KİŞİSEL VERİLERİN KORUNMASI
PROTECTION OF PERSONAL DATA
7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) ve 25 Mayıs 2018 tarihinde uygulamaya giren Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile birlikte kişi, şirket ve kurumların bu yeni yasal mevzuata uyumlu hale getirilmesi zorunluluğu doğmuştur. Bu çerçevede 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler olup kanun kapsamında veri sorumlusunun yükümlülükleri düzenlenmiştir. Avrupa Birliği’nin verdiği yönergelere uygun olarak kişisel verilere dair düzenlemeler getiren Kanun kapsamında, şirketlerin uyum yükümlülüklerini yerine getirmesi için öncelikle mevcut durumlarını analiz etmesi, işledikleri kişisel verileri bir envanter olarak ortaya koyması, kanuna uygun olacak şekilde kişisel veri işleme prosedürlerini oluşturması ve mevcut sözleşmelerini güncellemesi yükümlülükleri getirmesi gerekmektedir. Kanuna göre yükümlülükleri yerine getirmeyen şirketleri ise idari ve cezai yaptırımlar öngörülmüştür. İhlal durumunda, ihlalin niteliğine göre ihlal başına 5 bin liradan 1 milyon liraya kadar idari para cezası verilebileceğini, yine ihlalin niteliğine göre 1 yıldan 4.5 yıla kadar hapis cezası verilebileceğini öngörülmektedir.
Kanun ve beraberinde yayımlanan tebliğ ve yönetmeliklerle veri sorumlularının uymaları gereken pek çok yükümlülük düzenlenmiş olup bu yükümlülüklerin başlıcaları aşağıdaki şekildedir:
- Genel İlkelere Uyum Sağlama
- Kişisel Veri İşleme Şartlarına Uyum Sağlama
- Aydınlatma Yükümlülüğü Metinlerinin Hazırlanması Ve Yükümlülüğün Yerine Getirilmesi
- Kişisel Veri Güvenliği Politikalarının Ve Prosedürlerinin Belirlenmesi (Silme/Yok Etme/Anonimleştirme)
- Kanuna Uygun Veri Aktarım / Yurt Dışına Veri Aktarım
- Veri Güvenliğini Sağlama Ve Denetim Yükümlülüğü
- Kişisel Veri İşleme Envanteri Hazırlama
- Veri Sorumluları Siciline Kayıt Olma
- Kişisel Verisi İşlenen Kişinin Başvurusunu Yanıtlama
VERİ SORUMLULARI SİCİLİNE (VERBİS) KAYIT OLMA YÜKÜMLÜLÜĞÜ
Veri Sorumluları Siciline (“Sicil”) kayıt yükümlülüğüne ilişkin Kişisel Verileri Koruma Kurulu’nun (“KVK Kurulu”) bir dizi kararı geçtiğimiz günlerde Resmi Gazete’de yayımlandı. Söz konusu kararlar kapsamında Sicile kayıt yükümlülüğü bakımından yeni istisnalar belirlenmekle birlikte kayıt yükümlülüğüne tabi olan veri sorumluları için de Sicile kayıt tarihleri açıklandı.
KAYIT YÜKÜMLÜLÜĞÜ BAKIMINDAN YENİ İSTİSNALAR
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca Sicile kayıt yükümlülüğüne KVK Kurulu tarafından istisnalar getirilebilmekte ve böylece bazı veri sorumluları kayıt yükümlülüğünden muaf tutulabilmektedir. KVK Kurulu daha önce bu kapsamdaki ilk istisnaları 2018/32 sayılı kararında açıklamıştı. KVK Kurulunun 18 Ağustos 2018 tarihli Resmi Gazete’de yayımlanan 2018/68, 2018/75 ve 2018/87 sayılı kararlarıyla kayıt yükümlülüğü bakımından yeni istisnalar belirlendi. Bu kararlar sonrasında Sicile kayıt yükümlülüğünden muaf tutulan veri sorumluları aşağıdaki şekilde tespit edilmiş oldu:
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
- Noterler,
- Dernekler faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
- Siyasi Partiler,
- Avukatlar,
- Serbest Mali Müşavirler ve Yeminli Mali Müşavirler,
- Gümrük Müşavirleri ve Yetkilendirilmiş Gümrük Müşavirleri,
- Arabulucular,
- Ana faaliyet konusu özel nitelikli veri işleme olmayan ve yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumluları.
Sicile Kayıt Yükümlülüğüne İlişkin Tarihler
|
Veri Sorumluları |
Kayıt yükümlülüğü başlangıç tarihi | Kayıt için verilen süre | Kayıt için son tarih |
| Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları |
01.10.2018 |
12 ay |
30.09.2019 |
| Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları | 01.10.2018 | 12 ay | 30.09.2019 |
| Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları |
01.01.2019 |
15 ay |
31.03.2020 |
| Kamu kurum ve kuruluşu veri sorumluları | 01.04.2019 | 15 ay | 30.06.2020 |
Veri sorumlularının Sicile kaydolması zorunlu olmakla birlikte kayıt yükümlülüğünün başlaması için KVKK’nın geçiş hükümleri uyarınca KVK Kurulunun ilgili tarihleri ilan etmesi beklenmekteydi. KVK Kurulu, 2018/88 sayılı kararıyla Sicile kayıt tarihlerini aşağıdaki şekilde duyurdu:
| YAPTIRIMLAR | |
| HAPİS CEZASI | İDARİ PARA CEZASI |
| Kişisel verilerin hukuka aykırı olarak kaydedilmesi: 1-3 yıl | Aydınlatma yükümlülüğünün ihlali: 5.000 TL–100.000 TL |
| Kişisel verileri hukuka aykırı olarak başkasına verme, yayma, ele geçirme: 2-4 yıl | Veri güvenliği yükümlülüğünün ihlali: 15.000 TL–1.000.000 TL |
| Kişisel verileri, belirli sürenin geçmesine karşın yok etmeme: 1-2 yıl | Kişisel Verileri Koruma Kurulu kararlarına muhalefet: 25.000 TL-1.000.000 TL |
| *Anılan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur | Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık: 20.000 TL-1.000.000 TL |
Sicile kayıt yükümlülüğü KVKK bakımından veri sorumlularının temel yükümlülüklerinden biri olup bu yükümlülüğün yerine getirilmemesi 1.000.000 TL’ye varan idari para cezalarına sebep olabilecektir. Sicile kayda ilişkin detayları ve KVKK’ya ilişkin her türlü sorunuz için tarafımızla iletişime geçebilirsiniz.
