işisel Verilerin Korunması Kanunu (KVKK) m. 3/d uyarınca “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak kabul edilmektedir. Kişisel verilere örnek olarak kişilerin isimleri, adresleri, e-mail adresleri, telefon numaraları, sağlık bilgileri, fotoğrafları vb. gösterilebilir. Kişilere ait bu bilgiler gündelik hayatta birçok nedenle işlenebilmektedir.
Kanun, kişisel verilerin işlenmesini ise “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlamıştır.
Bu verilerin KVKK uyarınca sadece KVKK ve ilgili diğer kanunlarda öngörülen usul ve esaslarda işlenebilmektedir. Bu şartların başında ise “açık rıza” yer almaktadır. Açık rıza “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Kanun’da belirtilen istisnai durumlar dışından kişisel verilerin işlenmesinde veri sahibi kişinin açık rızasının alınması gerekmektedir. Bu kapsamda veri sorumlusunun veri sahibi kişiyi; işlenecek veriler, verilerinin hangi amaçla işleneceği, veri sahibi kişi olarak hakları, verileri toplanma yöntemi vb. konularda aydınlatma yükümlülüğü bulunmaktadır .
Veri işleyen veri sorumlularının, Veri Sorumluları Siciline kaydolması gerekmektedir. Bu kapsamda, Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) hazırlanmıştır. VERBİS’e işlenen veriler kategorik olarak işlenmektedir. Ancak bu zorunluluğa işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi objektif kriterler dikkate alınarak Kişisel Verileri Koruma Kurumu tarafından istisnalar getirilebilmektedir.
VERBİS’e kategorik olarak yapılacak veri girişinin, Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları için 30.06.2020 tarihine kadar, Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları için 30.09.2020 tarihine kadar, Kamu kurum ve kuruluşu veri sorumluları için ise 31.12.2020 tarihine kadar yapılması gerekmektedir .
Kanunlara uygun olarak kişisel verilerin kaydedilmemesi durumunda Türk Ceza Kanunu m.135 vd. uyarınca hapis cezası ve KVKK m.18 uyarınca idari para cezası uygulanması söz konusu olabilmektedir.
Yalçın Toygar Hukuk Bürosu olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde işletmenizde gerçekleştireceğimiz KVKK uyum çalışmasının yol haritasını dikkatinize sunarız.
I. Mevcut durum tespiti;
- Hali hazırda toplanmış bulunan verilerin tespiti
- Toplanan kişisel verilerin tespiti
- Toplanma amaçlarının ve kullanım sürelerinin belirlenmesi, ihtiyaç duyulup duyulmadığının tespiti
- Aktarıldıkları başka kişiler, firmalar varsa bunların ve aktarılma amaçlarının belirlenmesi
- Toplanırken kişilere verilen bilginin ve onaylarının şeklinin, zamanının belirlenmesi
- Kişisel verilerin korunması için alınan idari ve teknik tedbirlerin tespiti
- Şirket IT sinden sorumlu personel veya çözüm ortağı ile KVKK toplantısı. (Dijital verilerin elde edilme, işlenme, paylaşım, yetkilendirme, depolanma ve güvenlik durumları hakkında)
- Şirket web sitesi ve sosyal medya yöneticisi veya çözüm ortağı ile KVKK toplantısı. (Dijital verilerin elde edilme, işlenme, paylaşım, yetkilendirme, depolanma ve güvenlik durumları, açık rıza işlemleri ve veri politikası yayımı hakkında)
- Birim bazlı uyum tespit ve uygulama çalışmaları,
II. Mevzuata uygunluk denetimi;
- Verilerin özel nitelikli veri olup olmadığının tespiti
- Toplanma ve işlenme amaçlarının mevzuata uygunluğunun tespiti
- Kişilerden alınan onayların amaçlara uygunluğunun tespiti
- İşlenme sürelerinin mevzuata uygunluğunun tespiti
III. Mevzuata Uygun Hale Getirme;
- Mevzuata uymayan ama uygun hale getirilebileceği tespit edilen veriler için gerekli kişilerin onaylarının yerine getirilmesi
- Gerekli dokümanların ve metinlerin üretilmesi, birim evraklarının düzenlenmesi.
- Veri envanteri oluşturma
- VERBIS kaydı hazırlığı ve oluşturulması