6698 sayılı KVKK Kapsamında Uyulması Gereken Yükümlülükler

Home
Makale
6698 sayılı KVKK Kapsamında Uyulması Gereken Yükümlülükler
Avukat Halil Kaan EmektarAvukat Halil Kaan Emektar 4 Ocak 2025

6698 sayılı Kişisel Verileri Koruma Kanunu ile Türkiye ilk defa “Kişisel Veri” kavramı ile tanıştı. 28 Ocak 1981 tarihinde Avrupa Birliği tarafından kabul edilen 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi ile ilk defa dünyada gündeme gelen kişisel veri mevzuatı, 24/03/2016 tarihinde TBMM’ de kabul edilerek Kişisel Verileri Koruma Kanunu adını aldı. Bu kanunu gereklilikleri için Kişisel Verileri Koruma Kurumu kuruldu. Peki son yıllarda gündemimizi oldukça meşgul eden, tarafımızca yakın tarihte para kadar değer atfedilecek ve kurumlara yükümlülükler getirip 1.000.000 TL ve üzeri cezai müeyyideleri olan bu kanun kapsamında yapmamız gerekenler neler ?

Verbis Kaydı Oluşturmak

Kişisel Verileri Koruma Kurulunun 19/7/2018 tarih ve 2018/87 sayılı karar numarası ile Yıllık Mali Bilançosu 25 milyon liranın üzerinde ya da 50 den fazla personel çalıştıran kurumlar https://verbis.kvkk.gov.tr/ adresinden Veri Sorumluları Sicil Bilgi Sistemi’ ne (VERBİS) 31/12/2021 tarihine (https://www.kvkk.gov.tr/Icerik/6905/2021-238) kadar kayıt olmak zorundadır. VERBİSE kayıt yükümlülüğü olanlara dair sıralı liste şu şekildedir.

  • Bir önceki yıla ait mali bilançosu 25 milyon ve üzeri olanlar
  • Ya da, bir önceki yıl içerisinde 7 ay 50 den fazla personel çalıştıranlar
  • Özel Niteklikte Veri İşleyen Kuruluşlar ( Özel Hastane, Eczane, Özel Doktor Muayenehaneleri, Psikologlar, Sendikalar Vs..
  • Kamu Kurum ve Kuruluşları, Kamu Kurumu vasfındaki oda, borsa ve meslek kuruluları.

Aydınlatma Metinleri Düzenlemek

Aydınlatma metni, veri sorumlusu sıfatındaki firma ve kuruluşların verisi işledikleri ilgili kişilere beyan ettiği ve beyan ettiğini ispat etmek zorunda olduğu metinlerdir. Aksi takdirde hala hazırda cari olan mevzuat ve kurul kararlarına göre yüklü miktarda cezası bulunmaktadır. Aydınlatma metnini içeriğinde mutlaka bulunması gereken hususlar şu şekildedir.

  •           İlgili Kişiden Hangi Veri Türlerinin ne şekilde alındığı
  •           İlgili Kişiden Alınan verinin hangi faaliyet konusu, amacı için alındığı
  •           İlgili Kişiden alınan verinin kanunun 5. maddesinde sayılan bentlerden hangisine dayandığı
  •           İlgili kişinin kanundan doğan haklarının neler olduğu
  •           İlgili kişinin veri sorumlusuna nasıl başvuracağı

Özel Nitelikte Kişisel Verisi İşlenen İlgili Kişilerden Açık Rıza Almak

Gerçek kişi olarak biz insanların bazı verileri vardır ki, bunların paylaşılması kişi için hassas, gizli kalması hayati öneme sahip olabilmektedir. İşte bu veri türlerinin işlenmesi halinde veri sorumlusuna düşen; aydınlatma metnini ilgili kişiye beyan ettikten sonra ayrı bir metin hazırlıyarak muhatabının özel nitelikteki verileri için açık rızasını almaktır. Bu veriler şunlardır:

  • Sağlık Verisi
  • Engelli Raporu Verisi
  • Cinsel Hayat Verisi
  • Siyasi Parti ve Sendika Bilgileri
  • ​​​​​​​Saklama ve İmha Politikası Hazırlamak
Teknik veİdari Tedbirler Alarak Veri İhlalinin Önüne Geçmek

Teknik ve idari tedbirlerin amacı ise, otomatik ya da elle işlenen verilen çalınması ve hacklenmesinin önüne geçmektir. Kurul ve Kanun bu tedbirleri tek tek belirtmese de burada veri sorumlusuna düşen tebliğ ve emsal kararlara bakıp kendi bünyesinde bu önlemleri alması ve içselleştirmesidir. Bazen tek bir önlem dahi sizi ve firmanızı cezadan ve veri ihlalinden kurtaracaktır. Mesleki tecrübelerimize dayanarak alınması gereken önlemlerden bazıları şu şekildedir.

