KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK)

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 24 Mart 2016 tarihinde kabul edilmiş olup, 7 Nisan 2016 tarihinde Resmi Gazete ’de yayımlanarak yürürlüğe girmiştir. Kanun, veri işlerken uyulması gereken genel ilkeler, kişisel veri işleme şartları, veri sorumlusunun aydınlatma yükümlülüğü ve veri sahibinin hakları gibi birçok konuyu düzenlemekte; şirketlerin ve çalışanlarının dikkat etmesi gereken yeni düzenlemeler getirmektedir. Kişisel Verilerin Korunması Kanunu Danışmanlık Hizmetlerimiz, yasal uyumsuzluk nedeniyle oluşabilecek risklerinizi tespit ederek, her türlü kişisel verinin hukuka uygun olarak işlenmesi ve muhafazası için gereken teknik ve idari tedbirleri almanızı sağlar.

Yasal sorumluluk ve temel ilkeler

Kişisel verilerin korunması ile ilgili ihmal ve ihlaller işletmelere ağır hukuki ve cezai sorumluluklar yükler. Örneğin, 2019 yılı itibariyle aydınlatma yükümlülüğüne aykırılık halinde 100.000 TL'ye kadar; veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık halinde 1.000.000 TL'ye kadar yaptırım uygulanır. Kişisel verilerin, belirlenen süre içinde imha edilmemesi halinde 2 yıla kadar; hukuka aykırı işlem halinde ise 4 yıla kadar hapis cezasına hükmedilir.

KVKK ihlali durumunda yaptırımlar
Aydınlatma yükümlülüğüne aykırılık halinde; 5.000 ₺ - 100.000 ₺
Veri Güvenliğine ilişkin yükümlülüklere aykırılık halinde; 15.000 ₺ - 1.000.000 ₺
Kurul tarafından verilen kararlara aykırılık halinde; 25.000 ₺ - 1.000.000 ₺
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırılık halinde; 20.000 ₺ - 1.000.000 ₺

Türk Ceza Kanunu’ndan ötürü ortaya çıkan yaptırımlar
Kişisel verilerin hukuka aykırı olarak işlenmesi
1 - 3 yıl hapis cezası, özel nitelikli veriler için ceza yarı oranda arttırılır
Verileri hukuka aykırı olarak verme veya ele geçirme
2 - 4 yıl hapis cezası
Kişisel verilerin kanunca belirlenen süre içinde silinmemesi
1 - 2 yıl hapis cezası

Verbis Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesi kapsamında kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kayıt yaptırmaları zorunludur. Bu kapsamda, veri sorumlularının Kişisel Verilerin Korunması Kurumu’nun online bir sistemi olan Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”)’ne kayıt yaptırması gerekmektedir.

Mevcut şirketler belirli kriterlere göre, farklı tarihlerde bu yükümlülüklerini yerine getirmek zorundadır.Kanun’un 16. maddesine ve Kurum tarafından çıkartılan Veri Sorumluları Sicili Hakkında Yönetmeliği’ne göre Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce VERBİS’e asgari olarak aşağıdaki bilgileri vererek kaydolmak zorundadır.

• Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri
• Kişisel verilerin hangi amaçla işleneceği
• Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar
• Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
• Yabancı ülkelere aktarımı öngörülen kişisel veriler
• Kişisel veri güvenliğine ilişkin alınan tedbirler
• Kişisel verilerin işlendikleri amaç için gerekli olan azami süre

KİŞİSEL VERİLERİ KORUMA KURULUNCA 6698 SAYILI KANUNUN GEÇİCİ 1 İNCİ MADDESİNE(*) GÖRE İLAN EDİLEN VERİ SORUMLULARI SİCİLİNE KAYIT TARİHLERİ

Veri Sorumluları	Kayıt yükümlülüğü başlangıç tarihi	Kayıt için verilen süre	Kayıt için son tarih
Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları	01.10.2018	12 ay	31 ARALIK 2019
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için	01.10.2018	12 ay	31 ARALIK 2019
Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları	01.10.2019	15 ay	31 MART 2020
Kamu kurum ve kuruluşu veri sorumluları	01.04.2019	15 ay	30 HAZİRAN 2020

(*)GEÇİCİ MADDE 1-(2) Veri sorumluları,Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

Veri güvenliğinin çok önemli olduğu zamanları yaşıyoruz. Bugün bilgi teknolojileri günlük hayatımızın her aşamasında yaygın olarak kullanılıyor Kişisel veriler organizasyonlar için aynı zamanda bir bilgi sınıfı oluşturduğundan ISO/IEC 27001:2013 ile güvenlik önlemlerine tabii veriler statüsünde yer almaktadır. Peki kurum veya kuruluşlar standardın maddelerini yerine getirdiklerinde kişisel veri güvenliği rehberine de uyumlu oluyorlar mı?

Kurumların, veri güvenliği temel üçlüsünü oluşturan insan, süreç ve teknoloji ile gizlilik, bütünlük ve erişilebilirlik ilkelerini birleştirerek atacakları her adım, onları 6698 sayılı KVKK’ya uyumlu hale getirecektir.

Genel mantığı bilginin doğru bir şekilde korunmasına dayanan ISO 27001, bu konuyu destekleyen bir yönetim sistemidir. Bu sistemin kurulmasının en önemli sebebi ise, dijital çağda yazılı bilgilerin doğru şekilde saklanmasıdır.

Bazı kurumların yasal olarak ISO 27001 Bilgi Güvenliği Yönetim Sistemi kullanması gereklidir. Ancak sizin firmanız bu zorunluluk tanımına girmiyor olsa da, sistemin sağladığı avantajları öğrendikten sonra bu alanda bir atılım yapmaya karar verebilirsiniz. İşte sistemin işletmeler için en önemli faydaları:

Bilgileri korur, bilgi kaybı riskini minimize eder.
Bilgilerin kaybolmasından dolayı oluşabilecek gereksiz zaman kaybının ve fazladan iş gücünün önüne geçer. Kurumun daha verimli çalışmasına yardımcı olur.
Bilgilerin doğru ve güvenilir bir biçimde saklanmasını sağlar.
İş sürekliliği sağlayarak firma verimliliğini artırır.
Şirketin tüm bilgilerinin gizli kalmasını sağlar.
Şirket genelinde bilgilerin korunmasına dair farkındalık yaratır. Şirketin bilgi güvenliği konusundaki zayıflıklarını ortaya çıkarır ve bu alanlarda daha yüksek güvenlik önlemi alınmasını sağlar.
Bilgilerin içeriğinin değişmemesini sağlar.
Yasal olarak yerine getirilmesi gereken kriterlerin yönetmeliğe uygun olmasını sağlar.
Bilgi varlıklarına istendiği zaman ulaşım sağlar.
Şirketin kurumsal saygınlığını korur.
Şirketin rekabet konusunda avantajlı konumda olmasına yardımcı olur.