Symbol of law and justice. Law and justice concept.
KVKK’nın getirilme amacı kişisel verilerin işlenmesinde özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve buna yönelik kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacağı usul ve esasları düzenlemektir. Bu kapsamda Kanun’da yer alan nitelikleri taşıyan gerçek ve tüzel kişi veri sorumluları kişisel verileri işlerken Kanun’daki usul ve esaslara göre işlemek zorundadır. Aksi takdirde idari ve para cezası bulunmaktadır.
1- Hangi şirketler usul ve esaslara uymak zorundadır?
- Yıllık çalışan sayısı 50’den fazla olan veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek veya tüzel kişi veri sorumluları
- Çalışan sayısına ve mali bilançoya bakmaksızın faaliyet konusu özel nitelikli kişisel veri olan gerçek veya tüzel kişi veri sorumluları
- Doktorlar, eczacılar, diyetisyenler, diş hekimleri, hastaneler, laboratuvarlar, tıbbi görüntüleme merkezleri gibi meslek dalları bu kategoride değerlendirilmektedir.
- Kamu kurum ve kuruluşu veri sorumluları
6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” Olarak düzenlenmiştir.
Bununla birlikte de 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına karar verilmiştir.
Böylelikle yukarıda nitelikleri bildirilen gerçek ve tüzel kişiler kişisel verileri işlerken KVKK’daki usul ve esaslara uymakla yükümlü hale gelmiştir.
2- VERBİS Nedir?
Veri Sorumluları Sicili Bilgi Sistemi(VERBİS), Kanun’un 16. maddesine göre, Kişisel Verileri Koruma Kurumu tarafından kamuya açık olacak şekilde tutulacak olan sicildir. Yine bu maddeye göre kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce bu Sicile kaydolmak zorundadır. Ancak VERBİS’e kaydolmak yeterli olmayıp gerçek ve tüzel kişiler öncelikle Kanun’da yer alan yükümlülüklerini yerine getirmek zorundadır. VERBİS’e kayıt bu yükümlülüklerden yalnızca birisidir.
- Kanun’da Yer Alan Birtakım Yükümlülükler
- Kişisel Veri Envanterinin Hazırlanması
- Aydınlatma Metinlerinin Düzenlenmesi
- Açık Rıza Metinlerinin Hazırlanması
- KVKK Gizlilik Politikasının Belirlenerek Gizlilik Sözleşmelerinin Hazırlanması
- Kişisel Verilerin Korunması ve İşlenmesi Politikası Hazırlanması
- Başvuru Formlarının Düzenlenmesi
- Veri Güvenliğine İlişkin Teknik Tedbirler
- Saklama ve İmha Politikalarının Hazırlanması
- İş Sözleşmesi ve Disiplin Yönetmeliği’nin Düzenlenmesi
- Veri Güvenliğine İlişkin Teknik Tedbirlerin Alınması
- Eğitim ve Farkındalık Faaliyetleri Düzenlenmesi
- VERBİS’e Kayıt
3- Veri Sorumlularınca İşlenen Bazı Veri Kategorilerinden Örnekler
- Kimlik: Bu veri kategorisi ad soyadı, anne – baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, TC kimlik no gibi veri gruplarını ifade etmektedir.
- İletişim: Bu veri kategorisi e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi veri kategorilerini ifade etmektedir.
- Lokasyon: Bu veri kategorisi bulunduğu yerin konum bilgileri gibi veri türlerini ifade etmektedir.
- Özlük: Bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları vb.
- Hukuki İşlem: Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler vb.
- Müşteri İşlem: Çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi
- Fiziksel Mekan Güvenliği: Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları vb.
- İşlem Güvenliği: IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri
- Risk Yönetimi: Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler( IP Adresi, MAC ID
- Finans: Bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri vb.
- Mesleki Deneyim: Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri
- Pazarlama: Alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler vb.
- Görsel ve İşitsel Kayıtlar: Fotoğraf, ses kaydı, kamera kaydı, ehliyet fotokopisi/taraması, kimlik fotokopisi/taraması, pasaport fotokopisi/taraması
- Irk ve Etnik Köken
- Siyasi Düşünce Bilgileri
- Felsefi İnanç, Din, Mezhep Ve Diğer İnançlar
- Kılık Ve Kıyafet: Kişinin giyim kuşamına dair ayırt edici özelliklerin bulunduğu veri grubudur. Kılık Kıyafet satın alma geçmişi, giydiği ayırt edici kıyafetler vb.
- Dernek Üyeliği
- Vakıf Üyeliği
- Sendika Üyeliği
- Sağlık Bilgileri
- Cinsel Hayat
- Ceza Mahkûmiyeti ve Güvenlik Tedbirleri
- Biyometrik Veri: Parmak izi, avuç içi izi, yüz, iris, retina, kulak, el damarı, vücut kokusu vb.
- Genetik Veri
4- İdari ve Cezai Sorumluluklar Nelerdir?
a) Suçlar
Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. (2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
b) İdari Para Cezaları
- Kanunun, 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 13.391 Türk lirasından 267.883 Türk lirasına kadar,
- 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 40.179 Türk lirasından 2.678.863 Türk lirasına kadar,
- 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 66.965Türk lirasından 2.678.863Türk lirasına kadar,
- 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 53.572 Türk lirasından 2.678.863Türk lirasına kadar, idari para cezası verilir.
Siz de şirketinizin KVKK’ya uyumlu hale getirilmesini ve ilgili düzenlemelerin yapılmasını istiyorsanız iletişime geçebilirsiniz.
Av. Merve ÇİRKİN