0555 687 39 65
info@halilibrahimcelik.av.tr

Kişisel Verilerin Korunması Kanunu’na (KVKK) Uyum

Miras, Bilişim, Ceza, Aile ve İş Hukuku Avukatı

KVKK

6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Bu Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Yasa ile verilen 2 yıllık uyum süreci sona ermiş ve 2018 Nisan ayı itibari ile yasa birçok hükmü ile uygulanır hale gelmiştir.

Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır?

Kanun, kişisel verileri işlenen gerçek kişiler ve bu kişisel verileri otomatik veya başkaca bir yolla kaydeden-işleyen gerçek veya tüzel kişiler hakkında uygulanır. Kişisel verilerin korunması bakımından bu kanun özel yada kamu tüzel kişilikleri arasında bir ayrım yapmamıştır. O nedenle kanun kişisel verileri işleyen bütün kişiler hakkında uygulanmaktadır.

Kişisel Verilerin İşlenmesinde Genel (Temel) İlkeler Nelerdir?

Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır. Kişisel verilerin işlenmesinde genel ilkeler kanunda da belirtildiği üzere şunlardır:

a. Hukuka ve dürüstlük kurallarına uygun olma,

 b. Doğru ve gerektiğinde güncel olma,

c. Belirli, açık ve meşru amaçlar için işlenme,

ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

d. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin korunması işlemesi yukarıda belirtilen usul ve esaslara uygun olarak yürütülmelidir.

Kişisel Verilerin Korunması İşlenme Şartları Nelerdir?

Kanunun 5. maddesinde kişisel verilerin korunması işlenmesi şartlarını düzenlenmiştir. Özel nitelikli kişisel verilerin işlenme şartları ise Kanunun 6. maddesinde farklı esaslara bağlanmıştır. Bu çerçevede, özel nitelikli olmayan kişisel verilerin hangi hallerde hukuka uygun olarak işlenebileceği Kanundaki esaslara göre aşağıdaki şekilde düzenlenmiş olup, bu şartlardan sadece bir tanesinin bulunması özel nitelikli olmayan kişisel verilerin işlenmesi için yeterli hukuki şartı oluşturacaktır.

1. İlgili kişinin açık rızasının varlığı

2. Kanunlarda açıkça öngörülmesi,

3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

4. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

5. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

6. İlgili kişinin kendisi tarafından alenileştirilmiş olması,

7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel verilerin korunması işlenmesi şartları, yani hukuka uygunluk halleri, Kanunda sınırlı sayıda sayılmış olup, bu şartlar genişletilemez. Kişisel veri işleme, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Nitekim, ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir.

6698 sayılı Kanunun 16 ncı maddesine göre; kişisel veri işleyen gerçek ve tüzel kişiler, kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında, Veri Sorumluları Siciline kayıt yükümlülüğünün başlama tarihleri ile ilgili karar alma ve bunu ilan etme görev ve yetkisi Kişisel Verileri Koruma Kuruluna (“Kurul”) verilmiştir. Bu kapsamda Kurulca alınan ve 18.08.2018 tarihli ResmiGazete’de yayımlanan 2018/88 sayılı Kararda veri sorumluları için kayıt başlama tarihleri aşağıdaki gibi belirlenmiştir:

-Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları 01.10.2018 -30.06.2020,

 -Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 -30.09.2020,

-Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 -31.12.2020, tarihleri arasında Sicile kayıt olmak zorundadır.

Veri Kayıt Sistemi Oluşturulmalıdır.

Veri kayıt sistemi, kişisel verilerin korunması ve işlenmesi belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi elektronik ya da fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, örneğin kredi borcunu ödemeyenlere ilişkin oluşturulacak bir sınıflandırma da bu kapsamda değerlendirilmektedir. Örneğin, herhangi bir kritere bağlı olmaksızın gelişigüzel bir şekilde sadece kişilerin ad ve soyadlarının bir kağıtta yer alması hali, Kanun kapsamına girmemekle birlikte, söz konusu isimlerin belirli bir kritere göre bir kağıda kaydedilmesi halinde, bu veri kaydı Kanun kapsamında değerlendirilmektedir.

Veri Sorumluları Siciline Kimler Kayıt Olmalıdır?

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. Ayrıca Kanunun 28. maddede kapsamındaki hallerde de veri sorumlularının sicile kayıt yükümlülüğü bulunmamaktadır.

VERBİS Sistemine Kayıt İçin “VERİ HARİTASININ” Çıkarılması 

Kişisel verilerin korunması işlenmesi konusunda Avrupa ülkeleri bir tür endeks sistemi kullanmaktadırlar.

Kişisel veri işleme envanteri şu satırları zorunlu olarak kapsamak durumundadır; 

  • Kişisel verilerin hangi amaçlarla işlenebileceği,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,
  • Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Sicile kayıt tarihi ile kaydın sona erdiği tarih,
  • Kişisel veri güvenliğine ilişkin alınan tedbirler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Kişisel Veri İşleme Amaçlarının Belirlenmesi Ve Hukuka Uygunluk Denetimi

Kişisel verilerin işlenmesinde, kural olarak ilgilinin açık ve bilgilendirmeye dayanan rızası olmalı. Ancak bunun istisnaları da var. Genel nitelikteki kişisel verilerin işlenmesinde rıza olmasa da belirli koşullar varsa bunların işlenmesine kanun izin veriyor. Özellikle Kanunda yer alan rıza koşuluna istisna getiren hükümlerden “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” düzenlemesinin uygulamada devreye gireceğini söylemek mümkün.  

