Particle element
KVKK DANIŞMANLIĞI

KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) DANIŞMANLIĞI

Diamond Vision olarak her sektörden her tip şirkete 6698 Sayılı Kişisel Verilerin Korunması Kanunu, kurul kararları, ilgili tüzük, yönetmelik, tebliğ ve sair yasal mevzuat uyarınca hem hukuki hem de teknik anlamda danışmanlık hizmeti vermekteyiz.

HEMEN İLETİŞİME GEÇİN

Diamond Vision kurumunuzu KVKK uyumlu hale getirmek için güvenilir partnerinizdir

KVKK uyumluluğu ve veri koruma çözümleri sayesinde, kişisel veriler ile ilgili süreçlerinizi güvenli hâle getirerek daha başarılı bir dijital geleceğe adım atmak elinizde.

Ekibimizle iletişime geçin

KİŞİSEL VERİLERİN KORUNMASI NE DEMEKTİR ?

Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır.

Kişisel verilerin korunması, temelde verilerin değil, bu kişisel verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.

ÜLKEMİZDE KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUKUKİ DÜZENLEMELER NELERDİR?

Kişisel verilerin korunması hakkı ülkemizde 2010 yılında anayasal teminata bağlanmıştır. Bu tarihe kadarki dönemde ise kişisel veriler daha çok genel hukuki düzenlemelerde yer alan hükümler ile korunmaktaydı. Türk Medeni Kanunu ve Türk Ceza Kanununda kişilik hakkı ile kişisel verilerin korunmasına yönelik hükümler ve yaptırımlar bu düzenlemelere örnek gösterilebilir. 2010 yılında ise, Anayasanın 20. maddesine eklenen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir…” hükmü ile kişisel verilerin korunması ilk kez anayasal bir hak statüsüne kavuşmuştur. Aynı zamanda Anayasanın 20. maddesinin 3. fıkrasında bu hakkın korunmasına ilişkin usul ve esasların belirlenmesi çıkarılacak bir kanuna bırakılmıştır. Bu kapsamda 24 Mart 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

ANAYASAL BİR HAK OLARAK KİŞİSEL VERİLERİN KORUNMASINI İSTEME HAKKININ KAPSAMI NEDİR?

2010 yılında 5982 sayılı Kanunla yapılan değişiklik ile Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü eklenerek, kişilerin kişisel verilerinin korunması hakkının kapsamı belirlenmiştir.

KİŞİSEL VERİLERİN KORUNMASI KONUSUNDA KANUNİ BİR DÜZENLEMEYE NEDEN İHTİYAÇ DUYULMUŞTUR?

Gerek kamu kurumları gerek özel kuruluşlar, bir görevin yerine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri uzun süredir işlemektedirler. Bu durum kanunlardan kaynaklanabildiği gibi, bazen kişilerin rızasına veya bir sözleşmeye dayanmakta, bazen de yapılan işlemin niteliğine bağlı olarak ortaya çıkmaktadır. Belirtmek gerekir ki, kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir.

Ayrıca, sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin işlenmesi kaçınılmaz olmakla birlikte, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşa edilmesinin veya amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi gereklidir.

Bunun yanı sıra, Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır. Bu sözleşme 17 Mart 2016 tarihli ve 29656 sayılı Resmi Gazetede yayımlanarak iç hukuka dâhil edilmiştir. 108 Sayılı Sözleşmenin 4. maddesi çerçevesinde, iç hukukta kişisel verilerin korunmasına yönelik yasal düzenleme yapılması gerekli hale gelmiştir. Nitekim, Anayasa Mahkemesinin 9 Nisan 2014 tarih ve E:2013/122, K:2014/74 sayılı Kararında da; “Kişisel verilerin korunması hakkı kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı [..…]” amaçladığı tespit edilerek, “kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler” nedeniyle kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya muhtaç olduğu ifade edilmiştir.

KİŞİSEL VERİLERİN KORUNMASI HAKKININ DAYANAĞI NEDİR? BU HAK, SINIRSIZ BİR HAK MIDIR?

Kişisel verilerin korunması hakkının dayanağı, Anayasanın 20. maddesinin son fıkrasıdır. Temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasanın kişinin hak ve ödevlerine ilişkin bölümünde yer almaktadır. Bununla birlikte, tüm hak ve özgürlüklerde olduğu gibi, kişisel verilerin korunmasına ilişkin hak da Anayasada çizilen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Buna göre, Anayasanın 20. maddesinde tanınan kişisel verilerin korunmasına ilişkin her bir hakkın uygulanması ve diğer haklar lehine sınırlanmasına ilişkin düzenlemeler ancak kanun yoluyla gerçekleştirilebilir. Anayasa Mahkemesi, 9 Nisan 2014 tarihli ve E:2013/122, K:2014/74 sayılı kararında da, Anayasanın 20. maddesinin 3. fıkrasının son cümlesinde, “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” hükmüne yer vererek ve “yasama yetkisinin devredilmezliği” ilkesi gereğince, Anayasanın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilemeyeceğine hükmederek, Anayasada öngörülen kanuni düzenlemenin mutlaka gerçekleştirilmesi gerektiğinin altını çizmiştir. Dolayısıyla Anayasanın 20. maddesinin son fıkrasında tanınan kişisel verilerin korunması hakkına ilişkin düzenlemeler kanun ile yapıldığı sürece uygulama alanı bulacaktır.

