KVKK Nedir?

Kişisel Verilerin Korunması konusu ülkemiz gündeminde ilk olarak 2010 yılında yer buldu. Gerçekleşen anayasa düzenlemesi ile güvence altına alındı. Anayasının 20. Maddesinde;

“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Şeklinde yer alır.

Kişisel verileri işleyen kuruluşlara yüklenilen yükümlülükler şu şekildedir.

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilerin hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

2010 yılında anayasa değişikliği ile gerçekleşen bu düzenleme Türkiye’nin Avrupa Birliği sınırları içerisinde vizesiz dolaşımına olanak sağlaması beklenen 79 yasal düzenlemeden biri olan Kişisel Verilerin Korunması Kanunu ile 2016 yılında resmi gazetede yayınlanarak yasalaştı. Avrupa Birliği‘nin uygulamalarında GDPR (General Data Protection Regulation) olarak geçen düzenlemenin uygulanmasının zorunlu tutulması Avrupa Birliği vatandaşı kişilerin kişisel verilerinin güvenliğinin sağlanmasını esas kılmıştır. Ülkemizdeki KVKK ise GDPR ile çok yakınlık ve benzerlik gösterir.

2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu’na göre kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanır. Kişisel verilerin işlenmesi ise kişisel veriler ile yapılan her türlü eylem olarak tanımlanmıştır. Kişisel Veri, KVKK’nın 3. maddesinde kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu tanımıyla tüzel kişilere ilişkin kişisel veriler bu tanımın kapsamına girmemektedir.

Kişisel Verilerin Korunması ile ilgili mevzuat kişisel veriler ile ilgili veri sahibini aydınlatma metinlerini bildirmekle yükümlü tutmakla birlikte başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikle olan ve bu nedenle daha fazla korumaya ihtiyaç duyulan kişisel verilere özel nitelikli kişisel verilerin işlenebilmesi için açık rıza alınması gerektiğini şart koşmuştur.

 

KVKK 9/1 uyarıca kişisel veriler, kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz/paylaşılamaz. Açık rıza var ise aktarılabilir.

Kişisel verilerin aktarılacağı yurt dışı konumlarda yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Kişisel Verilerin Korunması Kurulu henüz yeterli korumanın bulunduğu ülke listesini (white list) halen açıklamamıştır.

Kişisel Verilerin Korunması’na ilişkin önlemler ilgili yasanın yayınlandığı 2016 tarihinden beri bütün kişisel veriye sahip şirketlere yükümlülükler yüklerken yıllık satış hasılatı …. TL olan veya istihdam ettiği personel sayısı 50 kişiyi geçen şirketlere ek olarak VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) ‘ne kayıt yükümlülüğü getirmektedir. VERBİS kaydında işlenen verilere ilişkin bir envanter ile bu verilerin ne amaçla işlendiği ne kadar süre saklanacağı, süresi dolduğunda ne tür bir işlem yapılacağı gibi bilgilere ilişkin kapsamlı bir bildirim hazırlanarak VERBİS sistemine yüklenmektedir.

KVKK yükümlülüklerine uymamaya ilişkin cezalar KVKK ‘nun 18. Maddesinde belirlenmitir. Buna göre yürürlükte bulunan cezalar;

  • Aydınlatma yükümlülüğüne aykırılık halinde 5.000 ila 100.000 TL,
  • Veri güvenliğine ilişkin yükümlülüklere aykırılık halinde 15.000 ila 1.000.000 TL,
  • Kurul tarafından verilen kararları yerine getirmeme halinde 25.000 ila 1.000.000 TL,
  • Sicile kayıt ve bildirim yükümlülüğüne aykırı hareket etme halinde 20.000 ila 1.000.000 TL idari para cezası.

KVKK yükümlülüklerini yerine getirmeniz durumunda herhangi bir cezaya tabi olmazsınız. KVKK ve İYS yükümlülüklerini yerine getirmeniz son derece önemlidir.