Gelişen teknolojinin etkisiyle birçok kişisel veri, farklı platformlarda kaydedilmekte, saklanmakta veya aktarılmakta, kısaca işlenmektedir. Kişisel verilerin işlenmesi, mal ve hizmet sunan işletmelere bazı kolaylık ve avantajlar sağlasa da kişisel verilerin istismar edilmesini beraberinde getirmektedir. Buradan hareketle 07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel veri sahiplerine haklar tanınmış, kişisel verileri işleyen şirketlere/kurumlara ise yükümlülükler getirilmiştir.

Kısaca KVKK ile kişisel verilerin,

• Sınırsız biçimde ve gelişigüzel toplanmasının
• Yetkisiz kişilerin erişimine açılmasının
• İfşa edilmesinin
• Amaç dışı ya da kötüye kullanımının

önlenmesi hedeflenmektedir.

KVKK UYARINCA İŞLETMELERİN-KURUMLARIN YÜKÜMLÜLÜKLERİ

Kişisel verilerin işlenmesi, saklanması ve korunmasında KVKK ve alt düzenlemelerine uyulması yasal bir zorunluluktur. Bu uyum çerçevesinde veri sorumluları, gerekli idare ve teknik önlemleri almalı ve sürdürülebilir bir KVKK uyumu gerçekleştirmelidir.

Veri Sorumlularının Yükümlülükleri;

1. Aydınlatma Yükümlülüğü; kişisel verinin elde edildiği sırada (kişisel veri sahibi) ilgili kişiler, mevzuatın öngördüğü biçim ve esaslara göre bilgilendirilmelidir.
2. Başvuruları Yanıtlama; veri sorumlusu için doğrudan bir yükümlülük değildir. Ancak ilgili kişilerin Kişisel Verileri Koruma Kurulu’na şikâyette bulunması öncesinde veri sorumlusuna başvurması gerekliliğinden hareketle, ilgili kişilerden gelen başvuruların yanıtlanmasına yönelik gerekli iş akış ve süreçlerin proaktif bir bakış açısıyla veri sorumlusu tarafından oluşturulması gerekmektedir.
3. Kişisel Verileri Korunma Kurulu İlke Kararlarına Uyma; Kurul tarafından verilen ilke kararları tıpkı bir Kanun hükmü gibi uyulması zorunlu kararlardandır. Bu yönüyle veri sorumlusu nezdinde KVKK uyum yönetiminin sürekliliği ön plana çıkmaktadır.
4. Veri Güvenliğini Sağlama; veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun ölçüde veri güvenliğine ilişkin olarak hem idari hem teknik yönlerden önlemler alınmalı ve alınan önlemlerin dinamik olarak yönetilmelidir.
5. Periyodik Denetim ve İdari-Teknik Yönden Kontroller; Veri sorumlusu, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Bu denetim, veri sorumlusu nezdinde gerçekleşebileceği gibi bir üçüncü kişi vasıtasıyla da gerçekleştirebilir. Bu yönüyle veri sorumlusu nezdinde KVKK uyum yönetiminin sürekliliği ön plana çıkmaktadır.
6. Veri Envanteri Oluşturma ve Veri Sorumluları Sicili (VERBİS) Kaydı; Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce VERBİS’e kaydolmak zorundadır. Kişisel Verileri Koruma Kurulu tarafından VERBİS kayıt zorunluluğu 31.12.2022 olarak öngörülmüştür.

