Kişisel Verilerin Korunması Kanununa (KVKK ) Uyum Süreci

  • 1 Beğeni
  • 09/07/2019

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir.

 Kişisel Verilerin Korunması Kanunu Ne Zaman Yürürlüğe Girmiştir?

Avrupa Birliği'ne uyum kapsamında hazırlanan Kişisel Verilerin Koruma Kanunu 07.04.2016 tarihinde Resmi Gazetede yayınlanarak yürürlüğe girdi. Ancak kanunun geçici maddesi gereği veri sorumlularının yükümlülüğü, yayım tarihinden itibaren 2 yıl sonra yani 06.04.2018 tarihine bırakıldı.

Veri sorumluları bu süre içinde işledikleri tüm verileri hesap verebilirlik ve doğrulanabilirlik ilkeleri ile kanuna uygun hale getirmekle yükümlü idiler. Yine veri sorumluları, bu süre içinde tüm teknik alt yapılarını kurmak durumunda idiler. Bu süreçte akıllarda, veri sorumlusu kimlerdir, veri sorumlusunun yükümlülükleri nelerdir, hangi veriler işlenebilir, nerede ve ne kadar süreyle saklanabilir soruları belirdi. Daha da önemlisi veri sorumluları kendilerine tanınan iki yıllık süreyi verimli geçirip, hazırlıklarını tamamlayabildi mi ? İşte KVKK uyum süreci tüm bu soruların cevaplarını içinde barındıran teknik ve hukuki önlemler ile kanuna uygun altyapı hazırlanmasını kapsayan bir süreçtir. 

Veri Sorumlusu Kimdir ?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.

Kişisel Verilerin İşlenmesi Ne Demektir?

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Örneğin, kişisel verilerin sadece bir hard diskte, CD’de, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir.

İlgili Kişi Kimdir?

İlgili kişi, kişisel verisi işlenen gerçek kişiyi ifade eder. Kanunda, yalnızca gerçek kişilerin verilerinin korunması öngörülmüş, tüzel kişilerin verileri Kanun kapsamı dışında tutulmuştur.

İlgili Kişiler KVKK Uyarınca Hangi Haklara Sahiptir ?

İlgili kişinin hakları 6698 sayılı Kanun madde 11’de düzenlenmiştir. Buna göre her ilgili kişi;

1)Kişisel verilerinin işlenip işlenmediğini öğrenme ve işlenmişse buna ilişkin bilgi talep etme,

2)Kişisel verilerinin neden işlendiğini ve işlenmenin amaca uygun kullanıp kullanılmadığını,

3)Yurt içi ya da yurt dışında kişisel verilerinin aktarıldığı kişilerin kim olduğunu bilme,

4)Kişisel verilerine ilişkin işlenmenin yanlış ya da eksik olduğu durumda bunun düzeltilmesini isteme ve bu anlamda yapılan işlemlerin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme

5)Kişisel verilerin kanuna aykırı şekilde işlenmesinden doğan zararının giderilmesini talep etme,

6)İşlenen verilerin otomatik sistemler aracılığıyla analiz edilmesi ile verileri işlenen kişinin kendi aleyhine çıkan bir sonucun meydana gelmesine itiraz etme,

7)Kanunun 7. maddesinde sayılan şartlara göre kişisel verilerin silinmesini yahut yok edilmesini isteme ve bu anlamda yapılan işlemlerin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme haklarına sahiptir.

Kişisel Verilerin Korunması Kanunu'na Uymayanlar Hakkında Öngörülen Yaptırımlar Nelerdir?

a) Türk Ceza Kanunu Kapsamında Düzenlenmiş Suçlar:

Kanun’un Suçlar başlığı altında 17. maddesinde doğrudan Türk Ceza Kanuna (“TCK”) 135 ila 140. maddelerine atıf yapılmış olup aşağıda yer alan suçları işledikleri sabit olanların, hapis cezasına çarptırılma riskleri vardır:

  • Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi: TCK 135. madde kapsamında, hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verileceği düzenlenmiştir. Bu kişisel verilerin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda verilecek cezanın yarı oranında artırılacağı ayrıca düzenlenmiştir.
  • Kişisel Verilen Hukuka Aykırı Olarak Başkasına Verilmesi, Yayılması Ele Geçirilmesi: TCK 136. madde kapsamında, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir.
  • Kanuni Sürelerin Geçmiş Olmasına Rağmen Verilerin Yok Edilmemesi: TCK 138. madde kapsamında, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verileceği düzenlenmiştir. Suçun konusunun Ceza Muhakemesi Kanunu (“CMK”) hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılacağı ayrıca düzenlenmiştir.             
  • Yukarıda yer alan suçların soruşturulması ve kovuşturulması şikayete bağlı değildir. Bu nedenle savcılıklarca herhangi bir şikayete tabi olmaksızın resen soruşturma başlatılması her zaman ihtimal dahilindedir.

    b) Kabahatler:

    Kanun’un 18. maddesi Kabahatler başlığı altında düzenlenmiş olup, aşağıda yer verilen yükümlülükleri yerine getirmeyen veri sorumlusu gerçek ve tüzel kişilere miktarı Kanun’un ilgili maddesinde düzenlenen aralıklarda olmak üzere Kurul tarafından idari para cezaları verilebilir.

  • Kanun’un 10. maddesinde düzenlenen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 000 Türk lirasından 100.000 Türk lirasına kadar,
  • maddede düzenlenen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • madde kapsamında Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • maddede düzenlenen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar para cezası verilebilecektir.