KVKK Danışmanlığı

Kişisel Verilerin Korunması Kanunu ( KVKK ) kişisel verilerin korunmasına ilişkin olarak ülkemizde yürürlükte bulunan mevzuattır. 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiş ve uygulanmaya başlamıştır. Kişisel verilerin korunmasında kişisel verilerin yanında özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması amaç edinilmiştir ve bu amaç doğrultusunda kişisel verileri işleyen büyük şirketler ile en küçük işletmeler bazı yükümlülüklere tabi tutulmuştur. Kişisel veriler hassas bilgiler olup hem gerçek kişiler için hem de tüzel kişiler için önem atfetmektedir. KVKK ile bu hassas bilgilerin korunmasına ilişkin ülkemizde önemli bir adım atılmıştır. Averd Teknoloji olarak danışan kuruluşlarımızın KVKK ve GDPR alanında tam uyumluluğunun sağlanması noktasında teknik ve hukuki yükümlülükleri bütüncül bir yaklaşımla ele alıyoruz. Ayrıca mevzuatta yaşanan güncel gelişmeleri takip ederek uyumluluğun devam ettirilmesini sağlıyoruz. Tüm süreçleri, alanında uzman hukukçu ve siber güvenlik uzmanlarından oluşan ekibimizle yürütüyoruz. Siz de yasal yükümlülüklerinizi yerine getirmek ve uyum sürecinizi profesyonel bir ekiple gerçekleştirmek istiyorsanız bizimle iletişime geçin.

Şirketimiz kişisel veri güvenliği alanında tam uyumluluğu taahhüt etmektedir. Eksik uyumluluk süreçleri neticesinde yaşayabileceğiniz olumsuzluklar işinizi etkilemesin. Siz işinize odaklanırken profesyonel ekibimiz sizin için en iyi çözümleri sunsun. Hedefimiz, danışan kuruluşlarımızı mevzuata tam uyumlu hale getirerek cezai yaptırımlardan kurtarmak ve bilişim suç/suçlularından korumaktır.

 KVKK, veri sorumlusu kuruluşlara ihlal durumlarında 2023 yılı itibariyle güncel haliyle: VERBİS’ e kayıt ve bildirim yükümlülüğüne aykırılık halinde en alt sınır 119,428 TL, en üst sınır ise 5.971,989 TL dir.

 Aydınlatma yükümlülüğüne aykırılık halinde en alt sınır 29,852 TL, en üst sınır ise 597.191 TL dir.

Veri güvenliğine ilişkin yükümlülüğe aykırılık halinde en alt sınır 89,571 TL, en üst sınır ise 5.971,989 TL dir.

Kurul kararlarını yerine getirmeme durumunda ise en alt sınır 149.285 TL, en üst sınır ise 5.971,989 TL dir.

Kanunun 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

Aydınlatma Yükümlülüğü, kişisel verileri işleyen veri sorumlusu ya da yetkilendirdiği kişiler tarafından, kişisel verilerin elde edileceği esnada ilgili kişilerin bu konu hakkında bilgilendirilmesine ilişkin bir yükümlülüktür. Veri sorumluları için aydınlatma yükümlülük iken ilgili kişiler için talep edilen bir haktır. Kişisel verisi işlenmeden önce kişi bu işleme ilişkin bilgilendirme talep edebilir.

Aydınlatma yükümlülüğü yerine getirilirken asgari şu hususlarda bilgilendirme yapılması gerekmektedir:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla paylaşılacağı,
  • Kişisel veri toplamanın  hukuki amaç ve yöntemi,
  • Kanunda sayılan ilgili kişilerin haklarının neler olduğu,

Aydınlatma yükümlülüğü herhangi bir şekil şartına bağlı olmadan yerine getirilebilir. Önemli olan açık, anlaşılır ve sade bir şekilde yerine getirilmesidir. Aydınlatma yükümlülüğünün hukuka uygun yerine getirildiğinin ispatı veri sorumlusundadır. Açık rıza alınacak hallerde, açık rızanın alınması ile aydınlatma yükümlülüğünün ayrı ayrı yerine getirilmesi gerekir.

