KİŞİSEL VERİLERİN KORUNMASI DANIŞMANLIĞI
6698 sayılı Kişisel Verileri Koruma Kanunu 07.04.2016 tarihinde yayımlanmış ve yürürlüğe girmiştir. 50 çalışanı veya mali bilanço toplamı 25 milyon üzeri bulunan işletmeler kişisel veri topluyorlarsa Veri Sorumluları Siciline kayıt olma zorunlulukları bulunmaktadır. (Son tarih 30.09.2020)
Kimler kişisel veri toplar. En başta e-ticaret siteleri, alış veriş firmaları, hasta kayıt işlemi yapan hastaneler, iş müracaat formu toplayan işletmeler bu kanunun kapsamına girmektedir.
Kişisel Verileri toplarken aydınlatma yükümlülüğüne yerine getirmeyen, veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen, Veri sorumluları siciline kayıt olmayan mükellefler hakkında 20 Bin ile 1 Milyon arasında idari para cezası uygulanmakla birlikte Türk Ceza Kanununun 135 ile 140 ıncı madde hükümleri (6 aydan 3 yıla kadar hapis cezası) uygulanacaktır.
Kişisel Verilerin Korunması Danışmanlığı
MHY Danışmanlık olarak Kişisel Verilerin Koruması Danışmanlığı yapıyoruz. Kişisel Verilerin Korunması Danışmanlığı kapsamında kişisel verileri kullanılan kişilerin yasal haklarını koruduğumuz gibi, işletmelere de yasal mevzuatın uygulanması noktasında danışmanlık hizmeti veriyoruz. Bizimle iletişim kurmak için tıklayınız.
Aşağıdaki makalede Kişisel Verilerin Korunması Kanunu hakkında aklınıza takılan soruların cevaplarını bulabilirsiniz.
KİŞİSEL VERİLERİN KORUNMASI KANUNU
Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaktır.
Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
Kişisel verileri belli bir amacın gerçekleşmesi için işleyecek gerçek ve tüzel kişiler aşağıdaki ilkelere uymak zorundadır.
1) Hukuka ve dürüstlük kurallarına uygun olma.
2) Doğru ve gerektiğinde güncel olma.
3) Belirli, açık ve meşru amaçlar için işlenme.
4) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
5) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Veri sorumlusunun aydınlatma yükümlülüğü
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
1) Veri sorumlusunun ve varsa temsilcisinin kimliği,
2) Kişisel verilerin hangi amaçla işleneceği,
3) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4) Kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda bilgi vermekle yükümlüdür.
İlgili kişinin hakları
Kişisel verileri toplanan Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
1) Kişisel veri işlenip işlenmediğini öğrenme,
2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
6) Kişisel verilerin silinmesini veya yok edilmesini isteme,
7) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme gibi haklarına sahiptir.
Veri güvenliğine ilişkin yükümlülükler
Veri sorumlusu (Verileri toplayan gerçek ve tüzel kişiler)
1) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
2) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
3) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Şikâyet üzerine veya resen inceleme
Kişisel Verilerin Korunması Kurulu, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
50 çalışanı olan ve 25 Milyon Mali Bilanço Büyüklüğü Olan İşletmeler Kişisel Veri Topluyorsa Veri Sorumluları Siciline Kaydolmak Zorundadır.
Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.
Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
1) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
2) Kişisel verilerin hangi amaçla işleneceği.
3) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
4) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
5) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
6) Kişisel veri güvenliğine ilişkin alınan tedbirler.
7) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
Kaynak:İlgili mevzuat
Na kanun kapsamına kimler dahildir.
İsmail Bey Merhaba.
Makalede de bahsettiğimiz gibi 50 çalışanı ve mali bilanço büyüklüğü 25 milyon olan işletmeler kişisel veri topluyorsa (örneğin iş müracaat formları topluyorsa) bu kanun kapsamına girer.
Merhaba. Yazınızdaki cezalar gerçekten uygulanıyor mu?
verbise kayit olmaz isek cezai yaptirimi nedir?
Merhaba, veri sorumluları siciline kayıt olmak için belirlenmiş bir süre var mı?
Hakan Bey Merhaba;
VERBİS’e kayıt olmamamız halinde 6698 sayılı Kişisel Verileri Koruma Kanunu’nun 18. maddesinin ç fıkrasına göre 20.000 liradan başlayan idari para cezası uygulanır.
Kanunun ilgili maddesi şu şekildedir.
“ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
idari para cezası verilir. “
Özge Hanım Merhaba;
Kişisel Verileri Koruma Kanununun 19/07/2018 tarih ve 2018/88 nolu kararı ile
– Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü 30.09.2019 tarihine kadar,
– Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar,
– Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar,
– Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesine karar verilmiştir.
