Kişisel Veri Nedir?
Teknoloji ve dijitalleşmenin yaygınlaşmasıyla birlikte “kişisel verileri koruma” kavramı ve konusu kişiler, kurumlar ve şirketler için kritik bir hal almaya başladı. “Verilerin korunması” kişilerin hak ve özgürlüklerin korunması açısından önemli olduğu kadar kurumlar ve şirketlerin güvenliği ve diğer yasal haklarının korunması açısından da önemli hale geldi.

TBMM’de yasalaştırılan Kişisel Verilerin Korunması Kanunu “kişisel verilere” ilişkin düzenlemeler getirmiştir.

Kanun, kişisel verilerin korunmasıyla ilgili yasal çerçeveyi, kişisel, kurumsal sorumlulukları ve aynı zamanda yükümlülükleri de belirlemiştir. Böylece kanun verilerin kim tarafından, hangi amaçlara yönelik toplanacağını, nasıl kullanılacağını ve nasıl imha edileceğine ilişkin düzenlemeler getirmiştir.

KVKK (Kişisel Verilerin Korunması Kanunu) Amacı ve Kapsamı Nedir?
Bu kanunun amacı (KVKK), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.


KVKK Hangi Kurumları İlgilendiriyor?
Gerçek bir kişi ile bağlantısı kurulabilecek yukarıda tanımı verilmiş kişisel verileri alan ve saklayan her kurum bu kanunun kapsamına girmektedir. Bu nedenle bu tür süreçleri işleten kurumların kanuna uyum için bir dizi çalışma yapması gerekmektedir.


Kanuna Uyum için Yapılması Gerekenler

• Tüm bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik gibi güvenlik işlevlerini sağlamak, yani Bilgi Güvenliği Yönetim Sistemi (BGYS) standartlarına göre çalışmak
• Müşterilerden alınan/alınacak veri türlerini belirlemek üzere stratejiler oluşturmak
• Bir veri envanteri oluşturmak
• Geçmişe dönük olmak üzere- ağ sistemlerindeki yapılandırılmış / yapılandırılmamış TÜM verileri tespit etmek
• Kayıt altına alınmış kişisel verileri niteliklerine göre sınıflandırmak
• Geçmişe dönük olmak üzere- verisi saklanmak istenen TÜM müşterilere ulaşmak ve kurumun niyetleri konusunda müşterileri bilgilendirmek
• Veri işleme amaçları konusunda bilgilendirilen çalışanlar ve müşterilerin rızasını makul yöntemlerle almak
• Yukarıdakilerin tamamını sürdürülebilir şekilde uygulamak için teknolojiler, politikalar ve sistemler geliştirmek
• Belli dönemlerde değerlendirme, gözden geçirme ve iç denetim faaliyetleri gerçekleştirmek
• Belli aralıklarla sistemlerin güvenliğini ve verilerin korunmasını sağlamak adına Penetrasyon/Sızma Testi gibi etkili çalışmalar yapmak
• İç denetimler, Penetrasyon Testi vb. uygulamalar sonrasında elde edilecek sonuçlar ile kurum yönetim sistemine sürdürülebilirliği sağlayıcı katkılar yapmak

KVKK Cezaları ve Yaptırımları Neler?
6698 Sayısı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte, kanun, kurumlara ve işletme sahiplerine ciddi idari para cezaları getirmekle birlikte bazı durumlarda hapis cezaları da söz konusudur.

Kanun, resmi kurumlar dahil, kişisel verileri işleyen tüm kurum, işletme ve şirket sahiplerini kapsamaktadır. Gerçek kişi müşteriler, çalışanlar, ziyaretçilerin bilgileri kaydediliyor ve işleniyorsa KVKK kapsamındadır. Kanun kapsamındaki tüm kurum ve kuruluşlar, Kişisel Verileri Koruma Kurumu’nun (KVKK) belirlediği tarihler içerisinde kısa adı VERBİS olan “Veri Sorumluları Sicil Bilgi Sistemi”ne kayıt yaptırma zorunluluğu vardır

VERBİS kaydı ile kurum ve işletmeler, hangi kişisel verileri, hangi amaçla, hangi kanuni dayanakla ve ne kadar süreyle işleyeceklerini bildirmekle yükümlüdürler. Bu yükümlülüğünün yerine getirilmemesi halinde kanun, idari ve hapis cezası getirmiştir.

6698 Sayısı KVKK ile getirilen ağır cezalar şöyle belirlenmiştir:

KVKK Periyodik İmha Dönemi
KVKK’ya göre, saklama süresi dolan kişisel veriler, saklama süresinin bitimini takip eden ilk periyodik imha zamanında imha edilir. Süresi sona eren ve kişisel verinin saklanmasını gerektirecek başka herhangi bir veri işleme amacı mevcut olmayan kişisel verileri, saklama sürelerinin sona ermesini takiben 180 gün içerisinde anonim hale getirilir.

Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, politika belgesinde belirlenen prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir.


KVKK Kişisel Veri İhlal Bildirimi
Kişisel Verileri Koruma Kurulu, kişisel veri ihlali bildirim usul ve esaslarını belirleyerek 24 Ocak 2019 tarihinde resmi web sitesinde duyurmuştur.

Kurul, Kanun’un 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına karar vermiş ve duyurmuştur.

Kurul duyurusuna göre, Veri İhlali Bildirim formu yalnızca Veri Sorumlusu tarafından doldurulması gerekmektedir.

Veri İşlemede Uyulması Zorunlu İlkeler

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• İşlendikleri amaçla bağlantılı,sınırlı ve ölçülü olma,
• Belirli,açık ve meşru amaçlar için işlenme, İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
  olarak sıralanabilir.
  
  

Sizde hemen web siteniz ile ilgili olarak Kişisel Verilerin Korunması Kanunu ile ilgili olarak bizimle çalışmak isterseniz 0 (531) 637 86 86 numaralı telefondan danışmanlarımıza ulaşabilirsiniz. KVKK Danışmanlığı ile iligli olarak resmi gazetede yayınlanan ayrıntılı bilgiye aşağıdaki linkten ulaşabilirsiniz.

https://www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf