İçindekiler
KVKK Nedir?
KVKK nedir? KVKK, kişisel verileri koruma kanunu anlamına gelmektedir. Teknoloji ve dijitalleşme ile birlikte kişisel verilerin yayılması kolaylaşmaktadır. Buna bağlı olarak kişisel verileri, KVKK’ya aykırı olarak elinde bulunduran şirketlerin veya şahısların çok yüksek miktarlarda idari para cezaları ödemelerine karar verilmektedir. Bu sebeple, veri sorumlularının Kişisel Verileri Koruma Kurumu tarafından verilen yüksek miktarlardaki idari para cezalarına maruz kalmamaları adına mutlaka KVKK avukatına danışmaları gerekmektedir.
Kişisel Veriler Nelerdir? Veri İşleme Nedir?
KVKK 3. maddede Kişisel Verileri Koruma Kanun’da bahsi geçen tüm terimlerin tanımı yapılmıştır. Kanunda düzenlenen kişisel veri tanımı;
‘Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.’
KVKK m.3
Kanun lafzından anlaşılacağı üzere, kişinin kimlik numarasından dış görünüşüne ilişin tüm bilgiler dahil olmak üzere, şahsı üçüncü kişiler tarafından tanınır kılan tüm bilgiler o kişinin kişisel verileridir diyebiliriz. Bu kapsamda, kişiden habersiz ve/veya izinsiz olarak alınan kamera kayıtları, kimlik bilgileri, dış görünüşüne ilişkin bilgiler, sağlık bilgileri, din, ırk,cinsiyel hayatına ilişkin bilgiler,siyasi görüşü de dahil olmak üzere bir çok veri kişisel veri kapsamına girmektedir.
Kanunda veri işleme ise,
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi
KVKK m.3
olarak tanımlanmıştır. Dolayısıyla, gerçek ve tüzel kişilerin, verilen bir hizmet/ herhangi bir işin ifası gibi durumlarda dahil olmak üzere, gerçek kişilere ait verileri toplanması ve bu veriler üzerinde yapılan her türlü işlem veri işleme kapsamına girmektedir. Örneğin, tüzel kişilik bünyesinde işe alınan gerçek kişinin işe giriş işlemlerinin yapılması amacıyla alınan bilgilerinden ticari faaliyet kapsamında satış v.b. işlemler gibi alınması gereken ticari işin yürütülmesi için gerekli olan kişisel bilgilere kadar alınan verilerin tamamı veri işleme kapsamına girmektedir. İşlenen tüm verilerin kanuna uygun hale getirilmemesi durumunda ise 2.6 milyon TL tutarına kadar idari para cezaları ödenmesine karar verilmektedir. Her ne kadar alınan veriler kanunlar kapsamında zorunlu olarak alınması gereken veriler olsa da, kişisel verileri alınan gerçek kişilerin verileri alındığına ilişkin aydınlatma metinleri ile onayının alınması gerekmektedir.
Kişisel Verileri İşleme Şartları Nelerdir? KVKK Nedir?
Kişisel veriler kanunlarda öngörülen usul ve esaslara göre işlenmelidir. Dolayısıyla, verilerin kanuna uygun olarak işlenebilmesi için aydınlatma metinleri ile gerçek kişi aydınlatılarak onayı alınmalıdır. Ancak, bazı özel durumlarda ise aydınlatma metinlerinin yanı sıra açık rıza metinleri imzalatılmadır. Veri sorumlularının işledikleri veriler için aynı zamanda KVKK avukatlarına danışarak düzenledikleri veri politikaları kapsamında verileri saklamaları ve imha etmeleri gerekmektedir. Özel nitelikteki kişisel veriler yani hasas veriler işlenmeden önce açık rıza alınması gerekir.
Kişisel verilerin işlenme şartları
KVKK m.5
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın
kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya
rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya
beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kimler VERBİS’e Kayıt Olmak Zorundadır?
VERBİS , Veri Sorumluları Sicil Bilgi Sistemi’nin kısaltmasıdır. Dolayısıyla VERBİS, veri sorumlularının kayıt oldukları ve aleni olarak sorgulanabilecek bir sicil sistemidir. Veri sorumluları, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir. Bu kişlerin VERBİS kaydı zorunlu olan kişiler arasından olması durumunda 31.12.2021 tarihine kadar VERBİS kayıtlarını yapmış olmaları gerekmektedir.
