KVKK (Kişisel Verilerin Korunması Kanunu), verisi bulunan ilgili kişiye ve kişinin verisinden sorumlu olan ve veriyi işleyen gerçek veya tüzel kişilere bazı haklar vermektedir veya yaptırımlar uygulamaktadır. Bu yazıda kurumların KVKK kapsamında veriyi korumak ve yönetmek için uyması gereken kurallardan bahsedilecektir.
Kişisel Veri Nedir?
Kişisel veri, kişiyle ilişkisi kurulabilecek her türlü bilgiyi ifade etmektedir. Kişinin doğrudan kesin teşhisini sağlayan kimlik bilgilerinin yanı sıra yardımcı veriler aracılığıyla kişinin kimliğine ulaşılabilecek veriler de kişisel veri kapsamına girmektedir.
Kişisel verilerin çeşidi ve büyüklüğünün her geçen gün artmasıyla kişisel veri daha önemli hale gelmiştir. Bu verilerin işlenmesi bazı avantajların yanında özel bilgilerin gizliliği konusunda ortaya çıkan endişeleri de beraberinde getirmiştir. Bu durum kişisel verilerin korunması ve sınır ötesi paylaşımına ilişkin tartışmalara neden olarak verilerin yetkisiz kişilerce ele geçirilmesi, bilinçsiz davranışlar sonucu oluşan veri ihlalleri, kişilerin veri mahremiyetinin sağlanamaması gibi sorunlar ile ilgili yasal düzenlemelerin yapılmasını gerektirmiştir.
KVKK Kapsamında İlgili Kişinin Hakları Nelerdir?
İlgili kişi kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna yönelik bilgi talep etme, işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel veriler üzerinde yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin analiz edilmesiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri nelerdir?
İlgili kişinin verisinden sorumlu olan ve veri sorumlusunun kararlarıyla bu veriyi işleyen kişilerin KVKK kapsamında bazı yükümlülükleri vardır. Veri sorumlusu kanunda “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır.
A) Aydınlatma Yükümlülüğü
Veri sorumlusunun en temel yükümlülüğü aydınlatma yükümlülüğüdür. Aydınlatma yükümlülüğüne göre veri sorumlusu kişisel verilerin elde edilmesi sırasında ilgili kişiye bazı bilgileri sağlamalıdır. Bunlar;
– Veri sorumlusunun ve varsa temsilcisinin kimliği,
– Kişisel verilerin hangi amaçla işleneceği,
– Kişisel verilerin kimlere hangi amaçla akatarılabileceği,
– Kişisel veri toplamanın yöntemi ve hukuki sebebi,
– 11. maddede sayılan diğer hakları
olarak belirtilmektedir. İlgili kişi verisinin işlendiği her durumdan haberdar olmalı ve bu konuda bilgilendirilmelidir.
B) Veri Güvenliğine İlişkin Yükümlülükler
Kanuna göre veri sorumlusu veri güvenliği konusunda aşağıdaki maddelerden sorumludur:
– Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
– Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
– Kişisel verilerin muhafazasını sağlamak.
Veri sorumlusu bu yükümlülüklerini yürütebilmek için her türlü tedbiri almak ve kanunun işleyişi ile ilgili denetimleri yapmak zorundadır. Kişisel veri, veri sorumlusu adına başka bir kişi tarafından işlenmişse güvenlik konusunda iki kişi de sorumlu durumdadır. Hem veri sorumlusu hem de veriyi işleyen kişi görevi sona erdikten sonra da veriyi paylaşamaz veya işleme amacı dışında kullanamaz. Eğer veri 3. kişiler tarafından ele geçirilmişse bu durum en kısa sürede ilgili kişilere bildirilmelidir.
C) Veri Sorumluları Siciline Kayıt Yükümlülüğü
Veri sorumlularının kamu ile paylaşılabilmesi ve bu sayede kişisel verilerin korunması hakkının daha etkin şekilde kullanılması amacıyla veri sorumluları, Veri Sorumluları Sicili (VERBİS)’e kayıt yaptırmak zorundadır. Bu sistemde veri işleme faaliyetleri ile ilgili bilgiler kayıtlı olarak tutulmaktadır. VERBİS’e kayıt olmak için yapılacak başvuru aşağıdaki bilgileri içermektedir:
– Veri sorumlusunun kimlik ve adres bilgileri,
– Kişisel verilerin hangi amaçla işleneceği,
– Veri konusu kişi grubu ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
– Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
– Yabancı ülkelere aktarımı öngörülen kişisel veriler,
– Kişisel veri güvenliğine yönelik alınan tedbirler,
– Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
D) İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
Veri sorumluları, ilgili kişilerce kendisine iletilen, kanunun uygulanması ile ilgili talepleri en geç otuz gün içerisinde sonuçlandırmalıdır. Veri sorumlusu bu talebin olumlu ya da olumsuz cevabını ilgili kişiye bildirmelidir. İlgili kişi red cevabı alması halinde, cevabı öğrendikten sonraki otuz gün içinde Kurula şikayette bulunabilmektedir. Genellikle ücretsiz olan bu işlem, gerekmesi halinde bir ücret karşılığında da yapılabilmektedir.
E) Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Veri sorumlusu, kurula gelen bir şikayet olması ya da kurulun bir ihlali tespit etmesi halinde, konuyla ilgili hukuka aykırılıkların giderilmesi ile sorumludur.
KVKK Kapsamında Suçlar ve Kabahatler
Kişisel Verilerin Korunması Kanununda, kanuna uymayanlar için cezai yaptırımlar da mevcuttur. Bu yaptırımlar suçlar ve kabahatler olarak ikiye ayrılmıştır.
A) Suçlar
Kişisel verilere ilişkin suçlara Türk Ceza Kanununun 135 ila 140’ncı madde hükümleri uygulanır. Türk Ceza Kanununda;
– Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar,
– Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi iki yıldan dört yıla kadar,
– Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
B) Kabahatler
Kişisel Verilerin Korunması Kanununda;
– Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 10.000 Türk lirasına kadar,
– Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
– Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
– Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.