KİŞİSEL VERİLER KANUNU’NUN SİZE YÜKLEDİĞİ SORUMLULUKLARDAN HABERDAR MISINIZ?

KİŞİSEL VERİLER KANUNU’NUN SİZE YÜKLEDİĞİ SORUMLULUKLARDAN HABERDAR MISINIZ?

kvkk
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girdi. KVKK kapsamında 'Veri Sorumlusu' tanımı yapılarak Veri Sorumlusuna ilişkin çeşitli yükümlülükler getirilmiştir. Öncelikle belirtmek gerekir ki; ilgili mevzuat kapsamında 'Veri sorumlusu' kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Şirketler tüzel kişi olarak, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında doğrudan kendileri "veri sorumlusu" olacaklardır.

YASA KAPSAMINDA KURULUŞLAR NELER YAPMALIDIR?


Kişisel verileri işleyen Veri Sorumluları, veri işlemeye başlamadan önce 'Veri Sorumluları Siciline' kaydolmak zorundadır. Bununla birlikte Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca veri sorumluları siciline kayıt olmak zorunda olan Veri Sorumlularına kişisel veri işleme envanteri hazırlama yükümlülüğü getirilmiştir. Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesinin birinci fıkrasının 'ç' bendi uyarınca "Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır" denilmektedir.

KİŞİSEL VERİ ENVANTERİ NEDİR?

Kişisel veri işleme envanteri belirtilen Yönetmeliğin 4 üncü maddesinin birinci fıkrasının 'h' bendinde ''Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter'' olarak ifade edilmektedir. Buna göre belirtilen envanter;
Veri kategorisini
Aktarılan alıcı grubu
Veri konusu kişi grubu
Saklama süresini
Verilerin yabancı ülkelere aktarılıp aktarılmadığını
Veri güvenliğine ilişkin alınan teknik ve idari tedbirleri asgari olarak içermelidir.

VERBİS (VERİ BİLGİ SİSTEMİ) KAYIT ZORUNLULUĞU

Envanterde belirtilen asgari unsurlar ayrıca Veri Sorumluları Sicili Kayıt Sistemi'nde (VERBİS) kaydedilmektedir. Ancak Veri Sorumluları Sicili ile Veri İşleme Envanteri arasında çeşitli farklar bulunmaktadır. Bunlar;

- Veri Sorumluları Sicili'nde belirtilen sınırlı alanlara başlıklar halinde bilgi girişi yapılarken, Kişisel Veri Envanterinde tüm bu verilerin daha detaylı olarak yer alması gerekir.

- Veri Sorumluları Sicili kamuya açık olarak tutulmaktadır. VERBİS'e girilen bilgiler dileyen herkes tarafından görüntülenebilir. Kişisel Veri Envanteri ise Veri Sorumlusunun kendi bünyesinde kalacak ve sadece Kişisel Verilerin Korunması Kurulu tarafından talep edildiğinde ibraz edilecektir.

- VERBİS sistemi içerisinde ilgili alanlarda giriş yapması zorunlu tutulmuşken Envanterin şekli açısından herhangi bir şart veya koşul öngörülmemiştir.

Sonuç olarak Kişisel Veri İşleme Envanteri hazırlarken fiziksel ve elektronik ortamda işlenen tüm kişisel verilerin analizi yapılmalı, kişisel verilerin işlenme aşamaları tek tek tespit edilmeli ve kişisel verilerin akış şemaları oluşturmalı ve ayrıntılı bir rapor haline getirilmelidir

BU YÜKÜMLÜLÜKLERİ YERİNE GETİRMEMENİN CEZASI NEDİR?

KVKK ile getirilen yüksek idari para cezaları (39.000 TL’den 1.800.000 TL'ye kadar) ile Yöneticilerin Türk Ceza Kanunu 136 ve devamı maddeleri kapsamında yargılanmasına yol açabilecek kişisel verilere ilişkin suçlar düşünüldüğünde; kişisel veri işleme envanteri hazırlanması, VERBİS sistemine yasanın istediği şekilde veri girişi son derece önem arz etmektedir.

KANUNDA İSTENEN YÜKÜMLÜLÜKLERİN KAPSAMINDAKİ KURUMLAR VE SÜRELERİ

kvkkKişisel veri kavramı hukuk sistemimize yeni giren bir kavram olduğundan. Bu alanda gerek bilgi gerek uygulama tecrübesi açısından yeterince nitelikli uzman bulmakta güçlükler yaşanabilmektedir. Bu nedenle yasanın öngördüğü yükümlülükleri yerine getirirken uzman bir kadrodan danışmanlık hizmeti almak sonradan ortaya çıkabilecek sorunları önemli ölçüde önleyecektir. Bu hukuk alanı genel hukuk bilgisinden öte bir alan bilgisi gerektirdiğinden salt hukukçu ve avukat yardımı yeterli olmayabilir. Özellikle Kişisel Veri işleme, Anonimleştirme, Saklama, Yok etme, Üçüncü taraflarla paylaşma konularında uluslararası ve ulusal mevzuat konusunda bilgi ve tecrübeli kadrolarla çalışmak kurumunuza önemli avantajlar sağlayacaktır. Bu süreçte büromuz, Bu alanda tecrübe ve birikim sahibi kadrosu ile veri koruma yükümlülüğü kapsamındaki şirketlerin, mevzuatın öngördüğü veri güvenlik politikalarını oluşturma (envanter) ve bu politikanın temel unsurlarının KVKK veri tabanına girilmesi (VERBİS), veri sahibinin verilerinin kaydedilme, işlenme ve üçüncü kişi ve kurumlar ile paylaşılma, silinme süreçlerinde ve bu süreçlerde KVKK’nın talep ettiği diğer hususların yerine getirilmesinde ihtiyaç duyulan danışmanlık hizmetini en üst düzeyde sağlamaktadır.