Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde Türkiye Büyük Millet Meclisi’nde kabul edilmiş ve 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. KVKK, kişisel verilerin işlenmesi, saklanması, paylaşılması ve korunmasıyla ilgili genel prensip ve kuralları düzenlemekte olup, bu verilerin özel hayatın gizliliğine zarar verilmeden kullanılmasını sağlamayı amaçlamaktadır. Kişisel verilerin korunması hukuku yeni bir hukuk alanıdır. Kişisel verilerin korunması mevzuatına uyum süreci birçok gerçek ve tüzel kişiyi yakından ilgilendirmektedir. Nitekim Kişisel Verileri Koruma Kanunu’na aykırılık halinde Kişisel Verileri Koruma Kurulu tarafından ciddi ceza yaptırımlarına hükmedilebilmektedir. Bu yazı herhangi bir hukuki tavsiye veya yönlendirme içermez. Fethiye kişisel verileri koruma danışmanlığı, Fethiye KVKK danışmanlığı, Fethiye KVK uyum süreci danışmanlığı gibi alanlarda uzman bir avukat desteği alınması tavsiye edilmektedir.
Kişisel Veri Nedir ?
Kişisel Verileri Koruma Kanunu’nun gerekçesinde kişisel veri aşağıdaki gibi tanımlanmıştır.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgileri de kapsar. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.
Kişisel verilerin işlenmesi konusunda Kişisel Verileri Koruma Kanunu esas alınmak zorundadır. Kişisel verilerin işlenmesi süreci ile ilgili bu kanunun yanı sıra TCK esas alınmalıdır. Nitekim, Türk Ceza Kanunu’nda da bu konuda birtakım suçlar ihdas edilmiştir.
Kişisel Verileri Koruma Hukuku Bakımından Sorumluluklar Nelerdir ?
KVKK’nin kapsamında olan özel ve tüzel kişilerin belirlenmesi ve bu kişilere yönelik hak ve sorumluluklarının anlaşılması, kanunun etkin bir şekilde uygulanmasını sağlamak adına büyük önem taşımaktadır.
- Özel Kişilerin Hakları ve Sorumlulukları: KVKK, bireylerin kişisel verilerinin korunmasını sağlamak üzere çeşitli haklar ve sorumluluklar tanımaktadır. Bu haklar arasında kişisel verilerin işlenmesine dair açık ve anlaşılabilir bilgilendirme alma, verilere erişim ve düzeltme talebinde bulunma, verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin işlenmesine itiraz etme ve kişisel verilerin korunmasıyla ilgili diğer haklar bulunmaktadır. Bireyler, kişisel verilerinin güvenliğinin sağlanmasını ve kötüye kullanılmasını önlemek için gerekli önlemleri almaları da önemlidir.
- Tüzel Kişilerin Hakları ve Sorumlulukları: KVKK, tüzel kişilerin de kişisel verilerin korunması konusunda belirli haklara ve sorumluluklara sahip olduğunu kabul eder. Tüzel kişiler, çalışanlarının ve müşterilerinin kişisel verilerini korumakla yükümlüdürler. Bu çerçevede, tüzel kişilerin, kişisel verileri yalnızca belirli amaçlar için ve kanunun izin verdiği şekilde işlemesi gerekmektedir. Ayrıca, tüzel kişiler, kişisel verilere erişim, düzeltme, silme veya yok etme taleplerine uygun şekilde yanıt vermekle yükümlüdürler. Tüzel kişiler ayrıca, kişisel verilerin güvenliğini sağlamak için gerekli teknik ve idari önlemleri almaları gerekmektedir.
- Özel ve Kamu Kuruluşları: KVKK, özel sektörde faaliyet gösteren tüzel kişilerin yanı sıra kamu kurumları ve kuruluşlarını da kapsamaktadır. Kamu kurumları ve kuruluşları, kişisel verilerin korunması konusunda özel bir sorumluluk taşımaktadır çünkü bu kuruluşlar genellikle geniş veri tabanlarına ve hassas bilgilere erişim sağlarlar. Bu nedenle, kamu kurumları ve kuruluşlarının, kişisel verileri korumak için özel önlemler alması ve KVKK’nin gerekliliklerine uygun hareket etmeleri önemlidir.
- Kişisel Veri Sorumluları ve Veri İşleyenler: KVKK, kişisel verilerin işlenmesinden sorumlu olan kişisel veri sorumlularını ve veri işleyenlerini tanımlar. Kişisel veri sorumluları, kişisel verilerin nasıl işlendiğini belirleyen ve bu verilere ilişkin kararları alan kişiler veya kurumlardır. Veri işleyenler ise, kişisel veri sorumlularının talimatları doğrultusunda kişisel verileri işleyen kişiler veya kurumlardır. Hem kişisel veri sorumluları hem de veri işleyenler, KVKK’nin hükümlerine uygun olarak kişisel verileri işlemekle ve korumakla yükümlüdürler.
KVKK’nin özel ve tüzel kişiler üzerindeki etkisi, kişisel verilerin korunmasıyla ilgili önemli bir dönüşümü temsil etmektedir. Bu kanun, bireylerin kişisel verilerinin gizliliğini korurken, işletmelerin ve kamu kuruluşlarının da bu verilere uygun şekilde erişim sağlamasını ve işlemesini sağlamaktadır. Bu nedenle, hem özel kişilerin hem de tüzel kişilerin, KVKK’nin hükümlerine uygun hareket etmeleri ve kişisel verilerin korunmasına yönelik gereken önlemleri alması büyük önem taşımaktadır.
KVKK Yükümlülükleri Nelerdir ?
Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin kişisel verilerinin işlenmesi, saklanması, paylaşılması ve korunmasına ilişkin Türkiye’deki standartları belirleyen önemli bir mevzuattır. Bu kanun, hem özel sektörde hem de kamu kurumlarında faaliyet gösteren tüm kişilerin ve kurumların belirli yükümlülüklere tabi olmasını sağlar. İşte KVKK’ya ilişkin yükümlülükler ve yapılması gerekenler:
- Kişisel Veri İşleme İlkelerine Uyma: KVKK, kişisel verilerin işlenmesine ilişkin belirli ilkeleri belirler. Bu ilkeler arasında hukuka ve dürüstlük kurallarına uygunluk, doğru ve güncel verilerin işlenmesi, belirli amaçlar için işlenme, işleme amacına uygunluk, işleme süresinin sınırlı tutulması ve güvenlik önlemlerinin alınması gibi prensipler bulunur. Kişisel veri sorumluları, bu ilkeleri uygulamakla yükümlüdürler.
- Aydınlatma Yükümlülüğünü Yerine Getirme: Kişisel veri sorumluları, kişisel verileri toplarken ve işlerken ilgili kişileri açık ve anlaşılır bir şekilde bilgilendirmekle yükümlüdürler. Bu bilgilendirme, kişisel verilerin hangi amaçlarla işleneceği, kimlerle paylaşılacağı, veri sahiplerinin hakları ve diğer önemli bilgileri içermelidir.
- Rıza Alınması: KVKK, kişisel verilerin işlenmesi için genellikle ilgili kişilerden açık rıza alınmasını öngörür. Ancak, bazı durumlarda rıza alınmasına gerek olmayabilir. Örneğin, kanunun açıkça izin verdiği durumlarda veya sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması durumunda rıza alınmasına gerek olmayabilir.
- Kişisel Veri Sahiplerinin Haklarına Saygı Gösterme: KVKK, kişisel verilerin işlenmesiyle ilgili olarak veri sahiplerine belirli haklar tanır. Bu haklar arasında kişisel verilere erişim hakkı, verilerin düzeltilmesi veya silinmesi talebi, veri işleme faaliyetlerine itiraz etme hakkı ve kişisel verilerin korunmasıyla ilgili diğer haklar bulunur. Kişisel veri sorumluları, bu haklara saygı göstermek ve taleplere uygun şekilde yanıt vermekle yükümlüdürler.
- Veri Güvenliğini Sağlama: KVKK, kişisel verilerin güvenliğinin sağlanmasını önemle vurgular. Kişisel veri sorumluları, kişisel verilerin yetkisiz erişimden, ifşadan, değiştirilmesinden veya yok edilmesinden korunması için gerekli teknik ve idari önlemleri almakla yükümlüdürler.
- Veri İşlemeye İlişkin Kayıtların Tutulması: Kişisel veri sorumluları, kişisel verilerin işlenmesine ilişkin belirli kayıtları tutmakla yükümlüdürler. Bu kayıtlar, hangi verilerin hangi amaçlarla işlendiğini, veri işleme faaliyetlerine ilişkin detayları ve diğer önemli bilgileri içermelidir. Bu kayıtlar, KVKK’nın gerekliliklerine uygun olarak düzenli aralıklarla güncellenmelidir.
- Veri İhlallerini Bildirme: KVKK, kişisel veri ihlallerinin bildirilmesini zorunlu kılar. Kişisel veri sorumluları, herhangi bir veri ihlali durumunda en kısa sürede ve KVKK’da belirtilen şartlara uygun olarak ilgili kişilere ve Kişisel Verileri Koruma Kurulu’na bildirimde bulunmakla yükümlüdürler.
Kişisel Verilerin Korunması Kanunu’nun yükümlülükleri, kişisel veri işleme faaliyetlerini yürüten herkes için önemli bir rehber niteliği taşır. Bu yükümlülüklerin yerine getirilmesi, hem veri sahiplerinin haklarının korunmasını sağlar hem de kişisel verilerin güvenliğini ve gizliliğini garanti altına alır. Bu nedenle, KVKK’ya uygun hareket etmek ve kişisel verilerin korunmasıyla ilgili gereken önlemleri almak, tüm işletmelerin ve kurumların sorumluluğundadır.
KVKK Uyum Süreci Bakımından Yapılması Gerekenler Nelerdir ?
Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de kişisel verilerin korunması ve işlenmesi ile ilgili belirli standartları belirler. Bu kanun, kişisel verilerin güvenliğini sağlamak ve hukuki güvence altına almak amacıyla çeşitli yükümlülükler getirir. Bu yükümlülüklerden biri de kişisel veri sorumlularının envanter hazırlama süreci ve VERBİS’e kayıt sürecidir.
- Envanter Hazırlama Süreci:
Kişisel veri sorumluları, KVKK’nın gerekliliklerine uygun olarak kişisel veri envanteri oluşturmakla yükümlüdürler. Bu envanter, işletmenin veya kurumun ne tür kişisel verileri işlediğini, bu verilerin hangi amaçlarla işlendiğini, veri işleme faaliyetlerinin hangi birimler tarafından gerçekleştirildiğini ve diğer ilgili bilgileri içermelidir.
Envantör hazırlama süreci genellikle aşağıdaki adımları içerir:
- Veri Varlıklarının Belirlenmesi: İlk adım, işletme veya kurumun hangi veri varlıklarını işlediğini belirlemektir. Bu adımda, hangi departmanların hangi tür verilerle çalıştığı detaylı olarak incelenir.
- Veri İşleme Faaliyetlerinin Tanımlanması: Daha sonra, işletme veya kurumda gerçekleştirilen veri işleme faaliyetleri belirlenir. Bu, hangi verilerin nasıl toplandığı, saklandığı, paylaşıldığı veya kullanıldığı gibi süreçleri içerir.
- Risk Değerlendirmesi Yapılması: Her veri işleme faaliyeti için bir risk değerlendirmesi yapılır. Bu, potansiyel risklerin belirlenmesi ve bu risklere karşı alınacak önlemlerin belirlenmesini içerir.
