Erkan Kipik
Serbest Muhasebeci Mali Müşavir
malimusavirerkankipik@gmail.com
Kişisel Verilerin Korunması Kanunu Hakkında Genel Hatlarıyla Farkındalık (6698 Sy. Kanun)
Kişisel Verileri Koruma Kanunu (KVKK), Türkiye'de kişisel verilerin işlenmesini düzenleyen temel yasalardan biridir. Kişisel Verilen Korunması Kanunu hakkında öncelikle basit ve özet anlatım a istinaden üzerinden geçelim:
ÖZET BİLGİ
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 Tarihli 29677 sayılı Resmi Gazete de yayımlanarak yürürlüğe girmiştir.
- Kişisel Verileri Koruma Kanunu ve şirketlerin uyum süreci ihtiyacı özel hayatın gizliliği başta olmak üzere kişilerin temel hak ve özgürlüklerini korumayı amaçlamaktadır.
- Yıllık çalışan sayısı ve Mali Bilanço toplamı kriterleri belirlenmesinde ;
- Öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisindeki 12 aydan en az 7’sinin her birinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan Muhtasar ve Prim Hizmet Beyannamesinde bildirilen çalışan sayısının dikkate alınması gerekmektedir. Ayrıca söz konusu 7 ayın aynı yıl içerisinde olmak kaydıyla ardışık olması zorunlu değildir.
- Öncelikle tamamlanmış bir yıl olması ve bilanço usulüne göre defter tutanların yetkili kamu kurumuna verdiği yıllık gelir veya kurumlar vergisi beyanname ekindeki bilançoda yer alan “aktif” ya da “pasif” bölümündeki toplam rakam dikkate alınacaktır. Ciro ya da net satış / brüt satış hasılatı bilgisi dikkate alınmayacaktır
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Sicil Bilgi Sistemine kayıt yükümlülüğü 01.10.2018 tarihinde başlamış olup 31.12.2021 ye erteleme ile devam etti. Şartları sağlayanların en kısa sürede KVKK ye uyumu için gerekli başvuruları biran evvel yapmalı,
- Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için ise Veri Sorumluları Sicil Bilgi Sistemine kayıt yükümlülüğü başlangıç tarihi 01.01.2019 olarak uygulanacak ve sicile kayıt yaptırmaları için bu veri sorumlularına 31.12.2021 tarihine erteleme ile devam etti.
- 6698 sayılı Kişisel Verilerin Korunması Kanunu şirketlere önemli mükellefiyetler yüklemektedir. Söz konusu Kanun ile getirilen düzenlemelere uyum sağlamak başlı başına hukuki ve teknik bazı çalışmaların yapılmasını gerektirmektedir.
- Web sayfaları
- İnternette paylaşılan bilgiler
- Tüm sözleşmelerin yeniden dizayn edilmesi
- İş Sözleşmeleri
- Verilerin saklanması
- Kişisel Veri Nedir?
Bir kişinin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel eğilimi, aile hayatı, yaptığı haberleşmeler, adresi, kredi kartı bilgisi, düşünce ve inançları, dernek, vakıf yada sendika üyelikleri, alışveriş alışkanlıkları , telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya yarayan her türlü bilgidir.
Kişisel veri dediğimiz çok ciddi derecede geniş kapsamlı bir tanımdır. Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi kapsar.
- Veri Sorumlusu Nedir; Kimdir ?
Kanunda “Veri Sorumlusu” kavramı, Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır.
Bir işletmenin veri sorumlusu olup olmadığının tespiti için, işletmenin faaliyeti kapsamında hangi kişisel verinin neden ve hangi yöntemlerle işleneceğine karar verip vermediği, kişisel verilerin işlendiği bir veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olup olmadığı ve ayrı bir tüzel kişiliği olup olmadığına bakmak gerekmektedir.
- Veri Kayıt Sistemi Nedir?
Elektronik veya fiziki ortamlarda oluşturulan ve kişisel verilerin içinde depolanarak belirli kriterlere göre işlendiği sistemdir.
- Kişisel veriler, kanunda belirtilen istisnalar dışında ilgili kişinin “açık rızası” alınarak işlenebilir.
Açık Rıza dediğimiz belirli bir konuya ilişkin bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelmektedir. Örneğin; Satış sırasında “ bilgilendirme almak istiyorum” ibaresi… Kişisel verilerin açık rıza alınmaksızın işlenmesi halinde , Türk Ceza Kanunu gereği kişisel verilerin kaydedilmesi suçu , KVKK gereği ilgili kişinin uğradığı zararın tazmini gibi sonuçlar söz konusu olacaktır. Şirketin uğrayacağı prestij kaybı ise bu eylemin sonuçlarından bir başkası olacaktır. 03.10.2019 tarihinde bir haberde FACEBOOK KVKK ye muhalefetten 1.600.000- TL ceza yemiştir.
DİĞER BİLGİLER
- Kişisel veri ihlali olduğunu düşünen kişi önce ilgili taraftan bilgi talep edecek. Talebe istinaden eksiksiz, en kısa sürede ve en geç 30 gün içinde cevap verilmesi gereklidir. Veri sorumlusunun bilgi talebinin reddi veya verdiği cevabın yetersiz olması halinde 30 gün içinde, başvuruya hiç cevap verilmemesi hallerinde ise başvuru tarihinden itibaren 60 gün içinde ilgili kişilerce Kişisel Verileri Koruma Kurulu na şikayet yapılabilecektir.