KİŞİSEL VERİLERİN KORUNMASI KANUNU NE ZAMAN YÜRÜRLÜĞE GİRMİŞTİR?

Kişisel Verilerin Korunması Kanunu Tasarısı, 6698 sayılı Kişisel Verilerin Korunması Kanunu adı ile 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiş, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN AMACI NEDİR?

Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır. Bu kapsamda Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanunun gerekçesinde, kişinin mahremiyet hakkının korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların da düzenlenmesi Kanunun amaçları arasında yer almaktadır.

KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN KAPSAMI NEDİR?

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.

KANUNUN KAPSAMINA DAHİL OLMAYAN HALLER NELERDİR?

Kanun, herhangi bir veri kayıt sisteminin parçası olmaksızın veri işleyenler hakkında uygulanmamaktadır.

Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler de bu Kanunun kapsamı dışında tutulmuştur.

Kanunun 28. maddesinde tamamen veya kısmen kapsam dışı olan haller hükme bağlanmıştır. Bu maddenin 1. fıkrasında tam istisnalar, 2. fıkrasında ise kısmi istisnalar düzenlenmiştir. Tam istisna hallerinde Kanun hiçbir şekilde uygulanamayacak, kısmi istisna hallerinde ise, Kanunun sadece bazı maddeleri uygulanamayacaktır.

KANUNUN KAPSAMINA DAHİL OLMAYAN HALLER NELERDİR?

Kanun, herhangi bir veri kayıt sisteminin parçası olmaksızın veri işleyenler hakkında uygulanmamaktadır.

VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ NELERDİR ?

Veri sorumlusunun kişisel verilerin işlenmesi sırasında, yukarıda açıklanmış olan; ‘’hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme’’ ilkelerine uyma yükümlülüğü söz konusudur.

Veri sorumluları ile veri işleyenler öğrenmiş oldukları kişisel verileri kanuna aykırı olarak başkasına açıklayamayacak ve işleme amacı dışında kullanamayacaktır. Bu yükümlülükleri görevden ayrılmalarından sonra da devam edecektir. Söz konusu yükümlülüğün amacı, kişisel verilerin yalnızca işlendikleri belirli amaçla bağlantılı ve sınırlı olarak kullanılmalarını sağlamak ve de hukuka aykırı hareket edilmesini engellemektir.

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirecektir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntem ile ilan edecektir.

Veri sorumlusunun kişisel veriler işlenirken, işleme faaliyetinin kanunda belirtilmiş olan işleme şartlarına uygun olmasını sağlama yükümlülüğü bulunmaktadır. Yukarıda da belirtildiği üzere, kişisel verilerin işlenmesinde kural olarak açık rıza aranmaktadır. Bazı istisna hallerin varlığı halinde söz konusu rıza olmaksızın veri işleme meşru olacaktır. Veri sorumlusunun bu noktada bu şartları sağlama yükümlülüğünden bahsedilebilecektir.

Veri sorumlusunun kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen ya da ilgili kişinin talebi üzerine silmesi, yok etmesi veya anonimleştirmesi zorunlu tutulmuştur.

Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliğini, Kişisel verilerin hangi amaçla işleneceğini, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini, Kişisel veri toplamanın yöntemi ve hukuki sebebi, İlgili kişinin haklarını bildirmekle yükümlü kılınmıştır.

Aydınlatma yükümlülüğü ile veri sorumlusunun ilgili kişinin bilgisi olmaksızın kişisel verilerinin işlenmesinin önüne geçilmesi ve taraflar arasındaki anlaşmazlıkların doğmasının engellenmesi amaçlanmıştır.

Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, söz konusu tedbirlerin alınması hususunda veri sorumlusu ile bu kişiler müştereken sorumlu olacaklardır. Söz konusu yükümlülük KVKK’nın 12. maddesinde ‘Veri Güvenliğine İlişkin Yükümlülükler’ başlığının altında düzenlenmiş olup korunmak istenen değer, ilgili kişinin kişisel verilerinin güvenliğidir.

KVKK’nın 12. maddesinin devamında veri sorumlusu, kendi kurum veya kuruluşunda Kanun’a uygun hareket edilmesini sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmakla yükümlü kılınmıştır.

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Kişisel Verileri Koruma Kurulunun gözetiminde tutulan Veri Sorumluları Siciline (‘’Sicil’’) kaydolmak zorundadır. Ancak, kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma gibi hallerde Kurul tarafından bu zorunluluğa istisna getirilebilecektir. Söz konusu objektif kriterleri belirleme yetkisi Kurula aittir.

Sicile başvuruda; veri sorumlusu ve varsa temsilcisinin kimlik bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcılar, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler ve kişisel verilerin işlendikleri amaç için gerekli olan azami süre yer almalıdır.

