4 minute read
Ne Nedir?
Her Kesimin Bilmesi Gereken KVKK Nedir?
KANUNDAKİ YERİ
Advertisement
Gerçek kişiler için, resmi gazetedeki 15.5.2018 tarihli 6698 sayılı özel nitelikli ‘Kişisel verilerin korunması kanunu’ dur. Kuruluşlarda, “Veri Sorumluları” tespiti gerekmektedir. 1982 yılında kişisel veri tanımlanmış, 2012 yılında herkesin kişisel verileri uygun kullanım isteme hakkı belirlenmiştir. Kişiyi belirleyebilen veri kişiye özeldir ve korunmalıdır. AB’de, kişisel verilerin korunması toplumsal ihtiyaç olarak görülünce GDPR kanunlaşmıştır.
TÜRKİYE’DE NE ZAMAN AKTİF HALE GELDİ
07.04.2016 tarihinde KVKK kurumu bağımsız regülasyon kurumu olarak kurulup, 6698 sayılı kanunla uyum süreci için AB’deki, GDPR (General Data Protection Regulation) karşılığı olan uygulamalardır. Kişinin temel hak ve özgürlüklerine zarar vermeden, veri sorumlusunun, meşru menfaat için veri işlemesi zorunludur.
CAYDIRMAK İÇİN VERİLEN CEZALAR
IP, biodata, lokasyon, sosyoekonomik durum, kültürel veriler dahi kişisel Abdullah Özdemir verilerdir. Bu ve benzer sebeplerden dolayı Google, Fransa’ ya 27milyon usd ceza ödemiştir.
KVKK SORUMLULARI
-Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları 01.10.2018 - 30.09.2019, -Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 - 31.03.2020, -Kamu kurum ve kuruluşu
veri sorumluları 01.04.2019 - 30.06.2020, tarihleri arasında Sicile kayıt olmak zorundadır. VERBİS’e kayıtlar, 01.10.2018 başlamış ve 01.10.2020 tarihine kadar tamamlanmış olmalıydı. Yaşanan pandemi süreci bu tarihlerde bazı değişikliklere de neden olmuştur.
VERBİS
VERBİS veri bilgi işlem sistemi (veri sorumluları sicil bilgi sistemidir). Veri sorumlularının kayıtlı olması zorunlu olan, veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri kayıt sistemidir. Özel nitelikli verilerin gizliliği için sorumludurlar. Tüzel kişi şirketin tüzel sorumluluğudur, gerçek kişi olan veri sorumlusu ise şahsen sorumludur. Kanunun, idari veya teknik tedbirinin ihlali durumunda 30,000TL’den 1,800,000 TL’ye kadar idari veya teknik cezai sorumluluğu vardır.
ÖZEL NİTELİKLİ VERİLER
Özel nitelikli veriler, belirlenebilir bir kişiye özel hassas verilerdir. Örnek vermemiz gerekirse; ırk, din, mezhep, takma isim, kıyafet, üyelikler, sağlık, cinsel ve cezai durum vs. hakkındaki veriler
KVKK 2016 yılında faaliye başlamıştır
zorunlulukla gerekmedikçe, veri işleme ve kayıt edilmemelidir.
VERİ KAYITLARINI İŞLEMEK
Verileri işlemek, depolamak, CD ve benzeri ürünlere kayıt etmek, aktarmak, değiştirmektir. Bunun için, veri sahibinden zımni rıza almak yetmez, aydınlatma metninden sonra açık rıza onayı gerekir.
AYDINLATMA METNİ VE AÇIK RIZA ONAYI
Aydınlatma metni, tek taraflı bilgilendirme için açıklamadır.
Yeterli bilgi vererek, veri sahibinin özgür iradesi ile verilerin hangi konu için verildiğinin, aydınlatma metni ile belirtilmesinden sonra sözleşme ile onay alınmasıdır. KVKK madde 10, veri sahibi olan ilgili kişinin haklarının korunması, internetteki gibi aydınlatma metni ile bilinçlendirilmesi gerekir, aksi takdirde 50,000 TL cezası vardır.
