KVKK Nedir?

Kişisel Verilerin Korunması Kanunu (“KVKK”) kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla yürürlüğe giren bir kanundur. KVKK; kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek veya tüzel kişiler hakkında uygulanır. Yani kişi bazlı bir muafiyet söz konusu değildir ve KVKK herkesi kapsamaktadır.

Veri Sorumlusu Nedir? Firmalara Nasıl Sorumluluklar Getirmekte?

Şirketler, işledikleri veri ve işleme amacına göre değişmekle birlikte KVKK kapsamında veri işleyen ve/veya veri sorumlusu konumunda olabilirler. Kanun’a göre

Veri Sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri işleyen ise; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi

ifade eder.

KVKK’ya göre, kişisel veri işleyen şirketlerin uyması gereken birtakım yükümlülükler vardır. Bunlar üç başlık altında şöyle özetlenebilir:

Aydınlatma Yükümlülüğü

KVKK’ya göre kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere bilgi vermekle yani ilgili kişileri, diğer bir ifadeyle veri sahiplerini aydınlatmakla yükümlüdür. Bu aydınlatma kapsamında; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebiyle ilgili kişilerin KVKK’da sayılan diğer haklarına dair bilgi verilmeli, kişiler aydınlatılmalıdır.

Veri Sorumluları Siciline Kayıt Yükümlülüğü

KVKK, on altıncı maddesinde Veri Sorumluları Sicilini düzenlemektedir. Buna göre; kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

Bu yükümlülük ile, kişisel verilerin işlenmesinde şeffaflığın, hesap verilebilirliğin sağlanması; kişisel veri işleme faaliyetlerinin disiplin altına alınması ile kişisel verilerin korunması alanında toplumun tüm kesimlerinde kültür ve farkındalık oluşmasının sağlanması amaçlanmaktadır.

Ne var ki, kişisel veri işleyen gerçek ve tüzel kişilerin kapsamı son derece geniş olduğundan, Kişisel Verileri Koruma Kurulu tarafından bu yükümlülük özelinde birtakım istisnalar ve kriterler getirilmiştir. Kurulun ilgili kararı uyarınca Sicile kayıt için dikkate alınması gereken kriterler ve tarihler şöyledir:

• Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları 30.06.2020 tarihine kadar Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri gerekmektedir.
• Yurtdışında yerleşik gerçek ve tüzel kişi sorumluları 30.06.2020 tarihine kadar Sicile kayıt ve bildirim yükümlülüğünü getirmeleri gerekmektedir.
• Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumluları 30.09.2020 tarihine kadar Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri gerekmektedir.

Veri Güvenliğine İlişkin Yükümlülükler

Veri Sorumlularının yükümlülüklerine ilişkin diğer önemli başlık ise veri güvenliğine ilişkin yükümlülüklerdir. Bu kapsamda veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel veriler; veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde verilerin güvenliğinin sağlanması hususunda bu kişilerle birlikte müştereken sorumludur. Örneğin, veri sorumlusu olan Şirketinizin güvenliğinin başka bir şirket tarafından yürütülmesi halinde güvenlik kameralarında alınan görüntü ve ses kayıtları kişisel veridir ve bu verilerin güvenliğinden hem şirketiniz hem de güvenlik şirketi sorumludur.

VERBİS Nedir?  

VERBİS, Veri Sorumluları Sicil Bilgi Sistemini ifade eder. KVKK uyarınca kişisel verileri işleyen gerçek ve tüzel kişiler, Veri Sorumluları Siciline kaydolmak zorundadır. Bu Sicilin yer aldığı sistem ise verbis.kvkk.gov.tr adresinde kurulu olmakla, kayıt ve bildirim aşamaları birtakım düzenlemelere tabiidir. Bu noktadaki işlemlerin yapılması sırasında destek almakta fayda vardır. Zira Sicile yapılacak her bir bildirim bir taahhüt hükmünde olacağı için tüm işlemlerin usulüne uygun bir şekilde gerçekleştirilmesi büyük önem arz eder. Zira Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanacağı unutulmamalıdır.

Sistem Nasıl İşleyecek?

Kanun Nisan 2016 tarihinde yürürlüğe girmekle iki senelik bir uyum süreci öngörülmüştür. Ne var ki bu süre de Nisan 2018’de sona erdiğinden KVKK’ya uygun gerçekleştirilmeyen her işlem bir veri güvenliğinin ihlali sonucunu doğurabilir.

Başvuru Hakkı

KVKK’ya göre veri sahibi yani ilgili kişi, kanunun uygulanmasıyla ilgili taleplerini veri sorumlusuna iletme hakkına sahiptir ve bu başvuru olarak nitelendirilmektedir. Veri sorumlusu; başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırmakla yükümlüdür. Bu noktada, Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir.

Kurula Şikâyet Hakkı

Veri Sorumlusunca başvurunun reddedilmesi, verilen cevabınyetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Ankara’da bulunan Kişisel Verileri Koruma Kurula şikâyette bulunabilir.

Bu noktada önem arz eden husus; ilgili kişinin başvuru yolu tüketmeden şikâyet yoluna başvuramayacağına yönelik kanun hükmüdür. Bu noktadan hareketle, veri sahibi yani ilgili kişinin öncelikle veri sorumlusu yani Şirkete başvurması esasında mevcut ya da muhtemel bir veri ihlalinin, onarılması güç sonuçlar doğurmadan müdahale edilerek giderilmesini sağlamaktadır. Tabii bu kapsamda sürecin Kanuna uygun bir şekilde yürütülebilmesi büyük önem arz etmektedir.

Öte yandan Kurul; yukarıda belirtildiği üzere şikâyet üzerine inceleme yapabileceği gibi ihlal iddiasını öğrenmesi durumunda resen de gerekli incelemeyi yapabilmektedir.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Karar kapsamında yapılması gerekenler, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde veri sorumlusu tarafından yine kanuni düzenlemeler gözetilmek suretiyle yerine getirilmesi gerekmektedir. Aksi takdirde idari para cezalarıyla birlikte sair yaptırımlarla karşı karşıya kalınabilir.

Kabahatler ve İdari Yaptırımlar Nelerdir?

Kanunda kabahatler ve idari yaptırımlar kategorize edilmek suretiyle ve tutar bakımından bir aralık belirtmek suretiyle düzenlenmiştir.

Yukarıda değinilen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezası verilir.

Yukarıda değinildiği üzere, kişisel verilerin güvenliğinin teminine ilişkin yükümlülükleri yerine getirmeyenler hakkında ise 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezaları verilir.

Kurul tarafından verilen kararları yerine getirmeyenler hakkında ise 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Son olarak Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

Ne var ki belirtmek gerekir ki bu tutarlar her yıl yeniden değerleme oranına göre artmaktadır. Ayrıca idari para cezasının tutarına hükmedilirken veri sorumlusunun faaliyetlerinin nitelik ve niceliğiyle birlikte mali büyüklüğü dikkate alınmaktadır.

Şirketlerin KVKK Kapsamında Yapmaları Gerekenler?

Görüldüğü üzere KVKK, kapsamı son derece geniş ve yaptırımları çok ağır boyutlara varabilecek olan önemli bir kanundur. Bu doğrultuda şirketlerin kanuna uyum sağlamaya yönelik gerekli her türlü aksiyonu alması gerekmektedir.

Kanun; kişisel verileri işleyen veri sorumlularının,ilgili kişilere yönelik aydınlatmada bulunmasını öngörmekte ve bu yükümlülüğe aykırı hareket edilmesini yaptırıma bağlamaktadır. Bu hususta, her bir veri kategorisi ve veri işleme amacına yönelik gerekli hususlara yer vermek suretiyle Aydınlatma Metinlerinin hazırlanıp uygulanması gerekmektedir.