  • Güncel Antivirüs sistemlerinin kullanılması
  • Ağ güvenliğinin sağlanması
  • Lock kaydı tutulması
  • Dolapların kilitli olması, bilgisayarların şifreli olması
  • Firewall sistemlerinin kullanılması
  • Gizlilik protokolleri imzalanması
  • Güvenlik Kamerası kullanılması

*Hemen hatırlatmak gerekir ki bu ve benzeri tedbirlerin hepsinin alınmasına gerek yoktur. Firmanızın iş yükü, çalışma şekli ve somut olaya göre değişkenlik gösterecektir.

  1. KVKK YÜKÜMLÜLÜKLERİNE UYMAMA HALİNDE 2021 YILI İÇİN ÖNGÖRÜLEN CEZALAR ŞU ŞEKİLDEDİR: 
  • Aydınlatma Yükümlülüğüne Aykırılık Hâlinde: 9.834 ₺-196.686 ₺
  • Veri Güvenliğine İlişkin Aykırılık Hâlinde: 29.503 ₺-1.966.862 ₺
  • Kurul Tarafından Verilen Kararlara Aykırılık Hâlinde: 49.172 ₺-1.966.862 ₺
  • VERBİS’e Kayıt ve Bildirim Yükümlülüğüne Aykırılık Hâlinde: 39.337 ₺-1.966.862 ₺

Bu gibi ağır cezalar ile karşılaşılmaması için mutlaka uzman bir avukattan yardım alınması elzemdir.  Şahıs ya da sermaye firması fark etmeksizin özel sektörde yukarıda belirtilen şartları sağlayan firmaların, hastane, eczane, muayenehane ve kamu kuruluşlarının vs kişisel veriler söz konusu olduğunda artık daha dikkatli olması gerekmektedir. Her ne kadar Kişisel Verileri Koruma Kurulu birden fazla kez son kayıt sürelerini uzatmış olsa da, belirtilen cezalar ve her geçen gün hayatımıza daha çok giren kişisel veri kavramı oldukça ciddi bir mülahazadır.

KVKK kapsamında “Veri Sorumlusu” kime denir?

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Şirketler, vakıflar, dernekler ve belirli şartları taşıyan şahıs işletmeleri genellikle veri sorumlusu sıfatına haizdir.

Aydınlatma Yükümlülüğü nedir?

Veri sorumlusunun, verisini işlediği kişiye (ilgili kişi); verilerin hangi amaçla işleneceği, kimlere aktarılabileceği, toplama yöntemi, hukuki sebebi ve kişinin hakları konusunda bilgi vermesidir. Bu süreç genellikle web sitelerindeki “Aydınlatma Metni” ile yerine getirilir.

Açık Rıza her durumda zorunlu mudur?

Hayır. Kanunda sayılan istisnai haller (sözleşmenin kurulması, kanunlarda açıkça öngörülme, veri sorumlusunun hukuki yükümlülüğü vb.) varsa açık rıza aranmaz. Ancak bu istisnalar dışında kalan her türlü veri işleme faaliyeti için kişinin özgür iradesiyle açıklanan açık rızası şarttır.

VERBİS kayıt zorunluluğu kimleri kapsar?

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 100 milyon TL’den (güncel limitlere göre) fazla olan veri sorumluları ile ana faaliyeti özel nitelikli kişisel veri işlemek olanlar Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olmak zorundadır.

Veri güvenliği için hangi önlemler alınmalıdır?

Veri sorumluları hem idari hem de teknik tedbirleri almakla yükümlüdür:

  • İdari: Kurum içi politikalar, eğitimler, gizlilik sözleşmeleri, envanter hazırlığı.
  • Teknik: Yetki matrisi, sızma testleri, güncel antivirüs yazılımları, veri maskeleme ve şifreleme yöntemleri.

Veri ihlali (Data Breach) durumunda ne yapılmalıdır?

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde, veri sorumlusu bu durumu en kısa sürede (kurul kararına göre 72 saat içinde) Kişisel Verileri Koruma Kurulu’na ve verisi çalınan ilgili kişilere bildirmek zorundadır.

KVKK uyumu sağlanmazsa cezai yaptırımları nelerdir?

Yükümlülüklere aykırılık durumunda 2026 yılı güncel tutarlarıyla milyonları bulan idari para cezaları uygulanabilir. Ayrıca Türk Ceza Kanunu kapsamında “verileri hukuka aykırı olarak verme veya ele geçirme” suçundan hapis cezası da söz konusu olabilir.

Next post
4 Ocak 2025
Call Now Button