Bu yazımızı okumaya başlamadan önce konuyla ilgili “Kişisel Veri Nedir?” başlıklı yazımızı okumanızı öneririz.
Kişisel veriler ile ilgili diğer yazılarımıza da buradan ulaşabilirsiniz.
Kişisel Verilerin Korunması Kanunu, (Kanun) verisi işlenen ilgili kişinin verisinin nasıl ve hangi şartlarda işleneceğine karar verip işlemeyi gerçekleştiren veri sorumluluklarına bazı sorumlulukları yüklemektedir.
İlgili kişinin verisinden sorumlu olan ve veri sorumlusunun kararlarıyla bu veriyi işleyen kişilerin Kanun kapsamında bazı yükümlülükleri vardır. Veri sorumlusu kanunda “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır.
Öncelikle belirtmek gerekir ki, veri işleyen her kurum, her şirket, her dernek ve her kişi bir veri sorumlusudur. Dolayısıyla her şirketin Kanun’a uygun hareket etmesi gerekmektedir. Bazı şirket ve kurumların büyüklükleri nedeniyle daha fazla yükümlülüğü bulunmaktadır. Bu şirketler VERBİS’e kayıt olmakla da yükümlüdür. Ancak bu, bu kapsamda olmayan görece daha küçük şirket, kurum ve kişilerin Kanun’dan kaynaklanan yükümlülükleri olmadıklarına anlamına gelmemektedir.
VERBİS’e kayıt olma yükümlülüğü olup olmamasına bakılmaksızın her veri sorumlusu Kanun’a uygun davranmalıdır.
Bu yazıda veri sorumlularının Kanun kapsamında veriyi korumak ve yönetmek için uyması gereken kurallardan bahsedilecektir.
1) Aydınlatma Yükümlülüğü
Veri sorumlusunun en temel yükümlülüğü aydınlatma yükümlülüğüdür. Aydınlatma yükümlülüğüne göre veri sorumlusu kişisel verilerin elde edilmesi ve işlenmesi sırasında ilgili kişiye bazı bilgileri sağlamalıdır. Bunlar özet olarak, veri sorumlusunun bilgileri, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, verisi işlenen kişinin haklarıdır.
İlgili kişi verisinin işlendiği her durumdan haberdar olmalı ve bu konuda bilgilendirilmelidir.
Burada verisi işlenen kişi gruplarına yönelik ayrı ayrı aydınlatma yapılması önerilmektedir. Örnek olarak müşteriler için ayrı, çalışanlar için ayrı aydınlatma metinleri hazırlanmalıdır.
2) Veri Güvenliğine İlişkin Yükümlülükler
Kanuna göre veri sorumlusu veri güvenliği konusunda aşağıdaki maddelerden sorumludur:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak.
Veri sorumlusu bu yükümlülüklerini yürütebilmek için her türlü teknik ve idari tedbiri almak ve kanunun işleyişi ile ilgili denetimleri yapmak zorundadır.
Kişisel Verileri Koruma Kurumu (Kurum) tarafından yayımlanan İdari Tedbirler aşağıdaki gibidir.
- Kişisel Veri İşleme Envanteri Hazırlanması
- Kurumsal Politikaların Hazırlanması (Erişim, Bilgi Güvenliği, Kullanım vb.)
- Saklama ve İmha Politikasının Hazırlanması
- Veri İşleme Sözleşmelerin Revize Edilmesi
- Gizlilik Taahhütnamelerinin İmzalanması
- Kurum İçi Periyodik ve/veya Rastgele Denetimlerin Gerçekleştirilmesi
- Risk Analizlerinin Yapılması
- İş Sözleşmelerinin Revize Edilmesi
- Disiplin Yönetmeliğinin Revize Edilmesi
- Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
- Eğitim ve Farkındalık Faaliyetleri
- Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
Kurum tarafından yayınlanan Teknik Tedbirler aşağıdaki gibidir:
- Yetki Matrisi
- Yetki Kontrol
- Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği
- Uygulama Güvenliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları
- Yedekleme
- Güvenlik Duvarları
- Güncel Anti-Virüs Sistemlerinin Kullanılması
- Silme, Yok Etme veya Anonim Hale Getirme
- Anahtar Yönetimi
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için işlenen verilerin envanter ile ortaya çıkartılması, hukuka aykırı olarak işlenen verilerin tespit edilerek veri minimizasyonu ilkesi kapsamında bu verilerin işlenmesinin durdurulması gerekmektedir.
Ayrıca alınan tüm bu önlemlere rağmen herhangi bir veri ihlali yaşanması durumunda veri sorumlusu tarafından bu durumun derhal KVKK’ya bildirilmesi gerekmektedir.
3) Veri Sorumluları Siciline Kayıt Yükümlülüğü
Veri sorumlularının kamu ile paylaşılabilmesi ve bu sayede kişisel verilerin korunması hakkının daha etkin şekilde kullanılması amacıyla veri sorumluları, Veri Sorumluları Sicili (VERBİS)’e kayıt yaptırmak zorundadır. Bu sistemde veri işleme faaliyetleri ile ilgili bilgiler kayıtlı olarak tutulmaktadır. VERBİS’e kayıt olmak için yapılacak başvuru aşağıdaki bilgileri içermektedir:
Detaylı bilgi için “VERBİS Nedir?” başlıklı yazımıza göz atabilirsiniz.
4) İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
Veri sorumluları, ilgili kişilerce kendisine iletilen, kanunun uygulanması ile ilgili talepleri en geç otuz gün içerisinde sonuçlandırmalıdır. Veri sorumlusu bu talebin olumlu ya da olumsuz cevabını ilgili kişiye bildirmelidir. İlgili kişi red cevabı alması halinde, cevabı öğrendikten sonraki otuz gün içinde Kurula şikâyette bulunabilmektedir. Genellikle ücretsiz olan bu işlem, gerekmesi halinde bir ücret karşılığında da yapılabilmektedir.
5) Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Veri sorumlusu, kurula gelen bir şikâyet olması ya da kurulun bir ihlali tespit etmesi halinde, konuyla ilgili hukuka aykırılıkların giderilmesi ile sorumludur.
Kişisel Verilerin Korunması Kapsamında Suçlar ve Para Cezaları
Suçlar
Türk Ceza Kanunu’nda, kanuna uymayanlar için cezai yaptırımlar da mevcuttur. Bu suçlar ile ilgili olarak “Kişisel Veriler ile İlgili Suçlar” başlıklı yazımıza göz atabilirsiniz.
Para Cezaları
Buna ek olarak Kanun’dan kaynaklanan yükümlülüklerini yerine getirmeyenler için Kanun’da birtakım para cezaları öngörülmüştür.
Kanun uyarınca;
- Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 10.000 Türk lirasına kadar,
- Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
Bu para cezaları 2016 yılına ilişkin tutarları göstermektedir. Bu tutarlar enflasyon oranında kendiliğinden artmaktadır. Dolayısıyla 2020 yılı için azami tutar 1.600.000 TL civarındadır.
Bu konularla ilgili daha fazla bilgi ve danışmanlık hizmeti almak için tarafımızla sitemizdeki iletişim sayfasından veya info@startupnedir.com e-posta adresinden iletişime geçebilirsiniz.
