KVKK (Kişisel Verilerin Korunması Kanunu) nedir?
Kişisel Verilerin Korunması Kanunu(KVKK), Avrupa Birliği uyum süreci kapsamında TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarihinde Resmî Gazetede yayımlanarak yürürlüğe girmiştir.
Kişisel Veri Nedir?
Kişisel veri bu kanun tarafından, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu kapsamda; bir gerçek kişinin adı, soyadı, adresi, telefon numarası, TC kimlik numarası, sosyal güvenlik numarası, e-posta adresi, hobileri, siyasi düşüncesi ve benzeri bilgileri kişisel veri olarak değerlendirilmektedir.
Kişisel Verilerin Korunması Kanunu’nun amacı nedir?
Kanunun amacını iyi anlayabilmek için günümüz teknolojilerinin etkin ve yaygın kullanımını irdelememiz gerekmektedir. Kullanmış olduğumuz sosyal medya hesaplarına bizzat tarafınızca girdisi yapılan verilerden, iş başvurusu veya hizmet alma amacıyla ilgili kamu ve özel kurum ve kuruluşlarla paylaştığınız isim, soy isim ve kredi kartı bilgilerine kadar tüm kişisel bilgilerimiz bir şekilde ilgili kurumlarca muhafaza edilmektedir. Bu bilgilerin rızamız olmadığı halde kötü niyetli üçüncü kişi veya kişilerle paylaşıldığına birçoğumuz tanık olmuşuzdur. Yaygın bir örnek vermek gerekir ise, kullanmış olduğunuz telefon numarasına veya e-mail adresine daha öncesinde hiç irtibatınızın olmadığı kişi ve kurumlarca, rızanız dışında, muhtelif zamanlarda kısa mesaj veya posta gönderimi yapılıyor ise sizler de kişisel verilerinizin gizliliğinin ihlali açısından mağdur olmuşsunuz demektir. KVKK ile birlikte sizlere ait verilerin rızanız dışında toplanmasının, ifşasının ve başkalarıyla paylaşılmasının önüne geçilmesi kişilik haklarınızın korunması amaçlanmaktadır.
Veri Sahiplerinin Hakları Nelerdir?
KVKK içeriği itibariyle, bahsetmiş olduğumuz verileri sizlerden çeşitli yollarla temin eden bu kurum ve kuruluşlara bazı yükümlülükler getirmekte ve veri sahibi olan gerçek kişilerin kendilerine ait bu verilerle ilgili silinmesini, imhasını ve düzeltilmesini ve benzeri hakları kanun güvencesine almaktadır.
Veri Sorumlularının Yükümlülükleri Nelerdir?
Kanun, kamu veya özel ayrımı yapmamakta ve bir şekilde kişilerin verilerini temin eden tüm kurum ve kuruluşları çok az istisnası dışında, kanun kapsamına dahil etmektedir. Veri Sorumlusu olarak adlandıracağımız bu kurumlar müşterileri, çalışanları, iş ortakları ve benzeri veri sahiplerinden almış olduğu verileri kanuna uygun bir şekilde kullanmakla, verilerin güvenliği için her türlü önlemi almakla ve muhafaza etmekle, amacı dışında kullanmamakla ve paylaşmamakla, verilerin güvenliği bir şekilde ihlal edildiğinde Kişileri Verileri Koruma Kurumu’na bildirmekle yükümlüdür.
VERBİS’e Kayıt Zorunluluğu Nedir?
Sorumlu şirket ve kurumlar açısından büyük önem arz eden bir husus da VERBİS’e(Veri Sorumluları Sicil Bilgi Sistemi) kayıt zorunluluğudur. VERBİS denilen sistem, KVKK Başkanlığı bünyesinde yer alan ve ulusal düzeyde kişisel veri güvenliğini sağlamak amacıyla tesis edilmiş bir sistemdir. Kurum, “Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları” konulu 9/07/2018 Tarihli ve 2018/87 Sayılı Kararı ile birlikte, “yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına” karar vermiştir. Çalışan sayısı 50’den fazla olan veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek veya tüzel kişilerin ise en geç 30.09.2020 tarihine kadar Sicil Kayıt Yükümlülüğünü yerine getirmesi gerekmektedir. Bu şartları sağlamayıp, işi sebebiyle özel nitelikli kişisel veri işleyen gerçek ve tüzel kişiler açısından ve kamu kurum ve kuruluşları açısından ise son tarih 31.03.2021’dir. Bu sorumluların, VERBİS üzerinden sicile kayıt yaptırmamaları durumunda Kişisel Verileri Koruma Kanunu’nun 18’inci maddesinin birinci fıkrasının ç bendine göre 20 bin Türk lirasından 1 milyon Türk lirasına kadar idari para cezası verilebilmesi söz konusu olacaktır.
KVKK Tarafından Öngörülen İdari Para Cezaları Nelerdir?
Verileri barındıran gerçek ve tüzel kişilerin, kanunda belirtilen yükümlülükleri yerine getirmemesi ve bir şekilde ihlale sebebiyet verilmesi durumunda üst sınırı çok ağır denilebilecek idari para cezaları öngörülmektedir.
İhlal İdari Para Cezası(2019 Enflasyonuna göre güncel)
Aydınlatma yükümlülüğünün ihlali Alt Sınır: 7.352,00- Üst Sınır: 147.058,00
Veri güvenliği yükümlülüğünün ihlali Alt Sınır: 22.052,00- Üst Sınır: 1.470.583,00
VERBİS kayıt yükümlülüğü ihlali Alt Sınır: 29.410,00- Üst Sınır: 1.470.583,00
KVKK Kurul kararlarına muhalefet Alt Sınır: 36.762,00- Üst Sınır: 1.470.583,00
Kişisel Verileri Koruma Kanunu Uyum Süreci Nedir?
Kişisel Verileri Koruma Kanunu ile ilgili bilgilendirme mahiyetinde hazırlamış olduğumuz bu yazı, sizlere genel anlamda fikir vermek amacıyla hazırlanmıştır. Kanun getirmiş olduğu düzenlemeler ile birlikte veri sahipleri olan gerçek kişilerin kişilik haklarını korumakla birlikte, tüzel kişiler açısından da ticari sırlarının korunması, marka değerinin artması ve müşteri memnuniyeti gibi menfaatler sağlayacaktır.
Yukarıda belirtmiş olduğumuz kayıt sürelerinin geçmesi ile birlikte, kurul daha da etkin olacak ve denetimleri neticesinde idari para cezaları kesmeye başlayacaktır, bu hususta özellikle kurumların profesyonel desteğe daha fazla ihtiyacı olacaktır.
Her ne kadar, VERBİS kayıt yükümlülüğü yalnızca belli şartları sağlayan veri sorumluları açısından öngörülmüş ise de; bu şartları taşısın veya taşımasın, müşterilerinden veya çalışanlarından veri toplayan tüm işletmelerin bu kanuna uyum yükümlülüğü bulunmakta ve idari para cezalarına maruz kalma ihtimali bulunmaktadır. Veri sorumlularının ileride bu tarz idari para cezalarına maruz kalmamak için Kişisel Verileri Korunması Kanunu’na uyum süreci ile ilgili danışmanlık hizmeti alması ve tüm altyapısını kanuna uygun hale getirmesi büyük önem arz etmektedir.
Av. Aytaç KINDIR