+90 0 553 009 14 64 info@fortisdenetim.com

Kişisel Verilerin Korunması

Günümüzde bireylere ilişkin çeşitli veriler gelişen teknolojinin de etkisiyle her gün farklı platformlarda kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bu verilerin işlenmesi kişiler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar ve avantajlar sağlasa da verilerin istismar edilme riskini de beraberinde getirmektedir. Bu nedenle, kişisel verileri koruyabilmek adına hukuki bir altyapının oluşturulması da zorunluluk haline gelmektedir. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir.

 

 

Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmakta olup, kişisel verilerin işlenmesine ilişkin denetim mekanizmaları oluşturularak, bu verilerin hukuka aykırı olarak işlenmesinin engellenmesi hedeflenmektedir.

Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişinin; adı, soyadı, doğum tarihi, doğum yeri, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobileri, tercihleri, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler.

Bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.

Nitelikli (Hassas) Kişisel Veri

Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.

Başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte olan Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.

 

Ne yapıyoruz?

Organizasyonunuz ile ilişkili kişisel verilerinizin işlenmesi, saklanması ve korunmasında mevzuat hükümleri ve uluslararası standartlar dikkate alınarak ISO 27001:2017 Standardı ve GDPR (General Data Protection Regulation) ile uyumlu KVKK uyum danışmanlığı faaliyetleri gerçekleştirmekteyiz.

 

 

Şirket Süreç Yapısının KVKK Yönünden Analizi

İşletmenizin tüm iş süreçleri hukuki analize tabi tutulur ve iş birimlerinin günlük operasyonları nedeniyle işledikleri kişisel veriler ile ilgili olarak ne yapmaları gerektiği gerçekleştirilen hukuki analiz ile tanımlanır.

Bu çalışmalarla birlikte uyum için temel şartlardan biri olan Veri İşleme Envanteri de hazırlanmış olur. Veri işleme Envanteri’ne ek olarak, kişisel verilerin korunması ile ilgili saklama, silme vb. politikaların oluşturulması, hukuki anlaşmaların, formların vb. dokümantasyonun gözden geçirilerek KVKK ile uyumlu hale getirilmesi, açık rıza metinlerinin ve aydınlatma metinlerinin oluşturulması gibi süreçler hukuki danışmanlık kapsamında yer almaktadır.

Eğitim ve Farkındalık Çalışmaları

Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenerek, kişisel veri güvenliğinin sağlanması bakımından, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında çalışanlara eğitim verilmesi, farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması sağlanır.

Bilgi Güvenliği

Kişisel verilerin işletmeniz bilgi sistemlerine toplu olarak girdiği ve kurum dışına aktarıldığı kanallar ve yöntemler tespit edilir. Kişisel verilerin, aktarımı sırasında oluşabilecek güvenlik açıklıklarının kapatılması ve riskin düşürülmesi için bu kanallarda karşılanması gereken güvenlik ihtiyaçları ortaya konulur. Bununla birlikte, Kanunun ön gördüğü şekilde işlenen kişisel verilerin belirli sürelerde saklanmaları ve bu sürelerin sonuna gelindiğinde silinmesi, yok edilmesi veya anonim hale getirilmesi gereksinimlerinin karşılanması amacıyla teknik altyapı uygunluk ve yeterlilik açısından analiz edilerek, teknik ihtiyaçlar tespit edilir ve desteklenir.

 

KVVK'ye Uyulmaması Halinde Karşılaşılabilecek Yaptırımlar

Kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununa atfen aşağıdaki cezai müeyyideler öngörülmüştür.

Aşağıda yer alan suçların soruşturulması ve kovuşturulması şikâyete tabi olmadığından, savcılıklarca resen soruşturma başlatılabilir.

Kanuna aykırı durumlarda aşağıda belirtilen idari para cezaları uygulanır.

Kanun’un 15. maddesinde Kurul’un şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen (kendiliğinden)  inceleme yapacağı düzenlenmiştir. Veri sahibi kişilerin kişisel verilerine dair haklarına ve Kanun’a dair farkındalıkları arttıkça şikâyet ve ihbarların sayısının da artacağı göz önünde bulundurulmalıdır.

İdari Para Cezası
Kanuna Aykırılıklar Yaptırımlar
Aydınlatma yükümlülüğünü yerine getirmeme 5 bin TL
-
100 bin TL
Kurul tarafından verilen kararları yerine getirmeme 25 bin TL
-
1 milyon TL
Veri güvenliğine ilişkin yükümlülükleri yerine getirmeme 15 bin TL
-
1 milyon TL
Veri Sorumluları Siciline (VERBİS) kayıt ve bildirim yükümlülüğüne aykırı hareket etme 20 bin TL
-
1 milyon TL
Hapis Cezaları
Kanuna Aykırılıklar Yaptırımlar
Kişisel verilerin hukuka aykırı olarak kaydedilmesi 1 - 3 yıl
hapis cezası
Kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme 2 - 4 yıl
hapis cezası
Sürelerin geçmiş olmasına karşın verileri yok edilmemesi 1 - 2 yıl
hapis cezası
Özel nitelikli kişisel verilerin hukuka aykırı olarak kaydedilmesi 1,5 – 4,5 yıl
hapis cezası

 

Her yıl yeniden değerleme oranına göre değişiklik göstermektedir.

Kanuna Uyum Süreci ve VERBİS Kaydı

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.” hükmü ile Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında yer alan “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü doğrultusunda Veri Sorumluları Siciline Kayıt Yükümlülüğünün Başlama Tarihleri ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/88 Sayılı Kararı ile verilen süreler aşağıdaki şekilde açıklanmıştır.


Veri Sorumluları
Kayıt yükümlülüğü başlangıç tarihi Kayıt için son tarih
Yıllık çalışan sayısı 50’den çok veya mali bilanço toplamı 25 milyon TL’den fazla 01.10.2018 30.09.2020
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları 01.10.2018 30.09.2020
Yıllık çalışan sayısı 50’den az ve mali bilanço toplamı 25 milyon TL’den az, ancak ana faaliyet konusu özel nitelikli kişisel veri işleme olan 01.01.2019 31.03.2021
Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 31.03.2021