KVKK Nedir? ( Cezalar – Tedbirler – Sorumluluklar )

KVKK Nedir? ( Cezalar – Tedbirler – Sorumluluklar )

kvkk nedir

KVKK, kişisel verilerin korunma kanunu anlamına gelmektedir. KVKK kanunu 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaştı. 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir. Teknoloji ve dijitalleşmenin yaygınlaşmasıyla birlikte “kişisel verileri koruma” kavramı ve konusu kişiler, kurumlar ve şirketler için önemli ve değerli bir hal almaya başladı. “Verilerin korunması” kişilerin hak ve özgürlüklerin korunması açısından önemli olduğu kadar kurumlar ve şirketlerin güvenliği ve diğer yasal haklarının korunması açısından da önemli hale geldi. Kişisel Verileri Koruma Kanunu’nun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kişisel veriler mutlak haklardan oldukları için, kişisel verilerin işlenmesi durumunda bir takım kurallara uyulması gerekmektedir. Bunlar;

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

KVKK hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Kişisel verilerin korunması, Anayasa’nın 20. maddesinden ileri gelmektedir. Bu maddede, Özel Hayatın Gizliliği düzenlenmiş ve maddeye göre, Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz, denmektedir. KVKK bir nevi özel kanun olarak, Anayasa’nın 20. maddesine getirilen detaylı bir kanun olmuştur. Kanun kapsamında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ederken; Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hAle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

kvkk mevzuat
kvkk mevzuat

KVKK Nedir?

Kişisel veri, kanunda “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır.  Telefon numarası, doğum tarihi, kimlik numarası, iş adresi, unvanı, sağlık bilgileri gibi kişiyi direkt olarak ya da dolaylı yoldan belirlenebilir kılan her tür bilgi, kişisel veri kapsamında sayılmaktadır. Kişisel verilerin korunması, veri işleme faaliyetlerinin önceden belirlenen kurallar gözetilerek yapılması ve kişinin temel hak ve özgürlüklerinin zarar görmemesi için bir disiplin sağlanmasıdır. Bu noktada vurgulanması gereken şudur: Veriyi korumak, verinin kullanılmasının yasaklanması değil; verinin kim tarafından hangi amaca yönelik olarak ve nasıl kullanacağının kararını, verinin sahibinin vermesini sağlamak ve veri sahibinin bu konuda bilgi talep etme hakkını daimi kılmaktır.

KVKK, kişisel verilerin korunma kanunu anlamına gelmektedir. KVKK kanunu 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaştı. 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Teknoloji ve dijitalleşmenin yaygınlaşmasıyla birlikte “kişisel verileri koruma” kavramı ve konusu kişiler, kurumlar ve şirketler için önemli ve değerli bir hal almaya başladı.

Kişisel Verilerin İşlenme Şartları

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Fakat; kanunlarda açıkça öngörülmesi, Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, İlgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kişisel verilerin Korunması Kanunu ile ve diğer çeşitli kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Bu kapsamda Unutulma Hakkı İlkesi önem arz etmektedir.

Her şirket, kendi bünyesinde müşterilerinin kayıtlarını tutmaktadır. Kayıt sistemi olmayan şirket ya da kuruluşlar ise, alışveriş ve çeşitli yöntemlerle kişilerin bilgisini, bilgi havuzunda tutmaktadır. Bir kişinin bir yerden alışveriş yapması dahi, birtakım bilgilerin; şirket, kurum ya da kuruluş yani tüzel kişiler nezdinde veya veri işlemeye ehil gerçek kişiler tarafından tutulması anlamına gelmektedir. İnsanlara dair bu bilgiler kişilerin korunmakla zorunlu olan mutlak haklarındandır yani kişilik haklarındandır. Bu nedenle, AİHS ile ve Anayasa ile de korunan kişilik hakları, gelişen ve ilerleyen bu çağda dijital sistem üzerinden de korunmaya muhtaç kalmıştır.

kvkk uygulanmasi
kvkk uygulanmasi

Veri Sorumlusunun Aydınlatma Yükümlülüğü

Veri sorumlusunun aydınlatma yükümlülüğü, hem Kişisel Verileri Koruma Kanunu’nda hem de bununla ilişkin çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesi konusunda Uyulacak Usul ve Esaslar Hakkında Tebliğ’ de veri sorumlularının aydınlatma yükümlü olduğu belirtilmiştir. Bunlarla birlikte Tüketicilerin verileri işlenmeden önce aydınlatma yükümlüğü maddesi uyarında bilgi verilmeli, işlenmesi, paylaşılması ve benzeri durumlar için tüketicilerin açık rıza alınarak aydınlatılması zorunlu hale getirilmiştir. Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • İlgili kişinin hakları hakkında bilgi vermekle yükümlüdür.

İlgili kişinin hakları Kvkk madde 11’de düzenlenmiş olup, maddeye göre, herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir.