Öte yandan kişisel verileri işlemenin hukuki bir zemini olması gerektiği ve kanuni istisnaların olmaması halinde ilgili kişinin açık rızasıyla bu hukuki zeminin sağlanabileceği göz önünde bulundurulduğunda yine her bir veri kategorisi ve veri işleme amacına yönelik gerekli hususlara yer vermek suretiyle Açık Rıza Formlarının hazırlanıp uygulanması gerekmektedir.

Kanunda belirtildiği üzere; veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel veriler; veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde verilerin güvenliğinin sağlanması hususunda bu kişilerle birlikte müştereken sorumludur. Bu kapsamda kişisel verilerin güvenliğini temin etmek ve ayrıca Şirkete de birtakım güvenceler tesis edebilmek amacıyla Gizlilik Taahhütname ve Protokolleri yapılmalı, mevcut sözleşme ve formlar revize edilmelidir.

Ayrıca kişisel verilerin güvenliğini sağlamak noktasındaki en önemli faktörlerden birisi bilinç olduğu için çalışanlara yönelikFarkındalık Eğitimleri düzenlenmeli, hazırlanan dokümanların ve alınan aksiyonların gereği gibi yerine getirilmesine yönelik kurumsal bir bilinç tesis edilmelidir.

KVKK düzenlemeleriyle kişisel verilerin güvence altına alınması, verilerin işlenmesinde şeffaflığın, hesap verilebilirliğin sağlanması; kişisel veri işleme faaliyetlerinin disiplin altına alınması amaçlanmaktadır. Bu doğrultuda Gizlilik ve Çerez Politikası ile Kişisel Veri Saklama ve İmha Politikaları hazırlanmalı, yukarıda değinilen kurumsal bilinç doğrultusunda söz konusu politikalara riayet edilerek veri işleme faaliyetleri gerçekleştirilmelidir.

Son olarak belirtmek gerekir ki yukarıda değinilen kriterleri sağlayan veri sorumlusu şirketlerin Veri Sorumluları Siciline kayıt olmaları kanuni bir zorunluluktur. Sicile kayıt da ancak yukarıda belirtilen tüm hususların yerine getirilmesinin yanı sıra sistematik ve gerçeğe uygun bir Veri Envanteri hazırlanması suretiyle doğru bir biçimde yapılabilir.

Gümrük Müşavirlik Şirketleri KVKK Kapsamında Neler Yapmaları Gerekir? Nasıl Etkilenecekler?

Gümrük Müşavirlik Şirketleri de KVKK bağlamında diğer şirketler ile aynı yükümlülük ve sorumlulukları yerine getirmeleri gerekmektedir. Yukarıda bahsedilen 50 çalışan veya 25 milyon Türk Lirası mali bilanço kriterinin sağlanması halinde de Veri Sorumluları Sicili’ne kayıt yükümlüğü doğacaktır. Ne var ki bu kriterlerin yalnızca Sicile kayıt için gerekli olduğu, diğer yükümlülüklerin yerine getirilmesinde herhangi bir muafiyet olmadığı unutulmamalıdır. Bu noktada çalışan sayısı veya mali bilançosuna bakılmaksızın tüm gerçek ve tüzel kişiler; aydınlatma yükümlülüğünü usulüne uygun bir şekilde yerine getirmek ve ayrıca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Özetle tüm gerçek ve tüzel kişilerin, KVKK’ya uyum sağlamak doğrultusunda tüm aksiyonları alması gerekmektedir. Bu kapsamda, Veri Envanteri, VERBİS kaydı, aydınlatma ve açık rıza metinleri, taahhütname ve protokoller, sözleşme revizyonları, farkındalık eğitimleri, sunum, başvuru-şikâyet yönetimi gibi tüm hususların titizlikle yerine getirilmesi ve aynı zamanda kişisel verilerin korunması alanındaki gelişmelerin yakından takip edilmesinde fayda vardır.

Aksi halde yukarıda belirtildiği üzere 1.000.000 Türk Lirasına varan idari para cezalarıyla karşı karşıya kalınması son derece olasıdır.

Av. Meryem Remziye ŞİMŞEK

kvkk@derdahukuk.com