VERBİS’e kaydı zorunlu olan gerçek ve tüzel kişiler kimdir?
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları,
- Kamu kurum ve kuruluşu veri sorumluları
VERBİS’e kayıt şartları sağlanmasına rağmen son kayıt tarihine kadar VERBİS kaydını yapmamış gerçek veya tüzel kişilerin karşılaşacakları cezalar nelerdir?
m.16’da öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir
KVKK m.18
KVKK Aydınlatma Metni Nedir?
Veri sorumlusu, kanunun 10. maddesinde düzenlenen aydınlatma yükümlülüğü kapsamında iligili kişileri aydınlatmalıdır. Dolayısıyla, verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılacağı,veri toplamanın yöntemi ve hukuki sebepleri ile ilgili kişinin hakları konusunda veri sorumlusunun aydınlatma yükümlülüğü bulunmaktadır. Bu sebeple, işlenen her veri için gerekli bilgilendirmeler yapılarak aydınlatma yükümlülüğü yerine getirilmelidir. Ancak bu yükümlülüğe aykırı davranılması durumunda kanunda düzenlenen idari para cezaları gündeme gelmektedir.
KVKK Açık Rıza Metni Nedir?
Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine onay vermesi anlamını taşımaktadır.
Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:
- Belirli bir konuya ilişkin olması,
- Rızanın bilgilendirmeye dayanması,
- Özgür iradeyle açıklanması.
Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Dolayısıyla, veriye ne amaçla ihtiyaç olduğu ayrıntılı bilgisi verilmelidir. Genel nitelik taşıyan açıklamaların hukuki herhangi bir geçerliliği bulunmamaktadır. Örneğin bir kişinin sağlık verisi alınması gerekiyorsa, o kişinin sağlık verisine neden ihitiyaç duyulduğu ve bu veriyi alma konusundaki zorunluluk açıklanmalıdır. Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, açık rıza geri alınabilir. Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır.
KVKK İhlali Durumunda Şikayet Hakkı
KVKK şikayet süreci kademeli olarak yapılmaktadır. Kişilik hakları ihlal edilen kişilerin, taleplerini öncelikle veri sorumlusuna iletmeleri gerekmektedir. Veri sorumlusu tarafından başvuru reddedilebilir. Aynı zamanda başvurucu verilen cevabın yetersiz bulabilir. Bu durumlarda 30 gün içinde KVK Kurumuna şikayet yoluna gidilir. Ancak, her hâlde başvuru tarihinden itibaren altmış gün içinde
Kurula şikâyette bulunmalıdır. Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, gerekli incelemeyi yapar. Ancak,yasal süreler haricinde yapılan şikayet başvuruları değerlendirmeye alınmaz. İdari para cezalarının yanı sıra kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
KVKK İdari Para Cezaları 2022
KVKK m.18 idari para cezaları, 2022 yılında %36,20 yeniden değerleme oranı ile aşağıdaki şekilde uygulanacaktır:
Aydınlatma Yükümlülüğüne Aykırılık Hâlinde 2022 (Yeniden Değerleme Oranına Göre): | Veri Güvenliğine İlişkin Aykırılık Hâlinde 2022 (Yeniden Değerleme Oranına Göre): |
13.393 ₺ – 267.886 ₺ | 40.183 ₺ – 2.678,866 ₺ |
Kurul Tarafından Verilen Kararlara Aykırılık Hâlinde 2022 (Yeniden Değerleme Oranına Göre): | VERBİS’e Kayıt ve Bildirim Yükümlülüğüne Aykırılık Hâlinde 2022 (Yeniden Değerleme Oranına Göre): |
66.972 ₺ – 2.678,866 ₺ | 53.576 ₺ – 2.678,866 ₺ |
Sonuç olarak, KVKK nedir sorusu kapsamında verilecek cevaplar kanunun 2016 çıkmış olması ve bu konuda yeterli bilginini bulunmaması sebebiyle veri sorumluları açısından hukuki destek alınmaması durumunda çok yüzeysel kalacaktır. Dolayısıyla, gerçek ve tüzel kişlerin veri işlerken idari para cezaları ile karşı karşıya kalmamaları için mutlaka KVKK alanında çalışan bir avukata danışmaları gerekmektedir.
KVKK Danışmanlığı ve bilgi almak için bizimle iletişime geçebilirsiniz