07.04.2016 tarihinde yürürlüğe giren 6698 numaralı Kişisel Verilerin Korunması (KVK) Kanunu’nda yer alan usul ve esaslara uyum sağlamayan şirketler için ciddi hapis ve para cezaları söz konusudur. Verinin kaydedilmesi, işlenmesi, aktarılması ve yok edilmesi ile ilgili yasaya uymamanın cezası 1 – 6 yıl arası hapis, kanunda belirlenen yükümlülüklerin yerine getirilmemesinin karşılığı ise 5.000 – 1.000.000 TL arası para cezası olabilmektedir. Şirketlerin bir an önce kanuna uyum ile ilgili çalışmalarını tamamlamaları gerekmektedir.
24.03.2016 tarihinde kabul edilen ve 07.04.2016’da 29677 sayılı Resmi Gazete’de yayınlanan 6698 numaralı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı, bunun için de kişisel verileri işleyen tarafların yükümlülüklerini, uyulacak usul ve esasları düzenlemeyi amaçlamaktadır. Kanun gerçek kişilere ait olan kişisel verilerin işlenmesini kapsamakta olup, bu verileri (otomatik veya değil) bir kayıt sisteminin parçası olarak işleyen gerçek ve tüzel kişilerle ilgili düzenlemeleri içermektedir.
Kanuna göre kişisel veri nedir? Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Örnek vermek gerekirse, ad, soyad, TC kimlik numarası, doğum yeri, doğum tarihi, adres, telefon numarası, e-posta adresi, IP numarası, özgeçmişi, vb. Ayrıca kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ise özel nitelikli kişisel veri olarak tanımlanmaktadır.
Hastanede, otelde, yolculuk yaparken, okula kaydolurken, mağazalarda indirim kartı formu doldururken ya da yeni bir işe başvururken bu veriler toplanmakta ve işlenmektedir. Şirketler müşterilerinden çalışanlarına, bayilerinden iş ortaklarına kadar birçok tarafın kişisel verisini işlemektedir. Kanun tüm kişisel bilgilerin alınması, kaydedilmesi, saklanması, değiştirilmesi, kullanılması, aktarılması vb. her türlü işlemleri de kişisel verilerin işlenmesi olarak tanımlamaktadır.
Bu kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur.
Kanunda kişisel veri süreçlerinde ne tür düzenlemeler mevcuttur? Kanunun kişisel verilerle ilgili düzenlemelerini üç süreç altında gruplayabiliriz:
a. Kişisel Verileri İşlenmesi: Şirketler kişisel verileri toplarken, ilgili kişilere bu verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebini ve kanunda yer alan hakları konusunda bilgi vermeli ve açık rızasını almalıdır. Yasaya göre, kanunlarda açıkça öngörülmesi, hayat ve beden bütünlüğünün korunması, bilgilerin kişinin kendisi tarafından alenileştirilmesi vb. sebeplerle açık rıza aranmaksızın kişisel verilerin işlenmesi mümkündür.
b. Kişisel Verilerin Aktarılması: Aktarım sürecinde ilgili kişinin açık rızası alınmalıdır. Yurtdışına aktarım ile ilgili yeterli korumanın bulunması, uluslararası sözleşmeler, ülke karşılıklılığı vb. birçok husus göz önünde bulundurulmalıdır.
c. Kişisel Verilerin Silinmesi: Kişisel verilerin işlenme süreci sonrasında, işlenmesinin gerektiren sebep ortadan kalktığında veya ilgili kişi talep ettiğinde bu bilgiler silinir, yok edilir veya anonim hale getirmelidir.
Şirketler bu süreçleri nasıl yönetecekler?
Şirketler, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan bir gerçek veya tüzel kişi belirlemeli, bu kişiyi Kişisel Verileri Koruma Kurulu’nun tutacağı Veri Sorumluları Siciline kaydettirmelidir. Kanunda belirlenen “Aydınlatma Yükümlülükleri”ne uymalıdır. Kişisel verilerle ilgili hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak, gerekli denetimleri yapmak veya yaptırmak zorundadır. Ayrıca kanunda kişisel veriler konusunda başvurular ve şikayetler ile ilgili düzenlemeler yapılmıştır.
Kanuna uymamanın cezası nedir?
Hukuka aykırı olarak kişisel verilerin kaydedilmesi, aktarılması, yayılması, veya ele geçirilmesi, süresi geçtiği halde veya yok edilmesi gerektiği halde yok edilmemesi Türk Ceza Kanunu’nun ilgili maddelerine göre 1 – 6 yıl arasında değişen hapis cezaları ile tecziye edilecektir.
İlgili kişilere bilgi verilmesinde, veri güvenliğinin sağlanmasında, yapılan şikayet ve itiraz incelemelerinde işlenecek kabahatler içinse 5.000 – 1.000.000 TL arası para cezası verilebilecektir.
Şirketlere nasıl yardımcı olmaktayız?
Şirketlere kişisel verilerin korunması konusunda uzman ekibimizle danışmanlık ve denetim hizmetleri veriyoruz. Üç farklı çalışma kapsamımız mevcut:
• KVK Yönetimi Sistemini şirket ile birlikte bizzat kurabiliriz.
• Danışmanlık verir, KVK Yönetim Sistemini kurarken şirkete destek oluruz.
• Denetim yaparız, kurulan KVK Yönetim Sisteminin olgunluğu değerlendirir, eksiklikleri raporlarız.
KVK Kanuna uyum çalışmalarında yöntemimiz nedir?
Mevcut Durum Analizi
• Kişisel veri envanteri
• Kişisel veri ile ilgili süreçler
• Organizasyon yapısı
• Sözleşme envanteri
Süreçlerin Uyumlandırılması
• Kişisel verilerin sınıflandırılması
• Veri işleme süreçlerinin uyumlandırılması
• Veri aktarım süreçlerinin uyumlandırılması
• Veri imha süreçlerinin uyumlandırılması
• Sözleşmelerin güncellenmesi
• Başvuru, şikayet, itiraz süreçlerinin oluşturulması/uyumlandırılması
Veri güvenliği
• Mantıksal güvenlik
• Fiziksel güvenlik
• Risk yönetimi
• Değişiklik yönetimi
Organizasyonel Uyum
• İrtibat kişisinin seçilmesi
• Veri Sorumluları Sicili’ne (VERBİS) kayıt işlemleri
• İlgili görev tanımlarının oluşturulması
• Kişisel Veri Yönetimi sürecinin oluşturulması
• KVK uyum ekibi ve irtibat kişisinin eğitimi
• İç kontrol ve denetim süreçlerinin uyumlandırılması
• Kurumsal farkındalığın sağlanması ve şirket geneline eğitim