KVKK nedir, kimleri kapsar, hangi verileri korumaktadır, ihlaller gerçekleştiğinde neler yapılır ve cezası nelerdir gibi soruların cevaplarını yazımızın devamında bulabilirsiniz.

KVKK Nedir?

 

Türkiye’nin 6698 Sayılı Kişisel Verileri Koruma Kanunu veya Kişisel Verileri Koruma Kanunu(KVKK) 7 Nisan 2016’da yürürlüğe girdi. KVKK, Türkiye’de kişisel verilerin korunmasını düzenleyen ve kişisel verileri işleyen kurum ve kişilerin uyması gereken yasal yükümlülükleri belirleyen ilk kanun olma özelliğini taşıyor. KVKK’nın yürürlüğe girmesinden önce Türkiye’de kişisel verilerin korunmasına ilişkin özel bir kanun yoktu. Veri güvenliği ve korunması birkaç ihtisas sektörü dışında, Türkiye Cumhuriyeti Anayasası’nda tek bir hüküm ve Türk Ceza Kanunu’nun çeşitli hükümleri ile düzenlenmiştir.

Türkiye Veri Koruma Kurumu (KVKK), 2017 yılı başlarında mali ve idari olarak bağımsız bir denetim makamı olarak kurulmuştur. Görevi, KVKK hükümlerini uygulamak ve kişisel verilerin korunması konusunda kamuoyunu bilinçlendirmektir. Hadi daha yakından bakalım!

KVKK kimlere uygulanır?

 

KVKK, Türkiye’den toplanan veya toplanan verileri işleyen tüm veri sorumluları ve veri işleyenler için geçerlidir. Bu, Türkiye’de yerleşik kuruluşları ve ayrıca Türk veri sahiplerinin kişisel bilgilerini işleyen yabancı gerçek veya tüzel kişileri de içerir.

KVKK kapsamında hangi veriler korunmaktadır?

 

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Türkiye’nin veri koruma mevzuatı ayrıca ırk, etnik köken, siyasi görüş, felsefi inanç, din, mezhep veya diğer inançlar, kılık, dernek, vakıf veya ticaret üyeliği gibi hassas kişisel verileri koruyan hükümler içermektedir.

VERBİS

 

KVKK kapsamında veri sorumlularının KVKK’nın Veri Sorumluları Sicil Bilgi Sistemi olan VERBİS’e kayıt olması zorunludur. Kaydolduktan sonra, veri kontrolörlerinin dahil oldukları veri işleme faaliyetlerini kaydetmeleri beklenir.

VERBİS’e kaydolmak ve kişisel verilerin işlenmesini başlatmak için kuruluşların öncelikle Türk Tüzel Kişisi veya Türk Gerçek Kişi olması gereken bir veri sorumlusu temsilcisi ataması gerekmektedir. Kayıt sırasında, veri sahibi kategorilerini, işledikleri veri türlerini, amacını, yasal dayanağını ve bir kuruluşun uymak için aldığı teknik ve idari önlemleri tanımlayan bir Veri İşleme Envanteri sunmaları da istenecektir.

KVKK’nın 28. maddesinin ikinci fıkrasında düzenlenen VERBİS tesciline ilişkin çeşitli muafiyetler bulunmaktadır. Bunlar:

 

– 50’den az çalışanı olan ve yıllık bilançosu 25 milyon TL’nin (yaklaşık 3,5 milyon ABD Doları) altında olan veri sorumluları, ana faaliyetleri özel nitelikli verilerin işlenmesini gerektirmediği sürece;

– Verileri yalnızca elektronik olmayan yollarla işleyen veri sorumluları;

– Özel aracılar ve aracılar;

– Noterler, yeminli mali müşavirler ve avukatlar;

– Dernekler, vakıflar ve sendikalar;

– Siyasi partiler

VERBİS’e kaydolmamak, yaklaşık 230.000 ABD dolarına kadar idari para cezasına veya kontrolörün veri işleme faaliyetlerinin kısıtlanmasına neden olabilir.

Veri İhlal Bildirimleri ve Müdahale Planları

 

Veri sorumluları, KVKK tarafından sağlanan Veri İhlali Bildirim Formu’nu kullanarak, bir veri ihlalinin farkına varmalarından itibaren 72 saat içinde KVKK’ya bildirimde bulunmakla yükümlüdür. Herhangi bir gecikme için gerekçeler de formla birlikte gönderilmelidir. Etkilenen veri sahipleri de ihlalden haberdar edilmelidir ancak bunun için belirli bir zaman çerçevesi belirtilmemiştir.

Aynı karar kapsamında, KVKK ayrıca veri sorumlularının bir veri ihlali durumunda iletişim kurulacak bir irtibat kişisini belirlemesi gereken bir Veri İhlali Müdahale Planı hazırlamasını şart koşmuştur. Bu kişi birincil irtibat noktası olacak ve meydana gelebilecek herhangi bir ihlalin sonuçlarının değerlendirilmesinden sorumlu olacaktır.

Cezalar

 

KVKK gereklerine uymayan veri sorumluları, ihlalin ağırlığına bağlı olarak yaklaşık 1,5 milyon TL’ye (yaklaşık 230.000 TL) kadar idari para cezası ile karşı karşıya kalmaktadır. Kişisel verilere ilişkin suçlar ise 5237 sayılı Türk Ceza Kanunu’nun 135-140. maddelerine tabidir.

Cezaların değeri, Vergi Usul Kanunu Tebliğleri ile Resmi Gazete’de yayımlanan yeniden değerleme değerleri esas alınarak her yıl artırılır. Bu makalede görünen tüm sayılar 2019 yeniden değerlendirmesine karşılık gelmektedir.

KVKK uyumlu doküman yönetiminde yukarıda bulunan tüm detayların uygulanması zorunludur.