Bana ait olmayan bir borçtan dolayı kişisel telefonuma icra tehditi mesajları atılmakta ve aramalar yapılmakta. Bu durum kişisel verileri koruma kanunu ihlal eder mi?
Merhaba Ayşe Hanım,
Size ait olmayan bir borçtan dolayı şahsi telefonunuza atılan mesajlar Kişisel Verileri Koruma Kanunu açısından ihlal nedenidir.
Kişisel Verileri Koruma Kurulu’nun 31.05.2019 tarih ve 2019/166 sayılı kararı tamda bu ihlal ile ilgilidir. Kurul Kararının özeti aşağıdadır.
“İlgili kişinin, şahsına ait telefon numaralarına gönderilen ve kendisine ait olmayan içerik barındıran kısa mesaj (SMS) nedeniyle veri sorumlusuna başvurduğu; veri sorumlusu tarafından verilen cevapta, bu gönderimin personel hatasından kaynaklandığı ve başka bir aboneye ait giriş yapılırken 1 rakam hatası sonucunda ilgili kişiye SMS gönderildiği tespit edilerek yanlışlığın derhal düzeltildiğinin belirtildiği; ancak, kendisine gönderilen SMS’te kişisel verileri yer alan kişinin yeğeni olduğunu ve yeğeninin telefon numarası ile kendisine ait telefon numarasının 1 rakam değişikliği / yanlışlığı ile karıştırılmasının mümkün olmadığını belirterek veri sorumlusu hakkında gereğinin yapılmasını talep ettiği başvurusunun incelenmesi neticesinde,
Gerek bir şirketler grubuna borçlu olduğu belirtilen ve şikayetçinin yeğeni olduğu anlaşılan şahsa ait ad, soyad ve hizmet numarasının şikayetçiye ait hatta gönderilmesi, gerekse şikayetçiye ait telefon numarasının, Kanunda düzenlenen işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti sonucunda Kanunun 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği anlaşılan veri sorumlusu avukat hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına
karar verilmiştir.”
Merhaba, kişisel verilerin korunması kanunu kapsaminda kişisel verileri işleyenlere ne gibi danışmanlık veriyorsunuz?
Ayşegül Hanım Merhaba;
Kişisel Verileri Koruma Kanunu Danışmanlığı kapsamında idari tedbirler ve teknik tedbirler olmak üzere iki ana başlıkta hizmetlerimiz bulunmaktadır.
İdari Tedbirlerle ilgili başlıca hizmetlerimiz şunlardır;
-Kişisel verilerle ilgili olarak süreçlere dahil olan birim yöneticilerine eğitim verilmesi
-Örnek personel, tedarikçi ve müşteri sözleşmelerinin incelenmesi ve KVKK’na uyumunun sağlanması,
-web sitelerinin incelenmesi KVKK kapsamında eksiklerinin tespit edilerek rapor edilmesi,
-Yeni işe başlayanlar için kişisel veri güvenliği konusunda eğitim materyali hazırlanması,
-Personel yönetmeliğinin güncellenmesi (mevcut değilse hazırlanması),
-KVKK kapsamı ile sınırlı olmak üzere Avukatlık hizmetlerinin verilmesi,
-VERBİS kayıt işleminin yapılması,
-Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi politikasının belirlenmesi ve hazırlanması,
-Kişisel veri envanterinin hazırlanması,
-Aydınlatma yükümlülüğünün yerine getirilmesi politikasının belirlenmesi ve hazırlanması,
-Açık rıza formlarının hazırlanması
-Kişisel verilerin korunması kanunu kapsamında tüm politikaların ve gerekli olan formların hazırlanması
Teknik Tedbirler kapsamında vermiş olduğumuz hizmetler ise şunlardır;
-Yetki Matrisi ve Yetki Kontol
-Erişim Logları
-Log Kayıtları
-Kullanıcı Hesap Yönetimi
-Ağ Güvenliği
-Uygulama Güvenliği
-Şifreleme
-Sızma Testi
-Saldırı Tespit ve Önleme Sistemleri
-Veri Maskeleme
-Veri Kaybı Önleme Yazılımları
-Yedekleme
-Güvenlik Duvarları
-Güncel Anti-Virüs Sistemleri
-Silme, Yok Etme veya Anonim Hale Getirme
-Anahtar Yönetimi
Anlaşılmayan husularla ilgili olarak iletişim formundan soru sorabilir yahut telefon ile görüşme talep edebilirsiniz.
İyi çalışmalar…