Dijitalleşmenin artması ile birlikte kişisel verileri koruma kavramı konusu kişiler, kurumlar ve firmalar için önem kazanmaya başladı. Verilerin korunması kişilerin hak ve özgürlüklerinin korunması açısından oldukça önemli olduğu için Türkiye Büyük Millet Meclisi (TBMM) kişisel verilerin korunması için yasal düzenleme yapmıştır.
Kısa adı KVKK olan Kişisel Verilerin Korunması Kanunu’na ilişkin tasarı 18 Ocak 2016 tarihi ile TBMM başkanlığına gönderilmiş, 24 Mart 2016 tarihinde ise TBMM genel kurulu tarafından kabul edilmiştir. 7 Nisan 2016 tarihinde 29677 sayılı resmi gazetede yayımlanarak yürürlüğe girmiştir.
Resmi Gazete yayını için tıklayınız: (https://www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf)
6698 sayılı kişisel verilerin korunması kanunu yürürlüğe girdikten sonra kurum ve işletme sahipleri için kanun kapsamında ciddi idari para cezaları ve bazı durumlarda hapis cezaları da söz konusu olmuştur.
Kanun kapsamında resmi kurumlarda içinde bulunmak üzere kişisel verileri işleyen tüm işletme ve firma sahipleri ilgilidir. Gerçek kişi, müşteriler, çalışanlar, ziyaretçiler kaydediliyor ve işleniyorsa bu durum kişisel verilerin korunması kanunu kapsamındadır.
Kurum ve firmalar hangi kişisel verileri hangi amaçla ve hangi kanuni dayanakla işleyeceğini bildirmelidirler. Bu durum firmalar için yükümlülük kapsamındadır. Bu yükümlülüğün yerine getirilmemesi durumunda kanun idari ve hapis cezası belirlenmiştir.
6698 sayılı KVKK kanunu ile getirilen idari para cezaları şöyle sıralanabilir;
Kurul kararlarına muhalefet 20 bin TL ile 1 milyon TL arasında
Aydınlatma yükümlülüğünün ihlali 5000 TL ile 100 bin TL arasında
Sicil yükümlülüğü ihlali 25 bin TL ile 1 milyon TL arasında
Veri güvenliği yükümlülüğünün ihlali 15 bin TL ile 1 milyon TL arasında
Kişisel verilerin korunması kanunu kapsamında belirlenmiş olan hafif cezaları şöyle sıralanabilir;
Kişisel verileri hukuka aykırı olarak yayma 1 ila 2 yıl
Kişisel verileri hukuka aykırı olarak kaydetme 1 ila 3 yıl
Belirlenen cezalar her yıl enflasyona kapsamında güncellenmektedir.
Kanun kapsamında veri sorumluları sicili hakkında yönetmelik ile kişisel verilerin yok edilmesi ya da anonim hale getirilmesi hakkında yönetmelik gereğince veri sorumluları kişisel veri işleme envanteri hazırlamalıdır. Bu konuda veri sorumluları için kişisel veri işleme envanteri hazırlama rehberi oluşturulmuştur.
İlgili rehbere buradan ulaşabilirsiniz. (https://kvkk.gov.tr/SharedFolderServer/CMSFiles/14a17049-71da-4417-a07b-961f75a0070e.PDF)
KVKK Kanunu, kişisel verileri işlenen kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki gerekçelerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği konusunda bilgi edinme hakkı tanımıştır. Kanun “Aydınlatma Yükümlülüğü”nü veri sorumlusuna vermiştir.
Aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak usul ve esasları öğrenmek için tıklayınız. (https://www.resmigazete.gov.tr/eskiler/2018/03/20180310-5.htm )
Aydınlatma yükümlülüğünün yerine getirilmesine ilişkin KVKK rehberini incelemek için tıklayınız. (https://kvkk.gov.tr/SharedFolderServer/CMSFiles/a569a068-c079-4189-b134-f57bc727af7d.pdf)
Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesinin ardından “Açık Rıza” kavramı gündeme geldi. Kanunda belirtilen 3. Madde açık rıza kavramını “Belirli bir konu ile ilgili bilgilendirmeye dayanan ve özgür irade ile açıklanan rıza” tanımlamıştır.