Örneğin; bankaya verilen bilgileriniz mevduat gereği olarak kullanılabilir ama pazarlama amaçlı kullanılamaz. Bu konuda şikayet üzerine ceza ödeyen banka olmuştur. ‘Battaniye rıza veya zımni örtülü rıza’ almak kanuni değildir. Ne gibi işlem konusu için rıza alındığı açıkça tanımlanmalıdır. Ayrıca, rıza alınması için baskı veya şart koşulmuş olmamalıdır. Veri sahibi tarafından özgür irade ile rıza verilmiş olmalıdır. Aksi takdirde bu duruma ‘sakat rıza’ denir ve hukuka aykırıdır.
VERİ SAHİBİ
Veri sorumlusu tarafından verisi işlenen, kişisel
30,000TL’den 1,800,000 TL’ye kadar para cezası sorumluluğu vardır
belirlenebilen gerçek kişidir.
VERİ SORUMLUSU
Verilerin işleme amaçlarını, vasıtalarını belirleyen, sistem kurulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir, VERBİS siciline kayıtlı veri sorumlusudur. Kişisel Veri Koruma Kurumundaki sicilde veri sorumluları kaydı kamuya açıktır. 30.09.2020 tarihinde VERBİS kayıtları girilmiş olmalıdır.
VERİ SORUMLUSU GÖREVLERİ
Hukuka aykırı kişisel verileri işlememek, hukuka aykırı erişimlerin önlenmesi, ticaret kanunu gereği 10 sene saklanması gereken, vergi usul kanunu gereği 5 sene saklanması gereken verilerin sızıntısı olmaması ve teknik donanımların sağlanması için
bilgilendirmek, süre sonunda silme politikası hazırlatmak, VERBİS kaydı yapılması, kişisel veri ihlali önlenmesi tedbirleri için bölümlerin yöneticilerine ‘sır saklama sözleşmesi’ vs. yaptırmaktır. Veri sorumlusu gerçek kişi değilse, tüzel kişi ise, doğru beyandan irtibat kişisi sorumludur, bu kişi genelde şirket yetkilisidir. Veri toplamak ve kaydetmek , aktarmak, engellemek, silmek, yok etmek/ imha işlemleri ve prosedürleri yapılmalıdır. Açık rıza ve bilgilendirme aydınlatma metni onaylatılarak, alınan kişisel verilerin 3. Kişilere aktarılmasına rıza yoksa, cezai müeyyide uygulanır.
VERİ SAKLANMASI
Veri saklanmasında, çalışanların senede en az 1-2 defa verilecek olan eğitim ile hukuka aykırı kayıt yapılmaması ve bölüm yöneticilerine sır saklama sözleşmesine uyulması hakkında bilgi verilmesi gerekir. Çünkü kanun gereği veri sorumlusunun cezasında sebep olana da rücu eder.
VERİLERİN İFŞASI
Verilerin yasal olmayan yolla ifşasından veri sorumlusu yükümlüdür. 72 saat içinde
Veri işleme ve kayıt gizliliği çok önemli
böyle bir ihlali KVK Kuruluna iletmelidir. VERBİS kaydının yapılması sonrası, kişisel veri ihlali önlenmesindeki tedbirlerle ilgili kurum içi bölümlerdeki veri giren sorumlulardan ayrı ayrı bilgi alınır. İ.K., muhasebe vb. dokümantasyonun hepsine “veri sorumlusunun” tek başına yetişmesi kurumsallık olmayan kurumlarda zordur.
KVKK hakkında yazı dizisi halinde detaylı olarak hazırlamış olduğum makalem içerisinde yer alan bilgilerin devamını önümüzdeki sayıda sizlerle paylaşmaya devam edeceğim.
