Ana Hatlarıyla Kişisel Verilerin Korunması
Bilindiği üzere 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile kişilere ait verileri işleyen şirketlere/kurumlara, bu verilerin korunması yükümlülüğü getirilmişti. Diğer bir deyişle KVKK, bireylere kişisel verilerinin korunmasına yönelik haklar, bu verileri işleyen şirketlere/kurumlara ise yükümlülükler getirmiştir.
Kişisel Veri ne demektir?
Kişilere ait kimlik bilgileri, adres, telefon, e-posta gibi iletişim bilgileri, fotoğraf, banka hesap bilgileri, malvarlığı bilgileri, mesleği, alışveriş geçmişi gibi kişiyle ilişkilendirilebilen daha birçok veri, kişisel veri olarak sayılmaktadır. Bunlardan sağlık bilgileri, adli sicil bilgisi, biyometrik veriler gibi kişinin ayrımcılığa maruz kalması olası bilgiler ise özel nitelikli kişisel veri olarak sayılabilir.
Gelişen teknoloji sayesinde kişisel verilerin ve özel nitelikli kişisel verilerin sınırlı sayıda kalmayacağını, giderek genişleyebileceğini söyleyebiliriz. 2019 tarihli bir belgeselde, bir kişiye ait yaklaşık 5 bin kişisel verinin kullanıldığı belirtilmiştir.
“Kişisel Veri İşlemek” ne anlama gelir?
Bireylere ait verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi anlamına gelmektedir.
Kişisel verileri işleyen şirketin/kurumun, işleme faaliyetinin bir veri kayıt sistemine dayanması esastır. Örneğin, işe giriş öncesinde potansiyel çalışan adayından alınan bilgilerin, işe alım süreçlerinin bir parçası olarak otomatik ya da manuel yöntemlerle kaydedilmesinde veri kayıt sisteminden bahsedilebilir. Ancak anlık gelişen bir durumda masada bulunan bir bloknot üzerine yazılan bir kişisel verinin, veri kayıt sisteminin bir parçası olduğu söylenemez.
Her şirket/kurum kişisel veri işler mi?
Her şirket/kurum ister çalışan ister müşteri olsun bireylere ait kişisel verileri işlemekte, bunları belirli bir süre saklamaktadır. Dolayısıyla faal olan her şirketin/kurumun kişisel veri işlediğinden bahsedebiliriz. Nitekim bu verileri saklamak kimi zaman şirketlerin/kurumları kimi zaman ise bireylerin menfaatinedir. Potansiyel ve mevcut müşterilere ait kişisel veriler, en çok işlenen kişiler veriler arasında gösterilmektedir.
Şirketler/Kurumlar KVKK kapsamında ne yapmalıdır?
Kişisel verileri korumakla yükümlü şirket veya kurumlar, genellikle ve çoğunlukla çalışanlarına ve mevcut/potansiyel müşterilerine ait kişisel verileri işlemektedir. Bu işleme faaliyeti karşısında KVKK, ilgili mevzuat ve Kişisel Verileri Koruma Kurulu (Kurul) tarafından getirilen yükümlülükleri kısaca şöyle sıralayabiliriz;
- Çalışanlarından, çalışan adaylarından, müşterilerinden ve hatta potansiyel müşterilerinden kişisel veri elde eden her kurum veya şirket, kişisel verinin elde edildiği sırada mevzuatın öngördüğü biçim ve esaslara göre kişisel veri sahibini aydınlatmakla yükümlüdür.
- Şirketler veya kurumlar, veri güvenliğine yönelik olarak faaliyetlerine uygun ölçüde hem idari hem teknik yönlerden önlemler almalı ve alınan önlemleri dinamik olarak yönetmelidir.
- KVKK ve alt düzenlemeleri ile Kurul tarafından verilen kararlar ışığında şirket veya kurum nezdinde mevzuata uyumun sürdürülebilir olması gerekmektedir. Bu yönetimin şirket/kurum politikası haline getirilmesi ve buna uygun prosedürler oluşturulması önem arz etmektedir.
- KVKK ve alt düzenlemelerinin şirket veya kurum nezdinde mevzuata uygun şekilde yürütülmesini sağlamak üzere çalışanlara farkındalık eğitimleri verilmelidir.
- Şirketler veya kurumlar tarafından kişisel verisi işlenen bireylerin, Kurul’a şikâyet başvurusu yapmadan önce şirkete/kuruma başvurabilecekleri bir başvuru mekanizması oluşturulmalıdır. Bu mekanizma, bireylerin doğrudan Kurul’a şikâyette bulunmasını önlemek açısından proaktif bir yönetim anlayışının göstergesidir.
- KVKK uyumunun sürdürülebilirliği ve yönetimi açısından risklere karşı alınan tüm önlemlerin periyodik kontrolü ve gözden geçirilmesi önem arz etmektedir.
- Şirketin/Kurumun kişisel veri işlenen tüm süreçlerini yansıtan bir Veri Envanteri hazırlanmalıdır. Bu envanter, periyodik kontrollere, aydınlatma yapılacak süreçlere, politika dokümanlarına esas teşkil etmelidir.
- Hazırlanan Kişisel Veri Envanteri doğrultusunda, yasal zorunluluğu bulunan şirketler/kurumlar Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt yaptırmalıdır.
KVKK hakkında güncel gelişmeleri yakından takip etmek için sayfamıza göz atın.
KVKK yükümlülüklerine uyulmadığında ne olur?
Mevzuata uyum sağlanmadığında şirketleri/kurumları ilgilendiren 4 idari para cezası bulunmaktadır.
- Aydınlatma yükümlülüğünü yerine getirmeyen şirketlere/kurumlara, 9.834 TL ilâ 196.686 TL arasında idari para cezası düzenlenir.
- Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen şirketlere/kurumlara 29.503 TL ilâ 1.966.862 TL arasında idari para cezası düzenlenir.
- Kurul kararlarını uygulamayan şirketlere/kurumlara, 49.172 TL ilâ 1.966.862 TL arasında idari para cezası düzenlenir.
- Yasal süresi içinde VERBİS kaydını yaptırmayan şirketlere/kurumlara 39.337 TL ilâ 1.966.862 TL arasında idari para cezası düzenlenir.
Sonuç
Son yıllarda kişisel verilerin korunmasına yönelik farkındalık giderek artış göstermektedir. Buna paralel olarak yasal yükümlülüklere aykırı hareket eden şirketlerin/kurumların, idari para cezalarına maruz kalması durumunda ekonomik açından sarsıcı durumlar ortaya çıkabilmektedir. Bu durum, KVKK uyumunu yönetemeyen şirketlere/kurumlara düzenlenen yüksek tutarlı idari para cezalarından anlaşılabilir.
Tek bir idari para cezasına tekabül eden tutarlara dahi ulaşmayan danışmanlık ücretleri ile KVKK uyumunda profesyonel danışmanlık hizmeti almak mümkün. Bu yazıyı okuduysanız, buradan KVKK uyumu hakkında her türlü bilgi ve hizmet alabilirsiniz.
Diğer Blog Yazılarına Göz Atın
Apsis Editör Ekibi
2019 yılından bugüne kadar devlet teşvikleri alanında faaliyet gösteren Apsis Danışmanlık Hizmetleri, sağlık turizmi, imalat sanayi, ihracatçı işletmeler ile çeşitli KOSGEB ve TÜBİTAK projelerinde terzi usulü anlayışı profesyonel bir yaklaşımla yerine getirerek milyonlarca lira devlet desteğini işletmelere kazandırmaktadır.