Ancak, hassas (özel nitelikli) veriler bakımından ise farklı bir durum söz konusu. Bu nitelikteki verileri işlerken çok dikkatli olmak gerekiyor. Kanuna göre, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri ve özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasak.

Kişisel Verilerin Saklanması ve İmha Politikasının Hazırlanması

28/10/2017 tarihinde Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca veri sorumlusu sakladıkları tüm verilerinin bir analizini yapmalı ve hangi verilerin kişisel veri olduğu ya da olabileceği belirlenmeli. Kişisel verilerin dahil oldukları kategoriler belirlenmeli (adres bilgileri, telefon görüşme kayıtları, kişisel sağlık verileri vb.) Verilerin kategorileri belirlenmeli ve her veri kategorisi için işlenebilecek azami süre bulunmalı.

 Kişisel Verilerin Korunması İle İlgili Sözleşmesel Altyapının Oluşturulması

Kişisel Verilerin Korunması Kanunu, Şirketlerin sözleşmesel altyapılarını da gözden geçirmesini gerektiriyor. Özellikle “ALT İŞVEREN” sözleşmelerinde gizlilik maddeleri yeniden KVK dikkate alınarak yazılmalı. Kişisel Verilerin İşlenmesinde “RIZA” hükümleri planlanmalı ve getirilmeli. Kişisel Verilerin Devrine İlişkin sözleşmelerde de düzenlemeler getirilmeli. Her daim güncelliğe önem verilmeli.

Kişisel Verilerin Korunması İle İlgili Bilgilendirme Metinlerinin (PrıvacyNotıce) Hazırlanması 

Kişisel verilerin kim tarafından işlendiği, hangi amaçla işlendiği, bunların nasıl aktarıldığı, ilgili kişinin hakları (erişme, düzeltme, silinmesini talep etme gibi) konularda prosedürler hazırlanmalı ve ilgilinin bilgisine sunulmalı. Ancak bundan sonra çalışanın rızasını alabilmektedir.

Kişisel Verilerin Korunması İle İlgili Prosedürlerin Hazırlanması

Kişisel verilerin korunması kanunu bir çok noktada özel prosedürler çıkarılmasını gerektiriyor. Nitekim bunların başında kurumun kişisel verileri imha politikası yer alıyor.  kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde resen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir.Yine, teknik ve idari güvenlik tedbirlerine ilişkin prosedürler, erişim yetkisine ilişkin prosedürler, laptop, kamera, telefon , internet, e-mail kullanım prosedürlerinin KVK uyarınca hazırlanması ve çıkarılması gereklidir. 

Süreçlerin Ele Alınarak KVKK ile Uyumlu Hale Getirilmesi 

Kurumların her türlü sürecini KVKK ile uyumlu hale getirmesi gereklidir. Nitekim, her türlü kişisel verilerin korunması işlenmesinde temel ilkelere göre hareket edilmelidir. . Bu ilkeler: Hukuka ve dürüstlük kurallarına uygun olmak, doğru ve gerektiğinde güncel olmak, belirli, açık ve meşru amaçlar için işlenmek, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmek. 

Kişisel Verilerin Korunması ile İlgili Gereken İdari ve Teknik Altyapının Kurulması 

Kişisel Verilerin Korunması Kanunu’na göre, Veri Sorumluları gereken idari ve teknik tekbirleri almak zorundadır. Bu uyum çalışmaları kapsamında şirket içi ve çalışanları arasında yapılması gerekenleri listelemek gerekirse;

