Kişisel Verileri Koruma Mevzuatı

Bilgi, modern yaşamın en önemli değerlerinden biridir. Her gün, Devlet Kurumları ve Özel Kuruluşlar, bireyler hakkında önemli miktarda veriyi toplamakta, saklamakta, işlemekte ve nakletmektedirler. Teknolojinin gelişmesi ile birlikte, kişilerin bilgilerinin kontrolünün kaybedilmesi ve kendilerine karşı kullanılması gibi tehlikeli durumlar, sıkça rastlanır hale gelmiştir.

Kişisel verilerin korunması, bireylerin verilerinin başka kişi veya kuruluşlar tarafından yetkisiz kullanımına karşı sahip oldukları bir haktır. Dünyada 1953 yılından itibaren, bireylerin kişisel verilerinin korunmasına ilişkin birçok düzenleme yapılmış ve yapılmaktadır. Ülkemizde ise Kişisel Verilerin Korunmasına yönelik ilk adımlar, 2004 yılında Türk Ceza Kanunu’na ve 2010 yılında Anayasa’ya eklenen maddelerle atılmıştır. Kişisel verilere ilişkin asıl düzenleme, 2016 yılında Resmi Gazetede yayımlanarak yürürlüğe giren 6098 sayılı Kişisel Verileri Koruma Kanunu (KVKK) ile yapılmıştır.

6098 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) kabulü ile ülkemizde de yeni bir döneme girilmiş olup, anılan Kanun vatandaşları, veri sorumlusu olarak tanımladığı gerçek ve tüzel kişilere karşı birtakım haklarla donatırken, veri sorumlularına da birtakım yükümlülükler getirmiştir.

Kişisel verilerin Kanuna uygun olarak işlenmesi ve veri sorumlularının yükümlülüklerinin denetlenmesi ise Kişisel Verileri Koruma Kurumu tarafından yerine getirilmektedir.

Ülkemizde KVKK’nun yürürlüğe girmesinden iki yıl sonra, 2018 yılında, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) çıkartılmıştır. KVKK’dan daha geniş bir çerçeveye sahip olan GDPR karşısında KVKK’da henüz bir değişikliğe gidilmemiş, ancak hemen her gün yayımlanan Kurum Kararları ile GDPR’a uyumlu düzenlemeler getirilmeye başlanmıştır. Dolayısıyla, KVK uyum süreci çalışmalarının, gerek Kişisel Verileri Koruma Kanunu (KVKK), gerekse Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde yürütülmesi büyük önem taşımaktadır.

KVKK kapsamında “Kişisel Veri”; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veri işleyen gerçek kişi veya tüzel kişiler ise, “Veri Sorumlusu” konumundadır. Veri Sorumluları edindikleri Kişisel Bilgileri, Kişisel Verileri Koruma Kanununa ve Kurum Kararlarına uygun olarak işlemek, muhafaza etmek, depolamak, sınıflandırmak, aktarmak, usulüne uygun olarak süresinde silmek ve imha etmek yükümlülüğü altındadırlar.

Bu yükümlülüklerini kanuna uygun şekilde yerine getirmeyen veri sorumluları, oldukça ciddi idari para cezası yanında, Türk Ceza Kanunu’nun 135., 136. ve 138. maddeleri gereğince yargılanarak hapis cezası alma tehlikesi ile de karşı karşıya kalacaklardır.

Veri Sorumluları, bu tür cezalarla karşılaşmamak için, konusunda uzman bir ekip ile, Kişisel Verileri Koruma Kanunu’na (KVKK), Kişisel Verileri Koruma Kurumu güncel Kararlarına ve hatta Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) uygun olarak uyum sürecini yerine getirmeli ve güncel sürekliliğini sağlamalıdır.

Veri Sorumlularının KVKK'na, Kurul Kararlarına ve GDPR'a
Uyum Sürecinde Yerine Getirmesi Gereken Yükümlülükleri

Veri Sorumlularının KVKK'na, Kurul Kararlarına ve GDPR'a Uyum Sürecinde Yerine Getirmesi Gereken Yükümlülükleri

Mevzuata Uygun Olarak Gerekli İdari Tedbirleri Almak.

Mevcut risk ve tehditlerin belirlenmesi için işletmeye yönelik idari analiz yaptırılması.
Çalışanların Eğitilmesi ve Farkındalık Çalışılmalarının yaptırılması.
Kişisel veri güvenliği politikalarının ve Prosedürlerinin belirlenmesi, yazılı hale getirilmesi.
Kişisel verilerin mümkün olduğunca azaltılması.
Veri işleyenler ile ilişkilerin yönetiminin mevzuata uygun hale getirilmesi.
Kişisel Veri İşleme Envanteri Hazırlanması.
Mevzuata uygun hukuki dokümantasyonun hazırlanması (Kişisel Verilerin İşlenmesine Yönelik Aydınlatma Formları/ Açık Rıza Beyanları).
Gizlilik Taahhütnamelerinin hazırlanması.
Çalışanlarla yapılacak kişisel verilere ilişkin sözleşmelerin düzenlenmesi.
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt.

Mevzuata Uygun Olarak Gerekli Teknik Tedbirleri Almak.

