HOCAOĞLU LEGAL KİŞİSEL VERİLERİN KORUNMASI HUKUKU
Kişisel verilerin korunması ile ilgili ilk mevzuat 7/4/2016 tarihli 29677 sayılı Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. (KVKK). İlgili kanun kapsamında da veri sorumlusu niteliğinde olan gerçek ve tüzel kişilere mevzuata uygun nitelikle kişisel verileri işlemesi, silmesi, yok etmesi, anonim hale getirmesi, üçüncü kişilerle paylaşması, yurtdışına transferi ve kişisel verilen güvenliği bir takım usul ve esaslara tabi tutulmuş ve veri sorumlularına ciddi yükümlülükler getirilmiştir. Bu doğrultuda veri sorumlusu olan şirketlerin KVKK uyum sürecini tamamlaması ve KVKK kapsamındaki yükümlülüklerini yerine getirmesi gerekmektedir.
Özellikle kişisel verileri işleyen şirketlerin KVKK kapsamında bir takım yükümlülükleri ve kişisel verileri işlenen gerçek kişilerin de birtakım hakları bulunmaktadır. Aşağıda şirketlerin ( otel, hastane, okul vb.) KVKK uyum süreci kapsamında yapmaları gereken temel hususlardan bahsedilecek olup avukatlardan alınacak olan hizmetin kapsamı ve uyum projesi hakkında bilgi verilecektir.
KİŞİSEL VERİ NEDİR VE VERİ SORUMLUSU KİMDİR?
6698 Sayılı Kişisel Verilerin Korunması Kanunu’na göre “kişisel veri” kavramı, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.
Öte yandan Kanun “veri sorumlusu” kavramını da şu şekilde açıklamıştır:
“Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi” ifade eder.
KİŞİSEL VERİ İŞLEME FAALİYETİ NELERDİR?
Kişisel Verilerin Korunması Kanunu’na göre kişisel veri işleme faaliyeti “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade eder.
Yukarıda yer alan yükümlülüklere ek olarak veri sorumlusu şirketlerin öncelikli yükümlülüğü hangi verilerin işlendiği ve bu kapsamda hangi verilerin güvenliğinin sağlanmasının gerektiğinin tespiti için envanter çalışması yapılmasıdır. Şirketlerin hangi kişisel verileri kanunen alması ve saklaması gerektiğini, hangi kişisel verileri almasa da işlerini yürütebileceğini tespit ederek, sorumluluk açısından bir belirleme yapılması gerekmektedir. Envanter oluşturmada ise şirketler yönünden akla gelebilecek kişisel veriler; çalışanlarının, iş ortakları ve çalıştıkları gerçek/tüzel kişilerin ve müşterilerinin kişisel verileri olarak değerlendirilmesi gerekmektedir. Envanter oluşturmanın yanında kanuna uygun nitelikte veri işlenmesi için şirket içerisinde ilgili yapılanmanın yapılması, şirketlerin veri kayıt sistemini kurmasını ve bunu yönetmesi gerekecektir.
KİMLER VERBİS’E KAYDOLMAK ZORUNDADIR?
Veri sorumlusu olan tüm gerçek ve tüzel kişiler Kişisel verilerin korunması(KVK) standartlarına, bu kapsamda da KVKK ve ilgili mevzuattaki yükümlülüklere uymak zorundadır. KVKK 16. madde hükmüne göre kişisel veri işleyen tüm veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline (“Sicil”) kaydolması gerekmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu tarafından Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) hazırlanmış olup, VERBİS, kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.
Türkiye’de yerleşik gerçek ve tüzel kişi veri sorumluları, yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının Türkiye’de kişisel veri işlemeleri halinde genel kural olarak VERBİS’e kayıt olmaları gerekmektedir.
VERİ İHLALİ VE VERBİS KAYIT YÜKÜMLÜLÜĞÜNÜ YERİNE GETİRMEMENİN SONUÇLARI NELERDİR?
Geçen yıl sonu itibarıyla Kişisel Verileri Koruma Kuruluna 167’si veri ihlal bildirimi olmak üzere toplam 3 bin 585 başvuru yapılmış olup Kurul, başvurulardan 2 bin 401’ini sonuçlandırmıştır. Kurul, veri ihlali tespitlerinde ise Kişisel Verilerin Korunması Kanunu hükümleri çerçevesinde idari para cezalarına hükmetmiştir.Diğer taraftan Kanun, kanunda sayılan Özel Nitelikli Veriler işlendiğinde, cezaların 1,5 kat, işlenen veriler Ceza Muhakemeleri Kanunu (CMK) kapsamında ise, 2 kat artacağını öngörmektedir. Enflasyona göre güncelleme yapıldığında cezalar 1.960.000 TL ye kadar varmaktadır.
Ulusal ve uluslararası regülasyonlara aşağıda yer alan linkler üzerinden ulaşabilirsiniz.