KVKK UYUMU SAĞLANMADIĞINDA UYGULANACAK YAPTIRIMLAR

1. Veri sorumlularının sicile (VERBİS) kayıt edilmesi ve bildirim yükümlülüğünün yapılmaması durumunda 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası verilmektedir.
2. Aydınlatma yükümlülüğünün yapılmaması durumunda 5.000 TL’den 100.000 TL’ye kadar, idari para cezası verilmektedir.
3. Veri güvenliğine ilişkin yükümlülükleri yerine getirilmemesi durumunda 15.000 TL’den 1.000.000 TL’ye kadar,  idari para cezası verilmektedir.
4. KVKK tarafından verilen kararları yerine getirilmemesi durumunda 25.000 TL’den 1.000.000 TL’ye kadar, idari para cezası verilmektedir.
5. Kişisel verileri hukuka aykırı olarak kayıt yapanlara 1 yıldan 3 yıla kadar hapis cezası vardır.(TCK 135/1)
6. Kişilerin siyasal, felsefi ya da dini düşüncelerine, ırk olarak kökenlerine; cinsel yaşamına, yasaya aykırı bir şekilde ahlaki eğilimine, sağlık durumlarına veya sendikalara üyelik durumlarına ilişkin kişisel verileri yasaya aykırı olarak kaydedenlere 1 yıldan 3 yıla kadar hapis cezası yarı oranında artırılarak uygulanmaktadır. (TCK 135/2)
7. Kişisel verileri, yasaya aykırı bir şekilde başkasına vermek, yayılmasını sağlamak veya ele geçirmesi durumunda 2 yıldan 4 yıla kadar hapis cezası uygulanmaktadır. (TCK 136/1)
8. Bu bahsi geçen suçlar; bir kamu görevlisince ve görevinin verdiği yetkinin kötüye kullanılması şeklinde, belli bir meslek ve sanatın sağladığı kolaylıktan dolayı işlenirse, yukarıda verilecek cezalar yarı oranında artırılma suretiyle uygulanmaktadır. (TCK 137/1-b)
9. Yasaların verdiği sürelerin bitmiş olmasına rağmen verileri sistem içinde yok edilmesi gerekirken görevlerini yerine getirmemesi halinde, 1 yıldan 2 yıla kadar hapis cezası uygulanmaktadır. (TCK 138/1)
10. Suçu teşkil eden konunun ceza muhakemesi kanunu hükümlerine göre yok edilmesi gereken veri olması durumunda uygulanacak ceza bir kat artırılmaktadır. (TCK 138/2)

KVKK Uyumu için Ne Yapıyoruz?

İşletmenizin tüm iş süreçleri ve operasyonları analiz edilerek işletmeye özgü Kişisel Veri Envanterini hazırlanmaktadır. Kişisel Veri Envanteri ile tüm süreçlerde işlenen kişisel veriler tespit edilerek kategorize edilmekte, işlenen kişisel verilerin işlenme amaçları, hukuki sebepleri, saklanma süreleri, kişisel verilerin işletme dışına veya yurtdışına aktarım durumları ile idari ve teknik tedbirlerin tespiti yapılmaktadır.

Veri Envanteri hazırlanması aşamasında tespit edilen kişisel verilerin toplanma süreçleri için gerekli Aydınlatma metinleri ve gerekiyorsa Açık Rıza metinleri hazırlanmaktadır.

Aydınlatma metinlerinin bir parçası olarak ilgili kişilerin Kanun’da belirtilen hakları doğrultusunda yaptıkları başvuruların yanıtlanması süreci oluşturulmakta ve bu yönde gerekli dokümantasyon hazırlanmaktadır.

Veri Envanteri hazırlanması aşamasında mevcut sözleşme ve süreçlerin KVKK bakış açısıyla uyumlulaştırılması kapsamında alınması gerekli idari tedbirlere yönelik görüş ve önerilerin paylaşılması ile birlikte veri güvenliği analiz edilerek teknik tedbirlere yönelik görüş ve öneriler hazırlanmaktadır.

KVKK kapsamında alınması ve uygulanması gerekli tüm tedbirlerin sürdürülebilirliğini sağlamak üzere gerekli politika dokümanlarının oluşturulması sağlanmakta ve KVKK uyumunun yönetilebilmesi için çalışanlara iş tanımları doğrultusunda eğitim verilmektedir.

Tüm çalışmalar sonrası nihai şekli verilen Veri Envanteri üzerinden VERBİS bildirimi yapılmaktadır.

KVKK (VERBİS) ile ilgili biz ne yapıyoruz?

Yasanın getirmiş olduğu tüm zorunlu ve kanuni değişikliklere göre hazırlıkların yapılıp sistemin kurulumu ve denetlenmesinden yeniliklerin takibine kadar tüm süreçlerde danışmanlık hizmeti sunuyoruz.