Veri sorumluları öncelikle işledikleri kişisel verilerinin ne kadar önemli olduğunu ve kötü kişilerin eline geçmesi halinde ilgililerine ne boyutta zarar vereceğinin farkında olmaları gerekmektedir. Bu farkındalık ile veri sorumlularının kişisel verilerin korunmasına ilişkin gerekli teknik ve idari yükümlülükleri daha dikkat ve özenle yerine getirmelerini sağlayacaktır. Her veri sorumlusunun kişisel veri güvenliğine ilişkin bir politikası ve prosedürü bulunmalıdır. Kullanım süresi biten ya da işlenme amacı sona eren kişisel veriler hemen ilk periyotta imha edilmelidir ki bunları korumak adına ekstra bir yükümlülük altına girilmemiş olunacaktır. İmha işleminin güvenli yapılması riski azaltır. Siber saldırılara, fidye yazılımlara karşı güvenlik duvarı gibi ağ güvenlik cihazları kullanmak faydalı olacaktır. Ayrıca tehdit içerikli internet sitelerine erişimin engellenmesi de risk ortamını daraltacaktır. Düzenli lisanslı antivirüs programları kullanmak ve bunlarla sık aralıklarla virüs taraması yapmak ve bu programları güncel halleriyle tutmak önem arz edecektir. Sisteme sadece yetkili kişilerin girmesine izin verilmesi, güçlü parola sisteminin kullanılması ve çift doğrulama sisteminin kullanılması faydalı olacaktır. Sızma testi yaptırmak riski azaltacaktır. Ayrıca Kurul’un web sitesinde yayınladığı Kamuoyu Duyurusu’nda şu tavsiyelere yer verilmiştir: Çift kademeli doğrulama sistemi kullanılması, başka bir cihaz ile bağlanılması durumunda bunun bilgisinin verilmesi, uygulamaların en üst seviyede güvenlik ayarları ile korunması, başarısız girişlerin olması halinde sistemde bunların görüntülenebilmesi, güçlü parolanın oluşturulması ve sık aralıklarla parolanın değiştirilmesi, üçüncü parti yazılım/servis kullanılması halinde bunların denetlenerek güncel tutulması konusunda tavsiyelerde bulunmuştur. 

Veri ihlali gerçekleşmesi durumunda veri sorumlusu bunu en kısa sürede Kurul’a bildirmek zorundadır. Ayrıca bu sürenin 72 saati geçmesi durumunda en kısa sürede bildirimde bulunulmadığı için veri sorumlusu yaptırımla karşı karşıya kalır.

Bunun hesaplanmasında da bir yıl dolmuş olması gerekmektedir. 1 yılda veri sorumlusunca yetkili kamu kurumuna yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyannamesi ekinde yer alan mali tablolardaki mali bilanço VERBİS kayıt ve ibrazı içinde geçerli olacaktır. Kurul’un belirttiği üzere bu hesaplamada ciro ya da net satış/brüt satış hâsılatının dikkate alınmayacaktır.

Öncelikle bir yılın tamamlanmış olması gerekir. Bir yılın içerisinde dikkate alınacak çalışan sayısı 12 aydan en az 7 ayının her birisinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan MUHTASAR ve PRİM HİZMET BEYANNAMESİ’nde bildirilen çalışan sayısıdır. Bu 7 ayın ardı ardına olması gerekmemekte fakat aynı yıla dahil olmalıdır. Örnekle açıklamak gerekirse 2022 yılı içerisinde SGK ya verilmiş olan Muhtasar ve Prim Hizmet Beyannamelerin en az 7 ayında bildirmiş olduğu çalışan sayısı 50 ve üstü ise bu veri sorumlusu VERBİS’e kayıt ve bildirim yapmak zorundadır.

Kanun’un ilgili hükmünü incelediğimizde;

  • Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilançosu  25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları,
  • Yurtdışında yerleşik gerçek ve tüzel kişi tüm veri sorumluları.
  • Yıllık çalışan sayısı 50’den az ve/veya yıllık mali bilanço toplamı 25 milyon TL’den az olup ancak ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi veri sorumluları,
  • Kamu kurum ve kuruluşu veri sorumluları,

VERBİS’ e kayıt ve bildirim yapmak zorundadır.

Açılımı Veri Sorumluları Sicil Bilgi Sistemidir. Veri sorumlularının Sicili Başkanlık tarafından oluşturulan ve yönetilen, internet üzerinden erişilebilen bir kayıt sistemidir.  Bu sistem kamuya açıktır. İnternet sitesine buradan ulaşabilirsiniz. (https://verbis.kvkk.gov.tr/Query/Search)

Özel nitelikli kişisel verilerin işlenmesi faaliyeti ilgili kişinin açık rızası alınarak yerine getirilecektir. Ancak Kanunda iki istisnai durum sayılmıştır. Buna göre;

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Bu durumların dışında ilgili kişinin açık rızası alınmadan özel nitelikli kişisel verisi işlenir ise hukuka aykırılık söz konusu olacaktır.

 Kişinin kendisine ait verilerin işlenmesine izin vermesidir. Kişi kişisel verilerin işlenmesini kendisi isteyebileceği gibi veri sorumlusunun talep etmesi durumunda da veri işleme faaliyeti ortaya çıkabilir. Açık rıza yazılı olmak zorunda değildir. Söz ile de açık rıza alınabilir. Şunu unutmamak gerekir ki hukuka uygun açık rıza alındığının ispat yükümlülüğü veri sorumlusundadır. Veri sorumlusu bu hususu dikkate alarak açık rızayı alması yararına olacaktır. Açık rızanın içermesi gereken 3 unsur vardır. Bunlar:

Belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve  özgür iradeyle açıklanmalıdır. Bu 3 unsurun bir arada bulunması halinde hukuka uygun açık rıza söz konusu olacaktır. Birisinin eksikliği halinde açık rıza hukuka uygun olarak alınmış olmayacaktır

 Kişisel veri işleme şartları: açık rıza, sözleşmenin ifası, yasal yükümlülük, meşru menfaat, fiili imkansızlık, kamusal görev ve ilgilisi tarafından alenileştirilmesi. Veri sorumlusu kuruluşlar bu işleme şartlarından en az birisine dayanmak zorundadırlar.

