Kişisel Verileri Koruma (KVK) Hukuku

Kişisel veri, belirli veya kimliği belirlenebilir olmak kaydıyla bir kişiye ilişkin bütün bilgileri ifade eder. Bu bağlamda adı-soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel verilerdir.

KVKK’nın getirdiği yükümlülükleri ihlal eden tüzel kişilerin ifşa edilmesi ve idari para cezalarının da yeniden değerleme oranlarına göre yapılan artışlardan dolayı cezaların üst sınırı iki milyon Türk Lirasına yaklaşması tüm sektörlerde hareketlenme yaşanmasına yol açtı. Şirketlerin, KVKK ile uyumlu hale gelmek ve yasal yükümlülükleri yerine getirmek için bilişim hukuku alanında uzmanları bünyesinde barındıran hukuk firmamıza yönelmesine yol açtı. Veri güvenliği alanında danışmanlık veren teknik bilişim şirketleriyle proje ortaklıkları oluşturduk. 

KVKK ile uyum projeleri

KVK konusunda özellikle gerçekleştirilen uyum projeleriyle şirketlerin tüm süreçleri, sözleşmeleri, politika ve prosedürleri incelenmekte, KVKK ile uyumlu olmayan, düzeltilmesi gereken alanlar ve eksiklikler tespit edilmekte, iyileştirmeler yapılmaktadır.

Kişisel verileri işleyen gerçek ve tüzel kişilere “Veri Sorumluları Sicili”ne (VERBİS) kaydolmak zorunluluğu getirildi.

Kişisel verilerin korunması hakkı

Kişisel verilerin korunması hakkı, insan onurunun korunması ve kişiliğinin serbestçe geliştirilmesi hakkının özel bir biçimidir ve bu hak kişisel verilerin işlenmesi sırasında, bireyin diğer hak ve özgürlüklerini korumayı amaçlamaktadır. Bilişim teknolojisindeki gelişmeler sonucu geleneksel yöntemlerle mümkün olmayan çok sayıda veri elde edilebilir hale gelmiştir.

 Kişisel veri adil biçimde ve yasal yollardan elde işlenmeli, hukuka ve dürüstlük kurallarına uygun olarak doğru ve güncel bir şekilde tutulmalıdır.

Kişisel veriyi işleme kararı meşru bir amaca dayanmalı; bu amaç demokratik bir toplumda ulusal güvenlik, kamu güvenliği, genel sağlık ve genel ahlâkın korunması, mağdurun hak ve özgürlüklerinin korunması ve suç işlenmesinin önlenmesinden bir ya da birkaçı olmalıdır.

Kişisel veri, öngörülen amaçla orantılı, sınırlı ve ölçülü işlenmelidir. Kişisel verisi işlenen ilgilinin hak ve özgürlüklerine daha az müdahale eden başkaca önlemler yetersiz kalmalıdır.

Bildirim Yükümlülüğü

Kişisel verinin gerçek veya tüzel kişiden talep edildiği durumlarda; bu verinin hangi kanuni yetkiye dayanılarak talep edildiği, kişisel verinin hangi meşru amaca hizmet edeceği, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel verinin işlenmesi kararına karşı başvurulabilecek yasal yollar, verinin ne kadar süre muhafaza edileceği ve ne kadar süre sonra imha edileceğine dair usul ve esaslar belirtilmelidir.

Saklama ve imha

Kişisel veri ilgili kişilerin kimliklerini belirlemeye imkan verir bir biçimde saklanmalıdır. Muhafaza edilen kişisel veriler için, hukuka aykırı erişimler ile yanlış ve kötüye kullanımlardan etkili bir biçimde korunacak şekilde yeterli güvence ve güvenlik düzeyi sağlanmalıdır. Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. İşlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler silinmeli, yok edilmeli veya anonim hâle getirilmelidir.

Kişisel veri danışmanlığı hizmetimiz

Kişisel veri danışmanlığı hizmetimiz, 01.05.2016 yılında yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu (KVKK) sonrasında Kanunun gerektirdiklerinin tam uygulanması ve Kanunun uygulanmaması halinde kesilecek 2.000.000 TL’ye kadar olan idari para cezaları ile Türk Ceza Kanununda belirlenen 4 yıla kadar hapis cezasından kaçınmak için yapılması gerekenlere ilişkin sunulan hizmetlerin tamamını kapsamaktadır.

KVK uzmanlarımız şirket evrak ve dokümanlarını yerinde inceleyerek mevzuat çerçevesinde şirketlerin 6698 sayılı KVKK kapsamındaki bütün yükümlülüklerinin neler olduğunu tespit etmekte ve bu kapsamda yapılması gerekenleri şirketlerin yerine getirmelerine yardımcı olmaktadır. 

Oluşturulan özel ekibimizle, deneyimli hukukçuların yanı sıra, hukuk nosyonuna ve deneyim ve tecrübesine sahip, birikimli ve deneyimli teknik uzman kadromuzla, çözüm ortağı olduğumuz şirketlerin makul sürede Kişisel Verileri Koruma Kanunu’na tam uyumunu sağlamaktayız.

Kişisel Veri Danışmanlığı kapsamında aşağıdaki hizmetleri sunmaktadır:

  • Sözleşmelerin Tadili ve Tekrar Dizayn Edilmesi

Şirketlerin ve diğer kanuni yükümlülerin taraf olduğu işle ilgili sözleşmeler, kişisel verileri elde edilen kişilerle, verilerin aktarıldığı kişilerle veya verilere erişimi olan diğer üçüncü kişilerle, hizmet sunucularıyla yapılan sözleşmeler incelenerek gerekli tadillerinin yapılması ve gerekmesi halinde gizlilik sözleşmelerin de imzalanması işidir.