Mevcut risk ve tehditlerin belirlenmesi için işletmeye yönelik teknik analiz yaptırılması.
Alınan teknik analiz raporu doğrultusunda, kişisel verilerin teknik güvenliğinin sağlanması için, işletme amacına uygun IT tedbirlerinin alınması (Yetki Matrisi, Yetki Kontrol, Erişim Logları, Kullanıcı Hesap Yönetimi, Ağ Güvenliği, Uygulama Güvenliği, Şifreleme, Sızma Testi, Saldırı Tespit ve Önleme Sistemleri, Log Kayıtları, Veri Maskeleme, Veri Kaybı Önleme Yazılımları, Yedekleme, Güvenlik Duvarları, Güncel Anti-Virüs Sistemleri, Silme, Yok Etme veya Anonim Hale Getirme, Anahtar Yönetimi).
Kişisel verilerin fiziki olarak muhafazasında gerekli güvenlik tedbirlerin alınması.
Teknik güvenlik tedbirlerin sağlanmasına yönelik çalışanların eğitilmesi ve farkındalık çalışmalarının yapılması.

İdari ve Teknik Tedbirlerin Güncel Şekilde Uygulanması ve Sürekliliğinin Sağlanması.

Düzenli olarak idari ve teknik denetimlerin yaptırılması.
Hukuki dokümantasyon ve sözleşmelerin, Kurum sayfasında ilan edilen kararlar da takip edilerek, mevzuat karşısında düzenli güncellemelerinin yapılarak kullanılması.
Çalışanlar için düzenli olarak işletme içi eğitim alınmasının sağlanması.

İdari Tedbirler Arasında Yer Alan VERBİS Nedir?

Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur.

Kimler VERBİS Kaydı Yaptırmak Zorundadır?

Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları 30.09.2020 tarihine kadar,
Yıllık çalışan sayısına ya da yıllık mali bilançosuna bakılmaksızın faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi (doktor muayeneleri, poliklinikler, tıp merkezleri, diş hekimi muayenesi, eczaneler vs.) veri sorumluları 31.03.2021 tarihine kadar,
Kamu kurum ve kuruluşu niteliğindeki veri sorumluları 31.03.2021 tarihine kadar VERBİS kaydı yaptırmak zorundadır.

Unutulmamalıdır ki; VERBİS'e kayıt yaptırmak, veri sorumlularının veri işlerken uymak zorunda oldukları yükümlülüklerinden sadece bir tanesidir. Süresi içinde VERBİS kaydı yaptırılsa dahi, diğer yükümlülüklerinin yerine getirilmemesi durumunda, ihbar, şikayet, ya da resen inceleme sonucunda, her bir ihlal için ayrı ayrı idari para cezası ve cezai yaptırımla karşılaşılacaktır.

Kişisel Verileri Koruma Kanunu Uyarınca
Kurum Tarafından Uygulanan Cezalar Nelerdir?

Kişisel Verileri Koruma Kanunu Uyarınca Kurum Tarafından Uygulanan Cezalar Nelerdir?

KVKK’nun 18. maddesi Kabahatler başlığı altında düzenlenmiş olup, ihbar, şikayet veya resen inceleme sırasında tespit edilen aşağıda yer verilen yükümlülükleri yerine getirmeyen veri sorumlusu gerçek ve tüzel kişilere, HER BİR İHLAL İÇİN AYRI AYRI OLMAK ÜZERE, miktarı Kanun’un ilgili maddesinde düzenlenen aralıklarda kalmak kaydıyla Kurul tarafından, idari para cezaları verilebilir.

Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 1000 Türk Lirasından 100.000 Türk Lirasına kadar,
Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,
Kurul Kararlarını yerine getirmeyenler hakkında 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar para cezası verilebilecektir.

Türk Ceza Kanunu Açısından Veri
Sorumlularının Karşılaşabileceği Cezalar Nelerdir?

Türk Ceza Kanunu Açısından Veri Sorumlularının Karşılaşabileceği Cezalar Nelerdir?

TCK’nun 135. maddesi uyarınca, Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Bu verilerin özel nitelikli veri olması durumunda verilecek olan ceza yarı oranında arttırılır.
TCK’nun 136. Maddesi uyarınca, Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
TCK’nun 138. Maddesi uyarınca, Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

Sinem DÖKMECİ Avukatlık Bürosu, Kişisel Verileri Koruma Kanunu Uzman Sertifikasına, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) Uzman Sertifikasına ve Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında Veri Kontrolörlüğü Belgesine (DPO) sahip Uzmanı kadrosu ile Kişisel Verilerin Korunmasına İlişkin Uyum Sürecini, gerek KVKK’na, gerek Kurul Kararlarına, gerekse Uluslararası boyutta GDPR’a uygun olarak gerçekleştirerek profesyonel bir koruma sağlamaya yönelik danışmanlık hizmeti vermektedir.

Sinem DÖKMECİ Avukatlık Bürosu, Kişisel Verilerin Korunmasına İlişkin Uyum Süreci Danışmanlık Hizmetini verirken, IT konusunda uzman Çözüm Ortaklarıyla kurmuş olduğu işbirliği sayesinde, teknik analizin yapılması, veri güvenliğinin hukuka uygun sağlanması, düzenli teknik analiz raporlarının alınması gibi teknik tedbirleri de kapsayan bir danışmanlık vererek, tek bir hizmet paketi ile Veri Sorumlusunun Kanuna ve mevzuata karşı yükümlülüğünü yerine getirmesini sağlamaktadır.

Avukatlık Büromuz, işletmelerin kuruluş amacına özel olarak hazırlattığı “Akıllı Envanter Programını” Veri Sorumlularına da yükleyerek, Kanunun ve mevzuatın zorunlu tuttuğu tüm idari ve teknik tedbirlerin uygulanmasını sağlamaktadır. Akıllı Envanter Programı ile Veri Sorumluları, tüm hukuki dokümantasyonları (Aydınlatma Formları, Gizlilik Sözleşmeleri, Politikalar, Açık Rıza Formları v.b.) daima güncel haliyle kullanabilmekte ve veri korumasının sürekliliğini sağlayabilmektedir.