Açık rıza ile birey sahip olduğu verinin işlenmesine kendi isteğiyle onay verdiğini belirtmiş olmaktadır ve açık rıza işlenmesine izin verdiği verinin hangi kapsamda, hangi biçimde, hangi sınırlarda ve hangi sürede kullanacağının sınırlarını belirlemektedir.
Açık Rıza ile ilgili ayrıntılı bilgi için tıklayınız. (https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/66b2e9c4-223a-4230-b745-568f096fd7de.pdf
Veri sorumlusu olarak bilinen kişi Türkiye'de yerleşik olan bir tüzel kişi ise irtibat kişisi atamak zorundadır. Bunun yanı sıra bu irtibat birimine ait bilgileri VERBİS'e işlemek zorundadır. Söz konusu irtibat kişisinin asıl görevi kişisel verileri koruma kurumu ile veri sorumlusu arasındaki iletişimi sağlamaktadır.
Veri sorumluları sicili hakkında yönetmelik kapsamında 11. maddeye göre veri sorumlusu eğer yurtdışında yerleşik olan bir tüzel kişi ise veri sorumlusu temsilcisi atamalıdır. Atanan bu veri sorumlusu temsilcisi ise Türkiye'de yerleşik olan bir tüzel kişi veya vatandaşı bir gerçek kişi olmalıdır.
Veri sorumlusu olarak bilinen kişi Türkiye'de yerleşik olan bir tüzel kişi ise irtibat kişisi atamak zorundadır. Bunun yanı sıra bu irtibat birimine ait bilgileri VERBİS'e işlemek zorundadır. Söz konusu irtibat kişisinin asıl görevi kişisel verileri koruma kurumu ile veri sorumlusu arasındaki iletişimi sağlamaktadır.
Kanun kapsamında veri sorumluları tarafından işlenen verilerin süresiz saklanması söz konusu değildir. Kurumun ya da firmanın belirlediği veri işleme amacı da uygun bir süre belirlenmeli sonrasında ise imha edilmelidir. Bu süreler ise işletmenin hizmet verdiği sektöre bağlı olarak değişkenlik gösterebilmektedir. Yılda 2 defa periyodik imha dönemi planlanmalı ve bu bilginin kurumların Kişisel Veri Saklama ve İmha Politikası belgesinde yer verilmelidir.
Kanuna kapsamında saklama süresi dolan kişisel verilerin saklama süresinin bitmesi ile birlikte ilk periyodik imha zamanında imha edilmelidir. Sona erdiği ve kişisel verinin saklanmasını gerektirecek herhangi bir amacı olmayan veriler 180 gün içerisinde anonim hale getirilmelidir.
“KVKK Kişisel Veri Saklama ve İmha Politikası” usul ve esaslarını incelemek için tıklayınız. (https://www.kvkk.gov.tr/Icerik/5386/KVKK-KISISEL-VERI-SAKLAMA-ve-IMHA-POLITIKASI)
Kişisel Verilerin Korunması Kanunu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla veri sorumlularına bir takım teknik ve idari tedbirler alma zorunluluğu getirmiştir.
Kişisel Verileri Koruma Kurulu,’nun hazırladığı, Kişisel Veri Güvenliği Rehberi’ne buradan ulaşabilirsiniz. (https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf)
Kişisel veri ihlal bildirimlerine ilişkin başvuruların Kişisel Verileri Koruma Kurumu’na yazılı olarak ya da kurumun internet adresi üzerinden iletilmesi gerekmektedir.
İlgili internet adresi için tıklayınız. (https://sikayet.kvkk.gov.tr)
Ayrıca bildirimler için şu adresler de kullanılabilir:
Veri İhlali Bildirim Formu (İnternet) (https://ihlalbildirim.kvkk.gov.tr/)
Veri İhlali Bildirim Formu Kılavuzu (https://kvkk.gov.tr/SharedFolderServer/CMSFiles/369d954a-aaee-44ca-9ca6-105e8b4102f9.pdf)
Veri İhlali Bildirim Formu (PDF) (https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi)