Kişisel Veri Envanteri isimli yazımızda sizlere, hayatımıza girmiş olan Kişisel Verilerin Korunması Kanunu hakkında bilgiler vereceğiz. [highlight color="red"]Yazımızın sonunda ise, kişisel veri envanteri hazırlayabileceğiniz bir Excel dosyasının linkini paylaştık.[/highlight]Yazımızı okuduktan sonra bu kanun kapsamında dikkat edilmesi gerekli olanlara dair fikrinizin oluşmasını temenni ederiz.
KİŞİSEL VERİLERİN KORUNMASI KANUNU
Kanun Numarası: 6698 Kabul Tarihi: 24/3/2016 Yayımlandığı R.Gazete: Tarih: 7/4/2016 - Sayı : 29677 Yayımlandığı Düstur: Tertip : 5 - Cilt : 57 Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.Kişisel Veri Envanteri
Kişisel Verilerin Korunması Hakkında Bilinmesi Gerekenler
Kişisel veri kavram olarak, kimliği belirli olan gerçek kişiye ait her türlü bilgi anlamına gelmektedir. Bu bilgiler kötü niyetli üçüncü kişiler tarafından öğrenildiği zaman çeşitli ifşalar, mağduriyetler ortaya çıkabilmektedir. Bu anlamda kişisel verilerin korunmasındaki amaç verinin korunması değil, kişinin kendisinin ve kişiliğinin korunması olarak ortaya çıkmaktadır. Bu sebeple kişisel verileri koruyabilmek amacıyla 2016 yılında 6698 sayılı Kanunla çeşitli sorumluluklar hayatımıza girmiştir.Hangi bilgiler kişisel veri kapsamına girmektedir ve bu veriler nasıl işlenir ?
Hangi verilerin özel nitelikli kişisel veri olup olmadığı kanunda tek tek açıklanmıştır. Bunlar; kişinin ırkı, etnik kökeni, dini ve mezhebi inancı, siyasi ve felsefi düşüncesi, dernek, vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyetleri ve güvenlik tedbirleri, kılık kıyafeti ve biyometrik ve genetik bilgileridir. Kişisel verinin işlenmesi; kişiden bilginin elde edilmesi, depolanması, değiştirilmesi, aktarılması gibi, bilgi üzerinde işlem yapılması anlamına gelmektedir. Şirketlerin, elektronik İnsan Kaynakları sistemlerinde kişilerin özlük bilgilerini saklaması kişisel verilerin işlenmesine örnek gösterilebilir.Veri Sorumluları Siciline Kayıt Yükümlülüğü
01.10.2018 tarihi itibariyle yıllık çalışan sayısı 50'yi aşan ve yıllık mali bilanço toplamı 25.000.000 TL’yi aşan gerçek ve tüzel kişiler, verileri işlemeye başlamadan önce Veri Sorumluları Siciline kayıt olmakla yükümlüdür. Kayıt yükümlülüğü bulunan ve herhangi bir hukuki, teknik veya fiili imkansızlık yaşayan veri sorumluları, bu imkansızlığın ortaya çıktığı tarihi takip eden 7 gün içinde Kuruma mazeretlerini bildirerek ek süre talep edebilirler.Kanun kapsamında veri sorumlusu ve veri işleyen kimdir?
Veri sorumlusu, 6698 Sayılı Kanunda verilerin işlenme amacını ve yöntemini belirleyen kişi olarak karşımıza çıkmaktadır. Dolayısıyla veri sorumlusu belirlenirken verilerin hangi amaçla işleneceği, hangi verilerin işleneceği, hangi yöntemle işleneceği, ne kadar süreyle muhafaza edileceği, kimlerle paylaşılacağı gibi konulara karar verici mekanizmanın kim olduğu büyük önem arz etmektedir. Veri işleyen ise veri sorumlusu adına kişisel verileri işleyen gerçek ve tüzel kişiliklerdir. Buradaki kritik nokta veri işleyenin, veri sorumlusunun talimatıyla verileri işliyor olmasıdır. Bir gerçek veya tüzel kişi, verinin işlenme şekline göre aynı zamanda hem veri sorumlusu hem veri işleyen olabilir. Veri sorumluları ve veri işleyenler, kişisel verileri kanuna uygun şekilde işlemek, depolamak, paylaşmak için her türlü tedbiri almakla yükümlüdür. Bir diğer yandan sistemin doğru işlediğinden emin olabilmek için çeşitli denetim mekanizmaları da kurmalıdır.Kişisel Veri Envanteri Kişisel verilerin işlenmesinde açık rıza ve aydınlatma yükümlülüğünün önemi
Açık rıza kavram olarak, kişinin özgür iradesiyle açıkça beyan etmiş ve göstermiş olduğu rıza anlamına gelmektedir. Kişisel verileri koruma kanunu açısından açık rıza, kişinin kendi iradesiyle verilerinin işlenmesini kabul ettiği anlamına gelmektedir. Açık rıza; sözlü, yazılı, elektronik ortam gibi çeşitli şekillerde beyan edilebilir. Burada dikkat edilmesi gereken husus; ispat yükümlülüğü veri sorumlusuna ait olduğu için açık rıza beyanının kişiden el yazılı ve ıslak imzalı alınması konusudur. Açık rıza beyanı ile kişi, hangi verilerinin işleneceğine, nasıl işleneceğine sınırlar getirebilir. Diğer yandan veri sorumlusu da gerçek kişileri aydınlatmakla yükümlüdür. Aydınlatma yükümlülüğü, kişileri hangi verilerinin, ne amaçla toplanacağı, hangi yöntemlerle muhafaza edileceği gibi konularla ilgili olarak bilgilendirmektir.Ortaya çıkan uygunsuzluklar ve bunların yaptırımları nelerdir?
KVKK uyarınca şirketlerin ihlalleri sonucunda karşılaşabileceği idari para cezaları aşağıdaki gibidir:- Aydınlatma yükümlülüğü ihlali için 5.000 – 100.000 TL
- Veri güvenliği yükümlülüğü ihlali için 15.000 – 1.000.000 TL
- Kişisel Verileri Koruma Kurulu kararlarına muhalefet durumunda 25.000 – 1.000.000 TL
- Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı durumlarda ise 20.000 – 1.000.000 TL arasında idari para cezası