Yani
-
-
- İlgili kişiden bilgi talebi 30 gün içinde başvuru,
- Bilgi talebinin reddi veya yetersiz bilgi gelmesi durumunda 30 gün içinde,
- Hiç bilgi gelmezse 60 gün içinde Kurula şikayet edilecektir.
- İnternet sitesi, B2B, Sosyal medyada kişisel veri ye giren tüm belgelerde başvuru formlarında tüm yerlerde kişisel verisi işlenen ilgili kişilerin bilgilendirilmesi suretiyle Aydınlatma Metni, Açık Rıza, Çerez Politikası gibi uygulamalar olacak ve beyanları imzaları alınacak.
- Kişisel verilerin yok edilmesi 3 şekilde olmaktadır. Silme, Yok Etme, Anonim Hale Getirme
*Silme: Kişisel verilerin silinmesidir.
**Yok Etme: Kişisel verilerin geri getirilemeyecek düzeyde silinmesi yok edilmesidir.
***Anonim Hale Getirme: İsim soyisim de; E******* K******** gibi
Telefonda; 0 5** *** ** ** gibi
- Yok edilmesi gereken kişisel verilerin yok edilmemesi halinde, bu verileri sistem içinde yok etmekle yükümlü olanlara yönelik olarak TCK m. 138 uyarınca 1-2 yıl hapis cezası söz konusu olabilecektir.
İlgili kişi, kendisiyle ilgili;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurtiçinde veya Yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Silinmesini veya yok edilmesini isteme,
- Düzeltilme, silinme, veya yok edilme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanuna aykırı işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme,
Gibi birçok hakka sahiptir. Böylece şirketlerin KVKK üzerine hassas ve detaylı çalışması zaruridir. Aksi halde şikayet yolu ve sebebi çok geniş işbu konu şirketlerin yüksek meblağda ceza almalarına yol açar.
Kanunda öngörülmüş olan idari para cezaları ve Türk Ceza Kanunu nda düzenlenen bazı hapis ve para cezaları söz konusudur:
Hapis Cezaları
- Kişisel verilerin hukuka aykırı olarak kaydedilmesi durumunda 1-3 yıl;
- Kişisel verilerin hukuka aykırı olarak verilmesi, yayılması, ele geçirilmesi durumunda 1-4 yıl;
- Yok edilmesi gereken verilerin yok edilmemesi halinde 1-2 yıl;
İdari Para Cezaları
- İlgili kişiyi aydınlatma yükümlülüğünün yerine getirilmemesi durumunda 5.000 – 100.000 TL arasında;
- Sicile kayıt ve bildirim yapılmaması durumunda 20.000 – 1.000.000.- TL;
- Veri güvenliği yükümlülüklerine aykırılık durumunda 15.000 – 1.000.000.- TL;
- Kişisel verileri Koruma Kurulu Kararlarına aykırılık halinde 25.000 – 1.000.000.- TL dir.
2023 yılında KVKK kuruluna gelen karar konu özetleri de şöyledir;
Kurul Karar Özetleri
Sonuç itibariyle; firmanızın çalışan sayısı ve mali bilanço toplamı kriterleri aşıyorsa firmanıza yasal uygunluk için hazırlıkları yapıp gerekli işlemleri başlatmanızda fayda var. Yıllar itibariyle güncelliği sağlanmaya çalışılsa da gerekliliği sağlamayan firmalara ciddi yaptırımlar uygulanmaktadır.
Özetle;
Şirketler Kanuna Uyum için Neler Yapmalı?
a. Uyum için kişi / birim / ekip görevlendirilmesi,
b. Veri Analizi yapılması,
c. Kişisel Veri işleme envanteri departmansal olarak hazırlanması,
d. Envantere dayanarak diğer dökümanların hazırlanması,
e. Şirket çapında geçerli olacak Kişisel Verilerin Korunmasına ilişkin politikanın hazırlanması
f. Teknik Tedbir ve Altyapının sağlanması (Şifreleme, Ağ güvenliği, Bilgi İşlem)
g. VERBİS’ e kayıt olunması,
h. Çalışanlar için farkındalık oluşturma ve eğitim planlanması, Süreçlerin adaptasyonu
i. Matbu ve fiili dökümanların hazırlanması ve imzalatılması
* Açık Rıza metni (çalışan ve adaylar için ayrı ayrı)
*Aydınlatma Metni (çalışan/aday/müşteriler)
* Çerez politikası (internet sitesi, B2B vs için)
* Çalışanlarla gizlilik sözleşmesi
j. Otomasyon ve raporlama (Süreç ve IT alanı )
Kaynakça:
https://www.kvkk.gov.tr/
https://verbis.kvkk.gov.tr/UploadedFiles/SORULARLA_VERBİS.pdf
25.07.2023
Kaynak: www.MuhasebeTR.com
(Bu makale kaynak göstermeden yayınlanamaz. Kaynak gösterilse dahi, makale aktif link verilerek yayınlanabilir. Kaynak göstermeden ve aktif link vermeden yayınlayanlar hakkında yasal işlem yapılacaktır.)
>> YIL SONU KAMPANYASI: Muhasebecilere Özel Web Sitesi 1.249 TL yerine 999 TL + KDV
Ayrıntılar için tıklayın.
>> Duyurulardan haberdar olmak için E-Posta Listemize kayıt olun.
>> SGK Teşvikleri (150 Sayfa) Ücretsiz E-Kitap: hemen indir.
>> MuhasebeTR mobil uygulamasını Apple Store 'dan hemen indir.
>> MuhasebeTR mobil uygulamasını Google Play 'den hemen indir.