  • Verilerin Analiz Edilmesi

KVKK kapsamına giren mükelleflerde yapılacak olan uyum çalışmalarıyla, işlenen kişisel veriler ile veri işlemede ki amaçlar tasnif ve tespit edilmekte, gerçekleştirilen analizlerle sonuçlarına bakılarak hangi veri sahiplerinden rızasının alınması gerektiği tespit edilmekte, rızanın içeriği hazırlanmakta ve nasıl temin edileceği belirlenerek rıza alınmasının gerekli olduğu durumlarda veri sahiplerinden rıza alınmasına yönelik çalışmaları yapılmaktadır.

  • Aydınlatma Metinlerinin Oluşturulması

Kanunen veri sorumlusu kabul edilen veri sahiplerinde, kişisel veri toplama yöntemi ve bu verilerin işlenme amaçları, verilerin aktarılması halinde aktarıldığı üçüncü kişileri ve veri sahibinin 6698 sayılı KVKK Kanunu m. 11’de düzenlenen hakları içeren bir aydınlatma bildiriminin hazırlanmasıdır.

  • Kişisel Veri Envanterinin Hazırlanması

Kişisel verilerin işleme amaçları, veri kategorileri, aktarılan alıcı grupları ve veri konusu kişi gruplarıyla ilişkilendirerek oluşturulan ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre dikkate alınarak, yabancı ülkelere aktarım olması durumunda öngörülen kişisel veriler ve veri güvenliğine ilişkin alınan tedbirlerin açıklanarak detaylandırıldığı KVKK Kanunu kapsamında bir kişisel veri envanteri hazırlama çalışmasıdır.

  • VERBİS Sistemine Kayıt İşlemi

KVKK kapsamındaki kişilerin VERBİS’e kaydını sağlama işlemidir. KVK kurumu ile iletişim sağlamak için veri sorumlusu kaydı yapılması ve irtibat kişisi atanması konusunda danışmanlık verilmektedir. Oluşturulan veri envanterinde belirlenen her bir veri türü için VERBİS sistemine gerekli tanımlama işlemleri yapılmaktadır.

  • Kişisel Veri Saklama ve İmha Politikasının Hazırlanması

Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkmasıyla birlikte kanunen kişisel verilerin resen veya ilgili kişinin talebi üzerine imha edilmesi gerekmektedir. Silme, imha süreçleri için Politika ve Prosedür dokümanı oluşturulması gerekmektedir.

  • Gerekli Güvenlik Tedbirlerinin Alınması

Kişisel verilerin hukuka uygun olmayan şekilde işlenmesini ve tutulan verilere hukuka aykırı erişilmesinin önlenmesi ve tutulan kişisel verilerin muhafazasını sağlamak amacıyla gerekli güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınması şirket veya kanunen yükümlülük sahibi kişi sorumluluğundadır. Ekip olarak Kanunun gerektirdiği güvenlik seviyesi konusunda KVKK danışmanlığı hizmeti sunulmaktadır.

  • Kanuna Uyum Sürecinde Verilen Farkındalık Eğitimleri

KVKK Kanunu kapsamındaki veri sorumlusu kabul edilen mükelleflerin yöneticilerine ve sistem sorumlularına, kanun kapsamındaki konularda ve kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi hususlar hakkında eğitim verilmekte, çalışanlara yönelik farkındalık çalışmaları yapılmaktadır.

  • Kimler bu hizmeti almalıdır?

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.

  • KVKK Yükümlülüklerine uymamanın cezası nedir?

KVKK Kanuna uymayan şirketlere bir şikâyet nedeniyle KVKK tarafından bir inceleme yapılır. İncelemesi neticesinde KVKK kanuna uyum sağlamayan şirketlere ağır yaptırımlar uygulanır. Bu yaptırımların arasında hapis cezası da bulunmaktadır.

Ancak, uygulanacak idari para cezalarına da dikkat çekmek gerekiyor. 2 milyon TL’ye kadar para cezasından kaçınmak isteyen şirketlerin en önemli 4 yükümlülüğü yerine getirmesi gerekiyor. Bunlar;

  • Aydınlatma yükümlülüğü

 İşlenen verilerle ilgili veri sahibinin aydınlatılması, verileri işleyen veri sorumluları kişi ve kuruluşlar için en önemli ödevlerden biri olarak karşımıza çıkıyor. Aydınlatma yükümlülüğüne uyulmaması, 5 bin TL’den 100 bin TL’ye kadar idari para cezasına neden olmaktadır.

  • Veri güvenliği yükümlülükleri

Kişisel verilerin güvenliğinin sağlanması ve yasa dışı işlemeyi ve erişimi önlemek için verileri tutan, saklayan ve işleyen veri sorumluları tarafından alınacak idari ve teknik önlemler veri güvenliği ile ilgili yükümlülükler arasındadır. Gerekli güvenlik önlemlerini almayan şirketler 15 bin TL’den 1 milyon TL’ye kadar idari para cezasına çarptırılmaktadır.

  • Kurul kararına muhalefet

Veri sorumluları, şikayet üzerine inceleme yapan Kurul tarafından verilen kararlara uymalıdır. KVKK Kurulu tarafından verilen idari kararlara uymayanlara 25 bin TL’den 1 milyon TL’ye kadar idari para cezasına çarptırılabilir.

  • VERBİS’e kayıt yükümlülüğü

Kişilerin verilerin işleyen veri sorumlularının, Veri Sorumluları Siciline (VERBİS) kayıtlarını yaptırmakla yükümlüdür. Açıklanan son tarihe kadar kayıt yaptırmayan şirketler 20.000 TL’den 2 milyon TL’ye kadar para cezasına çarptırılmaktadır.

Yorumlar

Henüz yorum yok.

Yorum Gönder

E-posta hesabınız yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir