07.04.2016 tarihinde yürürlüğe giren 6698 numaralı Kişisel Verilerin Korunması Kanunu’nda (KVKK) yer alan usul ve esaslara uyum sağlamayan şirketler için hapis cezası ve idari para cezaları söz konusudur. Verinin kaydedilmesi, işlenmesi, aktarılması ve yok edilmesi ile ilgili yasaya uymamanın cezası 1 – 6 yıl arası hapis, kanunda belirlenen yükümlülüklerin yerine getirilmemesinin karşılığı ise 5.000 – 1.000.000 TL arası idari para cezası olabilmektedir.
Şirketlerin başvuru süreleri bitinceye kadar kanuna uyum ile ilgili çalışmalarını tamamlamaları gerekmektedir. Başvuru sürelerine ilişkin tabloyu yazının devamında bulabilirsiniz.
24.03.2016 tarihinde kabul edilen ve 07.04.2016’da 29677 sayılı Resmi Gazete’de yayınlanan 6698 numaralı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesi sırasında başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı, bunun için de kişisel veri sorumlularının yükümlülüklerini, uyulacak usul ve esasları düzenlemeyi amaçlamaktadır. Kanun gerçek kişilere ait olan kişisel verilerin işlenmesini kapsamaktadır, bu verileri (otomatik veya değil) bir kayıt sisteminin parçası olarak işleyen gerçek ve tüzel kişileri kapsar.
Kanuna göre kişisel veri nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Örneğin; ad, soyad, TC kimlik numarası, doğum yeri, doğum tarihi, adres, telefon numarası, e-posta adresi, IP numarası, özgeçmişi, vb. Ayrıca kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ise özel nitelikli kişisel veri olarak tanımlanmaktadır.
Eğitim kurumlarına kaydolurken, tedavi için hastaneden hizmet alırken, otelde, yolculuk yaparken, mağazalarda indirim kartı formu doldururken ya da yeni bir işe başvururken hayatın akışında bu veriler toplanmakta ve işlenmektedir.
Şirketler çalışanlarından müşterilerine, bayilerinden iş ortaklarına kadar birçok tarafın kişisel verisini işlemektedir. Kanun tüm bu süreçlerdeki kişisel bilgilerin alınması, kaydedilmesi, saklanmasını, değiştirilmesini, kullanılmasını, aktarılmasını vb. her türlü işlemleri kişisel verilerin işlenmesi olarak tanımlamaktadır.
Bu kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur.
Kanunda kişisel veri süreçlerinde ne tür düzenlemeler mevcuttur?
Kanunun kişisel verilerle ilgili düzenlemelerini üç grup halinde sayabiliriz :
a. Kişisel Verilerin İşlenmesi: Şirketler kişisel verileri toplarken, ilgili kişilere bu verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebini ve kanunda yer alan hakları konusunda bilgi vermeli ve açık rıza alınması gereken hallerden ise, açık rızasını almalıdır. Yasaya göre, kanunlarda açıkça öngörülmesi, hayat ve beden bütünlüğünün korunması, bilgilerin kişinin kendisi tarafından alenileştirilmesi vb. sebeplerle açık rıza aranmaksızın kişisel verilerin işlenmesi mümkündür.
b. Kişisel Verilerin Aktarılması: Aktarım sürecinde ilgili kişinin açık rızası alınmalıdır. Yurtdışına aktarım ile ilgili yeterli korumanın bulunması, uluslararası sözleşmeler, ülke karşılıklılığı vb. birçok husus göz önünde bulundurulmalıdır.
c. Kişisel Verilerin Silinmesi: Kişisel verilerin işlenme süreci sonrasında, işlenmesinin gerektiren sebep ortadan kalktığında veya ilgili kişi talep ettiğinde bu bilgiler silinir, yok edilir veya anonim hale getirmelidir.
Şirketler bu süreçleri nasıl yönetmeliler ?
Şirketler, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan bir gerçek veya tüzel kişi belirlemeli, bu kişiyi Kişisel Verileri Koruma Kurulu’nun tutacağı Veri Sorumluları Siciline kaydettirmelidir.
Kanunda belirlenen “Aydınlatma Yükümlülükleri”ne uymalıdır. Kişisel verilerle ilgili hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak, gerekli denetimleri yapmak veya yaptırmak zorundadır.
Kanuna uymamanın cezası nedir?
Hukuka aykırı olarak kişisel verilerin kaydedilmesi, aktarılması, yayılması, veya ele geçirilmesi, süresi geçtiği halde veya yok edilmesi gerektiği halde yok edilmemesi Türk Ceza Kanunu’nun ilgili maddelerine göre 1 – 6 yıl arasında değişen hapis cezaları ile tecziye edilecektir.
İlgili kişilere bilgi verilmesinde, veri güvenliğinin sağlanmasında, yapılan şikayet ve itiraz incelemelerinde işlenecek kabahatler içinse 5.000 – 1.000.000 TL arası para cezası verilebilecektir.
Verbis’e Son Kayıt Tarihleri
SC LEGAL OLARAK ŞİRKETLERE NASIL YARDIMCI OLMAKTAYIZ?
Şirketlere kişisel verilerin korunması konusunda uzman ekibimizle danışmanlık ve denetim hizmetleri veriyoruz.
Üç farklı çalışma kapsamımız mevcut:
· KVK Yönetimi Sistemini şirket ile birlikte bizzat kurabiliriz.
· Danışmanlık verir, KVK Yönetim Sistemini kurarken şirkete destek oluruz.
· Denetim yaparız, kurulan KVK Yönetim Sisteminin olgunluğu değerlendirir, eksiklikleri raporlarız.
Mevcut Durum Analizi
· Kişisel veri envanteri
· Kişisel veri ile ilgili süreçler
· Organizasyon yapısı
· Sözleşme envanteri
· Kişisel verileri imha politikası
· Aydınlatma metni
Sürecin Uyumlandırılması
· Kişisel verilerin sınıflandırılması
· Veri işleme süreçlerinin uyumlandırılması
· Veri aktarım süreçlerinin uyumlandırılması
· Veri imha süreçlerinin uyumlandırılması
· Müşteri, personel, tedarikçi vb . ile yapılan sözleşmelerin güncellenmesi
· Başvuru, şikayet, itiraz süreçlerinin oluşturulması/uyumlandırılması
Organizasyon
İrtibat kişisinin seçilmesi
· Veri Sorumluları Sicili’ne (VERBİS) kayıt işlemleri
· İlgili görev tanımlarının oluşturulması
· Kişisel Veri Yönetimi sürecinin oluşturulması
· KVK uyum ekibi ve irtibat kişisinin eğitimi
· İç kontrol ve denetim süreçlerinin uyumlandırılması
· Kurumsal farkındalığın sağlanması ve şirket geneline eğitim