlginizi çekebilir:  Sigorta Primleri Eksik Yatırılan İşçinin Hak Kayıpları

Kişisel Verilerin İşlenmesine Rıza Gösterilmesi Ne Demektir?

Kişisel verilerin işlenmesinde esas olan işlemenin hukuk uygun olmasıdır. Açık rızanın veriler işlenmeye başlanmadan önce alınması gerekir. Ancak, verinin işlenmesi “açık rıza” veya bunun dışında kanunlarda işlemenin açık bir şekilde izin verildiği hukuka uygunluk sebeplerinden birisi kapsamında işlenmesi halinde veri işleme hukuka uygun hale gelir. Kişisel verinin ilgili kişinin bizzat kendisi tarafından alenileştirilmesi halinde rızaya ihtiyaç duyulmaması gerekir (KVKK m. 5, f. II-d).

Kişisel Verileri Koruma Kurumu Nedir?

Kurumun görevlerinden biri alanı itibariyle uygulama ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmaktır. Bununla birlikte Kurum, kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri, üniversiteler ve uluslararası kuruluşlar ile işbirliği yapmakla görevlendirilmiştir. Ayrıca diğer kanunlarla verilecek diğer görevleri yapmak yanında faaliyet raporunu Başbakanlığa sunmakla görevlidir (KVKK m. 20).

Hassas Kişisel Veri Nedir?

Hassas veri türleri bazen kolayca örneklendirilebilir: Bir işverenin çalışanlarının sendika üyeliği kaydı; Bir uçak yolcusunun dini inancına uygun yemek tercihini gösteren bilgi; Belirli bir kişi için tekerlekli sandalye erişiminin gerekli olduğunu belirten otel rezervasyon bilgisi; Bir çalışanın apandisit ameliyatı için hastanede olduğunu gösteren kayıt; Bir müşterinin striptiz kulüplerine gitmeyi sevdiğini açıklayan piyasa bilgisi; Bir kişinin uyuşturucu madde bağımlısı olduğunu gösteren hastane kayıtları; Bir kişinin kara para aklama suçunu işlediğini gösteren bilgi.

Kişisel Verilerin Korunmasına İlişkin Bir Yaptırım Mevcut Mu?

Kişisel verilerin korunmasına yönelik kanuna uygun sistem kurmayan kurumların ilgililerini yasa kapsamında kabahatler için 5.000 ile 1.400.000 TL arasında idari cezası, kapatma kararı ve suçlar için 1 yıldan 4,5 yıla kadar hapis cezası tehlikesi beklemektedir. Kurumlarımızın özellikle Avrupa Birliği kişisel verileri koruma mevzuatı olan GDPR’ye dikkat etmeleri gerekmektedir. Aday ülke olarak bu kanunları takip ediyor ve mevzuatımızı güncelleşiyoruz. Türkiye’deki bir kurumun GDPR kapsamına girmesi son derece kolaydır. Bir AB vatandaşının kişisel verisini ihlal eden, ifşa eden ya da AB vatandaşının kişisel verisini yetkisiz erişime uğratan her kurum GDPR kapsamındaki cezalarla muhatap olacaktır. GDPR cezaları ülkemize göre çok daha ağırdır, olayın büyüklüğüne göre 10.000.000 Euro ve 20.000.000 Euro veya küresel cironun %2’si ile %4’üne varan yüksek para cezaları bulunmaktadır. Genel bilgi güvenliği önlemlerini almadan kişisel verileri tam anlamıyla önlemek mümkün değildir. İşte bu nedenle tüzel kişilerin ISO 27001 bilgi güvenliği yönetim sistemi, ITIL, COBIT gibi sistemleri takip etmeleri önerilmektedir. Veri güvenliği sadece siber güvenlik önlemleri alarak da gerçekleştirilemez, matbu ortamlardaki, kişilerdeki veriler de bu eko sistemin içindedir. Kurumlarımızdaki en büyük kafa karışıklığı kişisel verilerin ne olduğunun yeterince kavranamamasıdır. Örneğin her kurumda KVKK kapsamına giren kişisel veriler şunlardır: Çalışanlara ait veriler; müşterilere ait kişisel veriler, ziyaretçilere ait kişisel veriler; tedarikçi ve paydaşlara ait kişisel veriler; çalışan adaylarına ait kişisel veriler tüm kurumlarımızı doğrudan ilgilendiren kişisel veri grupları. Kurumlar KVKK ile ilgili bir yönetim sistemi kurmak zorundadır. Her kurum KVKK ile ilgili eğitim vermeli, organizasyon yapısını oluşturmalı, kurumlarda kişisel verilerin korunmasına dair idari ve teknik tedbirleri almalıdırlar. Kişisel verilerin korunmasına yönelik olarak geliştirilen politika, prosedür, talimat ve formlar da KVKK ile ilgili bir dokümantasyonun oluşturulmasını bir doküman yönetimi sistemini de beraberinde getirmektedir. Çünkü birçok karar, tebliğ veya yasa değişikliğinde hazırlanan dokümanların revize edilmesi gerekmektedir.
Son olarak şunu belirtmek gerekir ki 50’den çok çalışanı olanlar veya bilançosu 25 milyonun üzerinde olanlar, ya da her iki şarttan birini taşıyan şirketler 2019 yılının sonuna kadar KVKK ile ilgili sistemi kurup, yasaya uyum sağlayarak, Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt olmaları yasal zorunluluktur. Örneğin KHK ile düzenlenen taşeron yasası sonrasında belediye şirketlerinin çoğu bu kapsama girmektedir. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenleri 20.000 Türk lirasından 1.400.000 Türk lirasına kadar idari para cezalar bekliyor. Kimse yasadan muaf değildir. Geçici muafiyet VERBİS kaydına ilişkin süre ile ilgilidir.

İlginizi çekebilir:  Meslek Hastalığı Nedir? Şartları Nelerdir? İşçinin Hakları Nelerdir?

Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır?

KVKK Kanunu, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Yani kişiler verilerin bir kısmını veya tamamını işleyen herkesi bu kanun kapsamaktadır. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes bu Kanun kapsamına alınmaktadır. Ancak Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur. Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Diğer bir yandan, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.

[Toplam:0    Ortalama:0/5]