Veri Sorumlularının Aydınlatma Yükümlülüğündeki Usul ve Esaslar

Aydınlatma Yükümlülüğünün Yerine Getirilmesi konusunda Uyulacak Usul ve Esaslar Hakkında Tebliğ madde 5’ de belirtilen, Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında bazı usul ve esaslara uyulması gerekmektedir. Bunlar;

  • İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
  • Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
  • Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.
  • Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.
  • Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
  • Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
  • Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
  • Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
  • Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
  • Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
  • Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
  • Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
  • Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.
kvkk sorumluluklari
kvkk sorumluluklari

KVKK Bildirimi

Kanun, uygulamada, herhangi bir veri ihlalinin tespiti durumunda iki türlü bildirim/şikayet almaktadır. Bunlardan ilki, verilerin korunmasından sorumlu şirket ya da kurumun bu ihlali Kişisel Verilerin Koruması Kurumu’na ilgili panel üzerinden bildirmesi. İkinci durum ise, doğrudan verinin asıl sahibi tarafından bildirim yapılması. Verilerinin izinsiz bir şekilde kullanıldığını fark eden kişiler, sikayet.kvkk.gov.tr adresinden ya da E-Devlet üzerinden konuyla ilgili şikayetlerini aktarabilirler.

Dikkat edilmesi gereken iki önemli husus; şikayetin doğrudan verinin sahibi tarafından (vekil ya da vasi kabul edilmiyor) yapılması ve şikayetin Kişisel Verileri Koruma Kurumu öncesinde, şikayet edilecek olan şirket ya da kuruma yapılması gerekmesi. Kurum, buradan bir yanıt alınmadığında ya da şikayete ilişkin talebin karşılanmadığı karar verirse, ilgili başvuruyu kabul etmektedir. Bunu kontrol etmek için de ilgili şirket ya da kurumla yapılmış olan yazışmaların örneklerini yahut ilgili konu ile alakalı delil talep etmektedir.

Veri Sorumlusuna Başvuru

İlgili kişi, taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir.

Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar. Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikayet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır. Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

kvkk cezalari
kvkk cezalari

Suçlar ve Kabahatler

Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140. madde hükümleri uygulanır. Bu hükümler; Kişisel verilerin Kaydedilmesi (md. 135), Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme (md. 136), Verileri Yok Etmeme (md. 138), Tüzel Kişiler Hakkında Güvenlik Tedbiri Uygulanması (md. 140). Kişisel Verileri Koruma Kanunu’nda belirtilen kabahatlerin ceza anlamında karşılığı ise;

  • Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

Belirtilen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

KVKK İdari Para Cezaları Neler?

Kişisel Veri İhlali                                                       Ceza Miktarı (TL)
Aydınlatma Yükümlülüğünün İhlali9.000 – 180.000
Veri Güvenliği Yükümlülüğünün İhlali27.000 – 1.800.000
Sicil Yükümlülüğü İhlali36.000 – 1.800.000
Kurul Kararlarına Muhalefet45.000 – 1.800.000

KVKK Hapis Cezaları Neler?

Kişisel Veri İhlaliCeza Miktarı
Kişisel Verileri Hukuka Aykırı Olarak Kaydetmek.1-3 yıl

 

Kişisel Verileri Hukuka Aykırı Olarak Yayma, Başkasına Verme ve/veya Ele Geçirme.2-4 yıl

 

Kişisel Verileri Hukuka Aykırı Olarak Yayma, Başkasına Verme ve/veya Ele Geçirme.1-2 yıl

 

KVKK’da belirtilen “özel nitelikli veriler” işlendiğinde cezaların yarım kat, işlenen veriler Ceza Muhakemeleri Kanunu (CMK) kapsamında ise 1 kat artırılması ön görülmüştür.

kvkk idari para cezasi
kvkk idari para cezasi

Kişisel Verilerin Saklanma Süreleri

KVKK’ya göre, veri Sorumluları tarafından işlenen kişisel verilerin süresiz saklanması mümkün değildir. Kurumun ya da işletmenin belirlediği veri işlenme amacına uygun bir süre tutulmalı ve daha sonra imha edilmelidir. Bu süreler, işletmelerin faaliyet gösterdiği sektörler ve bağlı bulundukları kanunlara göre değişiklik göstermektedir.

Kanunlara göre kişisel verilerin işlenme süreleri bittikten sonra, ilk periyodik imha döneminde imha edilmelidir. Yılda 2 defa periyodik imha dönemi planlanmalı ve bu bilginin kurumların Kişisel Veri Saklama ve İmha Politikası belgesinde yer verilmelidir. Öte yandan, ilgili kişinin kişisel verilerinin işlenmesini istememesi ya da daha önce verdiği Açık Rıza Beyanını çekmesi durumunda periyodik imha dönemi beklenmeksizin imha edilmelidir. Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen ya da ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Yorum Gönderin

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

X
kadim hukuk ve danışmanlık