Datum Kvkk

Kanun vatandaşlarının kişisel verilerini, sadece kendi sınırları içerisindeki değil, sınırların dışında iken de güvende tutmak amacını gütmektedir. Dolayısı ile Birleşmiş Milletler, kanunu uygulayan ülke vatandaşlarının, ticari kültürel, siyasi vb. her türlü etkileşimi gerçekleştirdiği ülkelerinde yeterli veri koruma seviyesinde olmasını sağlamak için birtakım yaptırımlar uygulamaktadır. Bu kapsamda AB uyum süreci dolayısı ile ülkemizde öncelikle Anayasa’ya, Borçlar Kanunu’na Türk Ceza Kanunu’na ve İş Kanunu’na maddeler eklenmiştir. Sonrasında bu maddelere de atıf yapan “insan haklarının etkin biçimde korunması” amacı güden ve tüm kamu/ özel kurum ve kuruluşlarının uygulamalarına da pek çok değişiklik getiren, 6698 sayılı “Kişisel Verileri Koruma Kanunu (KVKK)” yürürlüğe girmiştir.

Kanun 07.04.2016 tarihinde yürürlüğe girmiştir ve Türkiye Cumhuriyeti sınırları içerisinde yaşayan tüm vatandaşları ve Türkiye Cumhuriyeti sınırları içerisinde faaliyet gösteren tüm kamu / özel kurum ve kuruluşları kapsamaktadır. Bunun yanında kuruluşlar, faaliyetleri sırasında işledikleri kişisel verilerin sahipleri arasında Amerika veya Avrupa birliği vatandaşı olması durumunda ayrıca ilgili GDPR (General Data Protection Regulation) hükümlerine de tabidir.

Aynı tarihte kanunun Türkiye’deki uygulayıcısı olarak “Kişisel Verileri Koruma Kurumu (KVKK)” kurulmuş ve kurum ilk kurul kararını 25 Ocak 2018’de vermiştir. Kurul kararları kanunun anlaşılması ve uygulamaya örnek teşkil etmesi açısından oldukça önemli olup, uyulmaması cezaya tabidir.

Kanun, kişi adı soyadı, telefon numarası, kimlik/pasaport numarası, plaka numarası vb bilinmesi durumunda kişiyi niteleyebilen ve bulunmasını sağlayan verilerden, din, dil, ırk, etnik köken, dini/felsefi düşünce, sağlık, ceza mahkumiyeti, etkinlik fotoğrafları, vb bilinmesi durumunda kişiyi ötekileştiren “özel nitelikli kişisel verilere kadar tüm kişisel verileri, konuk, müşteri, ziyaretçi, çalışan, tedarikçi, etkinlik katılımcısı, vb ayırmaksızın kapsamakta ve koruma altına almaktadır. Bu verilerin SMS ile bilgilendirme ve bildirimlerden, sosyal medya, basın yayın, web sitesi gibi mecralarda kullanılmasına kadar çalışanların işe giriş evraklarından ziyaretçi kamera kayıtlarına kadar her türlü kullanımı veri işleme kapsamında değerlendirilmektedir. Ayrıca uyum süreçleri tüm bu veri sahibi gruplarını kapsayacak şekilde gerçekleştirilmelidir. Bu uyum süreci sadece firmaların kendi içinde tuttuğu verileri değil, verinin paylaşıldığı 3. taraf hizmet alınan kuruluşları da kapsamalıdır. Örneğin; Tur şirketleri, transfer şirketleri, SMS ve e-posta hizmeti alınan firmalara iletilen kişisel veriler gibi…

İş süreçlerinde ve personel yönetiminde de bazı değişiklikler meydana gelmiştir.

Örneğin, misafir kimlik fotokopisinin alınması yasaklanmış, misafir verilerinin sistemde tutulma koşullarına değişiklikler olmuştur.

Çalışan tarafında ise başvuru formu değişiminden özlük dosyası sadeleştirme ve çalışandan alınması gereken açık rızaya kadar pek çok değişiklik olmuştur.

Kanunun esas amacı kişisel verinin, kişisel veri sahibinin bilgisi ve izni dışında keyfi olarak işlenmesinin önlenmesidir. Dolayısı ile kanundaki en önemli unsurlar “Açık Rıza” ve “veri sızıntısının önlenmesi” olarak karşımıza çıkmaktadır..

Kurum ve kuruluşların işledikleri kişisel veriler için veri sahibini aydınlatması, onay alması, veriyi saklamak için gereken teknik ve idari tedbirleri uygulayarak koruma sağlaması kanunun temelini oluşturmaktadır. Açık rıza alınmadan kişisel veri işlenmesi veya gerekli önlemlerin alınmayarak veri sızıntısına sebebiyet verilmesi durumunda, veri sahibi kişiye şikâyet hakkı doğacaktır. Ayrıca veri ihlali boyutları büyük ise kurum tarafından Resen denetim de gerçekleştirilebilir. Denetim sonrasında sızıntının boyutuna ve verdiği zarara göre cezai yaptırım uygulanmaktadır

YAPTIRIMLAR

Cezaya esas durumlar 4 kabahat başlığında toplanmıştır.

1 ) – Aydınlatma yükümlülüğünü yerine getirmemek

2 ) – Veri güvenliğine ilişkin yükümlülükleri yerine getirmemek

3 ) -Kurul tarafından verilen kararları yerine getirmemek

4 ) -Veri Sorumluları Siciline (VERBİS) kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi

Bu maddelere uyulmaması durumunda maddi cezalar yanında hapis cezaları, disiplin cezaları gibi cezalar da verilebilmektedir. Ayrıca bu cezalar çalışana rücu edilebilmektedir. Her ne kadar en bilinen kabahat VERBİS kaydının yapılmaması olsa da diğer kabahatlerin yaptırımları çok daha fazladır. Özellikle kurul kararlarına uymama maddesi, oldukça büyük cezalar getirebilmektedir.

01.01.2018 tarihinden bugüne, gerçekleştirilen tüm veri işleme faaliyetlerine istinaden diğer tüm kabahat maddeleri yürürlüktedir. Bu yüzden uyum sürecinin ivedilikle gerçekleştirilmesi önemlidir. Kurum tarafından uygulanan cezalar sadece kuruma tebliğ edilmemekte, Kurum web sitesi ve gazete haberi yolu ile halka duyurulmaktadır. Bu duyurular kurum ve kuruluşlarda prestij ve güven kaybına neden olmaktadır. Ayrıca bu duyurular sonrası kendi verileri hususunda ne yapıldığını merak eden ilgililerin taleplerini yerine getirmek, kurumlar için büyük bir iş gücü gerektirebilmektedir.