6698 Kişisel Verilerin Korunması Kanunu kapsamında işletmelere bir takım yükümlülükler getirilmiştir. Kanun ile ilgili detaylı bilgiye diğer makalemden ulaşabilirsiniz. Ulaşmak için bu BAĞLANTI’ya tıklayınız.
Kanunda belirtilen yükümlülüklerin yerine getirilmemesi durumunda,
Kanunun 17 Suçlar ve 18 Kabahatler maddelerinde, belirtilen yükümlülüklere uyulmaması durumunda veri sorumlularına karşı uygulanacak cezai yaptırımları tanımlamıştır.
ve burada belirtilen rakamlar olay başına uygulanacak idari para cezalarıdır.
Daha öncesinden Türk Ceza Kanunun ilgili maddelerine göre zaten kişisel verilerle ilgili cezalar tanımlanmış durumdaydı. Hem KVKK açısından idari para cezası hemde TCK acısından cezaları mümkün olduğunu görmekteyiz.
Kişisel veri sahipleri (ilgili kişi) bu kanunla beraber bir takım haklara sahip olmuştur. Bu bağlamda
MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
şeklinde açıklanmıştır.
Süreç şu şekilde işlemektedir. İlgili kişi herhangi bir kurumu yukarıda belirtilen maddeler ışığında öncelikle ilgili kurum yada kuruluşa, kurum ve kuruluşun belirlediği başvuru şartları çerçevesinde müracaat etmelidir. Kurum ve kuruluş bu başvuruya 30 gün içerisinde cevap vermemesi durumunda kişi Kişisel Verileri Koruma Kurumuna şikayette bulunabilir. Kurum yapılan şikayete binaen inceleme başlatarak olayı soruşturup sonuca bağlamaktadır.
İlgili kanunun 12. Maddesinin (5) fıkrasında,
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
şeklinde açıklanmıştır. Meydana gelen her hangi bir veri ihlali durumunda 72 saat içerisinde kurula bilgi verilmelidir. Kurul olaya ilişkin incelemeler neticesinde kurum web sitesinde ilan etmektedir.
Kişisel Verileri Koruma Kurumu başkanı Prof.Dr.Faruk Bilir
Kişisel Verileri Koruma Kurumu Başkanı Faruk Bilir, kişisel verilerin ihlali nedeniyle bu zamana kadar kuruluşlara yaklaşık 5 milyon TL ceza kesildiğini açıkladı.
Bilir öte yandan;
VERBİS’e 4 bin veri sorumlusu kayıt yaptırdı.
72 veri ihlal bildirimi yapıldı.
Yaklaşık 5 milyon TL ceza kesildi.
Facebook’a inceleme başlatıldı.
ALO 198 Veri Koruma Hattı’na ayda 8 bin çağrı alındığına ilişkin açıklamalarda bulunmuştur.
6698 sayılı Kişisel Verilerin Korunması kanunu 24.03.2016 yılında kabul edilmiş olup 07.04.2016 tarihinde resmi gazetede yayımlanarak yürürlüğe girmiştir. Kanun tüm veri toplayan ve işleyen ticari faaliyet gösteren yada kar amaçlı olmayan kurum ve kuruluşları kapsamıştır. Bu bağlamda kurum ve kuruluşlara çeşitli yaptırımlar getirmiştir.
Kanunun tam metnine bu LİNK’i takip ederek ulaşabilirsiniz.
Kanun Madde 3’de Veri Sorumlusunu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi şeklinde tanımlamıştır. Tanımdan da anlaşıldığı gibi veri sorumlusu veri toplayan tüm ticari faaliyet gösteren yada kar amacı gütmeyen kurum ve kuruluşların gerçek ve tüzel kişilikleri olarak belirlenmiştir. Bu doğrultuda veri sorumluları kanunun gerektirdiği yükümlülükleri kurumları içerisinde yerine getirmekle sorumlu hale gelmiştir.