- Güvenlik Tedbirlerinin Belirlenmesi: Risk değerlendirmesine dayanarak, gerekli güvenlik tedbirleri belirlenir. Bu tedbirler, veri güvenliğini sağlamak ve veri ihlallerini önlemek için alınır.
- Envanterin Oluşturulması: Yukarıdaki adımların tamamlanmasının ardından, kişisel veri envanteri oluşturulur. Bu envanter, işletmenin veya kurumun tüm veri işleme faaliyetlerini detaylı bir şekilde içermelidir.
- VERBİS’e Kayıt Süreci:
KVKK, kişisel veri sorumlularının VERBİS’e kaydını zorunlu kılar. VERBİS, Veri Sorumluları Sicil Bilgi Sistemi’ni ifade eder ve Türkiye’deki kişisel veri işleme faaliyetlerinin kaydedildiği ve izlendiği bir platformdur.
VERBİS’e kayıt süreci genellikle aşağıdaki adımları içerir:
- Sisteme Giriş Yapma: İlk adım, kişisel veri sorumlularının VERBİS sistemine giriş yapmasıdır. Bu, online platform üzerinden gerçekleştirilir ve ilgili kişilerin kurumsal kimlik bilgilerini kullanarak sisteme erişmelerini sağlar.
- Bilgi Girişi: Ardından, kişisel veri sorumluları, işletme veya kurumları hakkında belirli bilgileri sisteme girmelidirler. Bu bilgiler arasında işletme veya kurumun adı, ticaret sicil numarası, iletişim bilgileri ve kişisel veri sorumlusunun bilgileri bulunur.
- Envanterin Yüklenmesi: VERBİS’e kayıt sırasında, kişisel veri sorumluları tarafından oluşturulan kişisel veri envanteri sisteme yüklenir. Bu, işletmenin veya kurumun hangi veri işleme faaliyetlerini gerçekleştirdiğini detaylı bir şekilde kaydetmeyi sağlar.
- Onaylama ve Kayıt: Son adım, girilen bilgilerin doğrulanması ve kaydın tamamlanmasıdır. Bu adımı takiben, kişisel veri sorumlusu, VERBİS’e kaydedilir ve kayıt işlemi tamamlanmış olur.
Kişisel veri sorumlularının KVKK’ya uyumlu olarak envanter hazırlama süreci ve VERBİS’e kayıt sürecini tamamlaması, kişisel verilerin korunması ve işlenmesiyle ilgili yasal gerekliliklere uygunluğu sağlar. Bu süreçlerin doğru ve eksiksiz bir şekilde yürütülmesi, veri güvenliğini sağlamak ve hukuki sorumlulukları yerine getirmek açısından büyük önem taşır.
Fethiye KVKK Danışmanlığı
Makalemizde bahsedildiği üzere Kişisel Verilerin Korunması Kanunu’na uyum süreci kapsamlı bir çalışma gerektirmektedir. Farkında olarak veya olmayarak özellikle ticari hayatın içerisinde kişisel verilerin işlenmesi günümüzde mecburiyet halini almıştır. Ancak Kişisel Verileri Koruma Kurulu’nun uygulayacağı cezai müeyyidelerden korunmak amacıyla kanuna uyum sağlanmalıdır. Bu kapsamda işletmenin kendine has ihtiyaçları da gözetilerek KVKK danışmanlığı alınması tavsiye edilmektedir. Her işletme için KVKK uyum sürecinin sağlanması önemlidir. Fethiye KVKK Danışmanlığı, Fethiye KVKK uyum süreci, Fethiye Kişisel Verileri Koruma Danışmanlığı konularında ayrıntılı bilgi için 0506 773 3969 numaralı telefondan bize ulaşabilirsiniz. Fethiye’de bulunan ofisimizi ziyaret edebilirsiniz.
Av. Cem SİPER