  • Başta şirket üst yönetimi ile konunun öneminin ve yapılacak çalışmaların aktarıldığı bir ön bilgilendirme toplantısı yapılması ve yönetici özeti şeklinde bilgi aktarılması,
  • Şirket içinde bir proje hazırlık ekibi oluşturularak belirlenerek bu kişilerin detaylı eğitimine alınması,
  • Şirket profilinin çıkarılarak yapısına uygun çalışma planı oluşturulması,
  • Şirket içinde KVKK kapsamında toplanan tüm bilgilerin kaynağının belirlenmesi, analiz edilmesi, bunların tasnifi ile ilgili belirleme çalışması yapılması,
  • Konu ile ilgili çalışanlara eğitim verilmesi, (zorunlu eğitim)
  • Kanun ile ilgili eğitim dokümanı hazırlanması ve bunun şirket içinde yayınlanması,
  • KVKK ile ilgili çalışma alanı olan farklı departmanların ayrı ayrı eğitime alınması,
  • İşyerinde mevcut tüm iş sözleşmelerinin gözden geçirilmesi, çalışan iş sözleşmelerinin ileriye dönük olarak revize edilmesi,
  • Kişisel verilerle ilgili çalışan / personel muvafakatnamelerinin alınması,
  • Kişisel verilerle ilgili şirket tedarikçileri ve 3. Kişilerle yapılan sözleşmelerin gözden geçirilmesi
  • Bu şirket ve tedarikçilerden ayrıca muvafakatnameler alınması,
  • Şirket içinde veri sorumlusu ve veri işleyen ekiplerin oluşturulması ve bu ekiplerin özel eğitimi,
  • Veri işleyen taahhütnamesi ve veri sorumlusu taahhütnamelerinin alınması,
  • Kişisel verilerin korunması ile ilgili bilgilendirme ve kişisel verilerin işlenmesine ilişkin rıza alınması amacıyla beyan metinleri ve bilgilendirme formları metinlerinin hazırlanması,
  • Şirket süreçlerinin ele alınarak Kanun ile uyumlu hale getirilmesi,
  • Kişisel verilerin korunması ve veri güvenliği ve gizlilik politikası oluşturulması,
  • Sık veri alışverişi yapılan tedarikçiler ve firmalarla özel veri aktarım sözleşmeleri yapılması,
  • Kişisel verilerin korunması ile ilgili gereken idari ve teknik alt yapının kurulması,
  • Şirket içinde gizlilik, siber güvenlik ve çerez politikalarının oluşturulması için IT departmanı ile ortak çalışma yapılması,
  • Kişisel Veri İşleme Envanteri oluşturulması,
  • Ağ güvenliği, bilgisayar güvenliği ve kullanıcı güvenliği ile bilgi güvenliği konusunda gerekli alt yapının yasaya uygun şekilde oluşturulması konusunda IT departmanı ile birlikte çalışmalar yapılması,
  • Şirkete ait Web sitesi, Facebook, Twitter gibi sosyal paylaşım sitelerinin yasaya uygun şekilde güncellenmesi konusunda danışmanlık yapılması,
  • Kişisel Verilerin Korunması Kanunu kapsamında oluşturulacak veri sorumluları siciline gerekli kayıtların yapılması hususunda danışmanlık verilmesi,
  • VERBİS sistemine kayıt için veri haritasının çıkartılması,
  • İlgili kişilerin başvurusunu sağlamak amaçlı başvuru formu oluşturulması,
  • Kamuoyunu aydınlatma metni hazırlanması gerekmektedir.

Veri İşleme Politikası, veri sorumlusu şirket tarafından, hangi kişisel verilere kimler tarafından erişilebileceği veya hangi kullanımların yasak olduğunu belirleyen kurallar bütünüdür. Şirket tarafından hazırlanacak süreç ve politikalar, veri işleme faaliyetinin nasıl yürütüleceği konusunda bir kılavuz niteliğindedir.

Kişisel verileri işlenen kişileri talep ve başvurularını cevaplandırmak için gerekli sistem kurulmalıdır. Kanun’a göre bu talepler en geç 30 gün içerisinde cevaplanmalıdır. Aksi halde ilgilinin, Kurul’a şikayet yolu açılacaktır.

TTK Uyarınca İnternet Sitesine Konmuş Olan İçerik

2012’de yürürlüğe girmiş 6102 sayılı Türk Ticaret Kanunu’nun (“TTK”) 1524. maddesi uyarınca denetime tabi sermaye şirketleri, internet sitesi açmak ile yükümlüdürler. Söz konusu maddeye istinaden düzenlenmiş Sermaye Şirketlerinin Açacakları İnternet Sitesine Dair Yönetmelik’te (“İnternet Sitesi Yönetmeliği”) ise açılacak internet sitesinde yayımlanması zorunlu asgari içerikler belirlenmiştir. İşbu içeriklerden bir kısmı, KVKK bakımından kişisel veri sayılan içerikleri de kapsamaktadır.

İnternet Sitesi Yönetmeliği kapsamındaki yükümlülüklerini yerine getirebilmek adına şirketler, birtakım belgeleri KVKK öncesinde internet sitelerine yüklemiş bulunduklarından KVKK sonrasında bu belgelerin değerlendirmesi yapılmalıdır.

İnternet sitesine belge ve/veya bilgi yüklerken veya bunların denetimini yaparken şirketlerin konan bilginin öncelikle i) “kişisel veri” olup olmadığını, ii) kişisel veri ise TTK uyarınca yayımlanmasının zorunlu olup olmadığını ve iii) zorunlu ise, yapılan yayımın zorunluluk ile ölçülü olup olmadığını değerlendirmesi ve bu değerlendirme sonucunda ilgili evrakı yayımlaması gerekmektedir. Bu prensip ışığında yapılan TTK uyum çalışmalarının KVKK ihlali teşkil etmemesi sağlanmış olacaktır. E-firmalar da KVKK kapsamında yükümlülükleri yerine getirmeli ve site üzerinden elde edilen kişisel verilerin elde edilme amacına uygun kullanımına dikkat edilmelidir. Aksi halde idari para cezası ile karşı karşıya kalınması kaçınılmazdır.

0.00 avg. rating (0% score) - 0 votes

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir


üç × 5 =

Sorunuz mu var?