Kişisel verileri işlenen kişi, Kişisel Verilerin Korunması Kanununun uygulanmasıyla ilgili taleplerini veri sorumlusuna iletebilecektir. Veri sorumlusuna söz konusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içerisinde ücretsiz olarak sonuçlandırma yükümlülüğü getirilmiştir. Eğer bu işlem maliyet gerektiriyor ise Kurulun belirleyeceği tarifeye göre ücret alınabilecektir. Veri sorumlusu bu talebi kabul ya da reddedebilir. Reddetmesi halinde gerekçesini açıklaması gerekmektedir ve cevabı ilgili kişiye yazılı olarak veya elektronik ortamda bildirecektir. Talebin kabul edilmesi halinde veri sorumlusunun gereğini yerine getirmesi gerekmektedir.

CEZALAR VE KABAHATLER

KVKK’nın ‘’Suçlar’’ başlıklı 17. maddesi uyarınca TCK’nın 135 ila 140.’ıncı maddelerine atıfta bulunulmuştur. Bu maddelere göre suç teşkil eden ve cezaları aşağıdaki şekilde öngörülmüştür:

Kişisel verilerin kaydedilmesi – 1 yıldan 3 yıla
Özel nitelikli kişisel verilerin kaydedilmesi – 1.5 yıldan 4.5 yıla
Verileri hukuka aykırı olarak verme veya ele geçirme – 2 yıldan 4 yıla
Verileri yok etmeme – 1 yıldan 2 yıla

kadar hapis cezası verilir.

KVKK’nın ‘’ Kabahatler’’ başlıklı 18. maddesi uyarınca aşağıdaki yaptırımlar öngörülmüştür:

Aydınlatma yükümlülüğüne aykırılık halinde 5.000 ila 100.000 TL,
Veri güvenliğine ilişkin yükümlülüklere aykırılık halinde 15.000 ila 1.000.000 TL,
Kurul tarafından verilen kararları yerine getirmeme halinde 25.000 ila 1.000.000 TL,
Sicile kayıt ve bildirim yükümlülüğüne aykırı hareket etme halinde 20.000 ila 1.000.000 TL idari para cezası.

KVKK’nın 18. madde gerekçesinde, yukarıda belirtilmiş olan idari yaptırımların veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişilerine uygulanacağı belirtilmiştir.

DANIŞMANLIK SÜRECİ NASIL İŞLİYOR?

Kurumun belirlediği hedef doğrultusunda inceleme yapılarak hedeflenen şartlar ile mevcut durum arasındaki farkları raporlanır ve eksikliklerin giderilmesi için yöntemler ortaya konur. Proje kapsamında hızlı, verimli, hedefe yönelik çalışmayı planlamak ve sonraki adımların maliyetini belirgin şekilde düşürmek amaçlanır.

Kuruluş bünyesinde Kişisel Verilerin Korunması Ekibi (KVKK) proje ekibi ve sorumlulukları belirlenir (Bu aşamada, Veri sorumlusu irtibat kişisi belirlenecek ve kişilerin ataması yapılarak çalışanlara duyurulacaktır).

KVKK Ekibi ile bir proje planı hazırlanır (Bir projenin başarılı bir şekilde sonuçlanabilmesi için planlı bir yönetim gereklidir. Projede görev alanlar arasındaki bağların kurulması, iş paketlerinin detaylı bir şekilde tanımlanması ve süreç takibinin yapılması gerekmektedir).

Kişisel Verilerin Korunması Kanunu (KVKK) için temel eğitimlerin verilmesinden oluşur. Kuruluş içerisinde tüm çalışanlar ve gerektiği durumda 3. taraflara da Kişisel Verilerin Korunması Kanunu ile ilgili farkındalık eğitiminin verilmesi sağlanır.

Tüm Organizasyon birimleriyle veri envanterinin oluşturulması ve risk değerlendirme işlemlerinin gerçekleştirilmesi sağlanır. (Veri Envanteri: “kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları”, “kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi”, “yabancı ülkelere aktarımı öngörülen kişisel verileri ve”, “veri güvenliğine ilişkin alınan tedbirler”)

Oluşturulan Veri Envanteri ışığında Kişisel Verilerin Korunması Politikasının Hazırlanması ve Yayınlanması, Aydınlatma Metinlerinin oluşturulması (Çalışan, Taşeron, Misafir, Web Sayfaları vb.), Kişisel Verilerin Açık Rıza ile toplanması ve Diğer Dokümanların hazırlanmasını sağlıyoruz.

Kurul tarafından belirlenen teknik tedbirlerin gözden geçirilmesi. (Sistemsel ve Fiziksel)

Bireysel Başvuru Mekanizmasının Oluşturulması ve yayınlanması.

Kurumun tüzel kişi kayıtlarının yapılması, Veri sorunlusu temsilcisinin sisteme kayıt olması ve kurul tarafından kayıt tamamlanmasıyla oluşturulan veri envanterinin verbis sistemine yüklenmesi sağlanır.