Kişisel veriler işlenir iken ise şu ilkeler gözetilmesi gerekir:

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaca bağlı ve sınırlı olma,
  • İşlendikleri amaç bitinceye ya da kanunlarda öngörülen süreye kadar muhafaza edilme.

İlkelerine uygun kişisel veriler işlenmelidir.

 KVKK, ülkemizde yürürlükte olan kişisel verilerin korunmasını amaç edinen bir mevzuat olup, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan (manuel) yollarla işleyen gerçek ve tüzel kişileri kapsamaktadır. Bu Kanun, dijital olmayan ve bir veri kayıt sistemine dahil olmayan kişisel veriler bakımından uygulanmayacaktır. Herhangi bir sisteme bağlı olmadan ilgilerinin kişisel bilgilerini öylesine kağıda yazılması durumunda KVKK kapsamında olmayacak; ancak sistematik olarak bu veriler bir deftere kaydedilmesi halinde, bu veri kaydı KVKK kapsamına girecektir. Özetlemek gerekirse; otomatik olmayan yollarla işlenen kişisel veriler, bir veri kayıt sisteminin parçası da değilse Kanun kapsamında değerlendirilmeyecek fakat bu durum kaydedilen verilerin kişisel veri olmadığı anlamına gelmeyecektir ve bu verilere karşı işlenen hukuka aykırılık durumlarında 5237 Sayılı Türk Ceza Kanunu hükümleri uygulanarak suç teşkil edecektir.

 Koruma altına alınan kişisel veriler gerçek kişiye ait olan kişisel verilerdir.Kanun tüzel kişilere ait olan kişisel verileri koruma altına almamıştır. Ancak tüzel kişiye ait bir veri var ve bu veriden gerçek kişiye ait kişisel veriler çıkartılıp belirlenebiliyor ise KVKK kapsamında değerlendirilebilecektir.

 Kamu kurumları için de KVKK hükümleri geçerlidir. Yer bakımından Kanunda hüküm bulunmamakla beraber Türkiye’de faaliyet gösteren ya da temsilciliği bulunan gerçek kişi ve tüzel kişiler bu Kanun kapsamındadır. Kurul tarafından mülkilik ilkesi geniş yorumlanmaktadır. Bu kapsamda ülkemizde faaliyet gösteren işletmeler ya da kuruluşlar KVKK kapsamında gerekli tedbirleri almalıdır.

Kişisel Verilerin Korunması Kanunu kişisel veriyi; kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamış ve kişisel verileri genel nitelikli ve özel nitelikli kişisel veriler olmak üzere ikiye ayırmıştır.

 Özel nitelikli kişisel verileri Kanun açıkça sayma yolu ile belirlemiştir. Buna göre; kişilerin kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Bunların dışında başka veriler özel nitelikli kişisel veri grubuna dahil edilemez; çünkü kanun koyucu bunları net bir şekilde sıralayarak belirlemiştir.

 Özel nitelikli verilerin hassas olması ve kişilerin bu bilgilerinin öğrenilmesi halinde ayrımcılığa uğrama riskinin yüksek olmasından dolayı özel olarak düzenlenmesine karar verilmiştir.

Kişisel veri işleme faaliyeti gerçekleştirildiği sırada öncelikle özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenlemektir. KVKK ile kişisel verilerin işlenmesinde, depolanmasında, muhafaza edilmesinde ve imha edilmesinde uyulması gereken kurallar detaylı bir şekilde ele alınmıştır. Kanun veri sorumlularına kişisel veri işleyemezsiniz demek istemiyor; kişisel verileri ancak hukuka uygun olarak işleyebilirsiniz demek istiyor. Kişisel verilerin gelişigüzel toplanması, yetkili olmayan kişilerce ele geçirilmesi, açıklanması, amacı dışında ve/veya kötüye kullanılması sonucu kişisel hakların ihlal edilmesinin engellenmesi amaç edinilmiştir.

Uyum programı, (Compliance Program) bir kuruluşun güncel mevzuata ilişkin düzenlemelere uyumlu hale getirilmesidir. KVKK Danışmanlık süreçlerini hem hukuki hem de teknik tedbirler kapsamında bütüncül bir yaklaşımla ele alıyoruz. Tüm uyumluluk süreçlerini, danışman veri sorumlusunun çalışma sahasında ve sürekli iletişim halinde yürütüyoruz.

Hakkımızda

Averd Teknoloji olarak, tüm enerjimizi bilgi teknolojileri alanındaki değişimlere odakladık. Siber güvenlik ve kişisel veri güvenliği konularında risk almak istemeyen, modern bakış açısıyla iş akışlarını profesyonel olarak tasarlamak isteyen müşterilerimize güvenilir ve kaliteli danışmanlık hizmetleri sunuyoruz.