Veri sorumlusunun aydınlatma yükümlülüğü
MADDE 10- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.
öte yandan,
Veri güvenliğine ilişkin yükümlülükler
MADDE 12- (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
şeklinde ifade edilmiştir. Görüldüğü üzere veri sorumlusu her şeyden önce kişisel verilerin muhafazasını sağlamak bununla ilgilide kurum içerisinde ve dışında gerekli tüm teknik ve idari güvenlik tedbirlerini almak zorundadır.
Kanun veri sorumlusunun görevlerini net bir şekilde tanımladığı halde ülkemizde malesef bir çok sorumlu kurum ve kuruluş tarafından ciddiye alınmamaktadır. Hala piyasada görülmektedirki sorumlu işletmelerin önemli bir bölümü henüz bir çalışma başlatmamıştır. Kanun olması sebebiyle, öngörülen yükümlülüklere uyulmaması durumunda cezai yaptırımlar söz konusudur.
Kanunun 17 Suçlar ve 18 Kabahatler maddelerinde, belirtilen yükümlülüklere uyulmaması durumunda veri sorumlularına karşı uygulanacak cezai yaptırımları tanımlamıştır.
ve burada belirtilen rakamlar olay başına uygulanacak idari para cezalarıdır.
Daha öncesinden Türk Ceza Kanunun ilgili maddelerine göre zaten kişisel verilerle ilgili cezalar tanımlanmış durumdaydı. Hem KVKK açısından idari para cezası hemde TCK acısından cezaları mümkün olduğunu görmekteyiz.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Nedir?
KVKK kanunun 16. Maddesi;
Veri Sorumluları Sicili
MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
b) Kişisel verilerin hangi amaçla işleneceği.
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.
Veri Sorumlularının VERBİS sistemine kayıt olması ile ilgili hususları düzenlemiştir. Kişisel Verileri Koruma Kurumu konu ile ilgili bir kayıt sistemi oluşturmuş ve yayınlamıştır. Sisteme Kayıt olmak için LİNKİ takip edebilirsiniz.
Kurum VERBİS sistemine kayıt tarihlerini açıklamıştır.
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilançosu 25 milyon TL’den çok olan gerçek ve tüzel kişiler için 01.10.2018 tarihinde başlayan 12 aylık süre 30.09.2019 tarihinde sona ermektedir. Bu makaleyi kaleme aldığım tarih itibarıyla yaklaşık 2 buçuk ay gibi bir süre sonra ilgili kriterlere göre kayıt olması gerekenlerin süreleri sona erecektir.
Verbis sistemi doğrudan maliye bakanlığı bilgi sistemleri ile entegre çalışmaktadır. Yani kurumunuzun bilanço bilgilerini sizin bildirmenize gerek kalmadan maliye bakanlığı sistemlerinden otomatik olarak kontrol edilecek olup ilgili tarihe kadar kayıt olmayanlar hakkında ilgili kanunun 18. maddesinde düzenlenmiş olan “Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı” maddesi uyarınca 20.000 TL ile 1.000.000 TL arası idari para cezası uygulama hakkı doğacaktır. Kurumun kestiği cezalar devlet alacağı kapsamında değerlendirilmektedir.
Kanunun 16. Maddesi (2) fıkrasında,
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
istisnaların yapılabileceği bildirilmiştir. Bun göre,
Kanunun 16 ncı maddesinde, “işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir” hükmü yer almaktadır. Bu hüküm doğrultusunda Kurulca bazı veri sorumluları için Sicile kayıt yükümlülüğüne istisna getirilmiştir.
şeklinde tanımlamıştır. ÖNEMLİ NOT şeklinde belirtilen kısımda ise yukarıda belirtilen kurum ve kuruluşların sadece VERBİS sisteme kayıt yükümlülüklerine istisna getirilmiştir. Yani 6698 sayılı yasanın getirmiş olduğu usul ve esaslara uymak ZORUNDADIR.
Faruk Çalıkuşu 