in

Kişisel Verileri Koruma Kanunu (KVKK) Yaptırımlarından Korunma Adımları

Kişisel Verileri Koruma Kanunu, bilinen diğer adıyla KVKK, 2016 tarihinden beri ülkemizde uygulanan kişisel verilerin işlenmesiyle ilgili yükümlülükleri içeren bir kanundur.

Peki, kişisel veri işlemelerinin kanuna uygun olması için neler yapılmalıdır, neler yapılmamalıdır? Haydi, birlikte bu soruların cevaplarına bakalım!

Kişisel Veri Nedir?

kişisel verileri koruma kanunu kvkk logo

Kişisel veri, kimliği belirli veya belirlenebilir kişiye ilişkin her türlü bilgiyi ifade etmek için kullanılan bir terimdir.

Bir verinin kişisel veri olarak değerlendirilebilmesi için “kişiyi tanımlayabilme” özelliğini taşıması gerekir.

Kişisel Verileri Koruma Kanununa göre, ilgili kişilerin ismi, soyismi, ikamet adresi, kimlik numarası, konumu, IP adresi, çerez verileri, fiziksel görünümüne ait veriler gibi bilgiler kişisel veri olarak değerlendirilir.

Kişisel verinin yanı sıra, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağduriyetine yol açabilecek nitelikte verilere “özel nitelikli kişisel veri” veya “hassas veri” adı verilir.

Özel nitelikli kişisel veriler, kişilerin ırkını, etnik kökenini, siyasi düşüncesini, felsefi inancını, dinini, mezhebini, kılık kıyafetini, dernek ve vakıf üyeliğini, sağlığını, cinsel hayatını, ceza mahkumiyetini, biyometrik ve genetik verilerini içeren bilgiler olarak tanımlanabilir.

Kişisel Veriler Nasıl İşlenmelidir?

Kişisel veriler, ancak KVKK ve diğer veri gizlilik kanunlarına uygun olarak işlenebilir. Aksi takdirde, veri işleyen kişi 1 yıldan 6 yıla kadar hapis cezası alabilir veya 5.000 TL’den 1.000.000 TL’ye kadar idari para cezasına tabii tutulabilir.

Yaptırımlar ve yükümlülükler doğrultusunda KVKK, kişisel verileri işlenen gerçek kişileri ve kişisel verileri işleyen kişileri kapsar.

1. KVKK İlkelerine Uygun Olarak

kişisel veriler kvkk kanunlarına uygun işlenmelidir bu ilkelerin kontrol edildiği liste

KVKK’nın 4. maddesine göre yalnızca niteliği kanun ilkelerine uygun kabul edilen kişisel veriler işlenebilir.

  • Hukuka ve dürüstlük ilkelerine uygun olarak toplanmış,
  • Doğruluğundan ve güncelliğinden emin olunan,
  • Açıkça belirtilmiş sınırlı amaçlar doğrultusunda depolanan,
  • İşlenme amacıyla bağlantılı olarak ve gerekli süreden sonra silinmesi öngörülmüş,
  • Ölçülü bir şekilde edinilmiş

verilerin işlenmesinde bir sakınca yoktur.

Hukuka ve ilkelere aykırı olarak kişisel veri işleyen veri sorumluları, 1 yıldan 3 yıla kadar hapis cezası alabilir.

2. Aydınlatma Yükümlülüğü Yerine Getirilerek

yolu aydınlatan sokak lambaları iki araba sokak lambaları kişisel verileri koruma kanunundaki aydınlatma yükümlülüğünü temsil ediyor

Veri sorumluları, kişisel verilerin hangi amaçla kullanılacağını, talep etmese dahi ilgili kişiye detaylı bir şekilde açıklamak zorundadır. Buna “aydınlatma yükümlülüğü” adı verilir.

Aydınlatma bilgilendirmesi sözlü olarak, yazılı olarak, görsel olarak veya çağrı merkezi aracılığıyla yapılabilir.

Kişisel veriler elde edilirken, veri sorumlusu temsilci kimliğini, verilerin hangi amaçla işleneceğini, işlenecek kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceği, veri toplama yöntemleri ve sebepleri hakkında ilgili kişiyi bilgilendirmekle yükümlüdür.

Aydınlatma yükümlülüğüne aykırı hareket eden veri sorumluları kabahatli kabul edilir ve 5.000 TL ile 100.000 TL arasında bir idari para cezasına maruz kalabilir.

3. Kişilerin Açık Rızası Alınarak

bir adam başka bir adama anlaşma belgelerini imzalatıyor bu görsel kişisel verileri koruma kanununda belirtilen açık rızayı temsilen kullanılmıştır

Açık rıza, ilgili kişinin aydınlatılmasından sonra kişisel verilerinin toplanmasına ve işlenmesine ilişkin yaptığı özgür irade açıklamasıdır.

Şüpheye yer vermeyen, ilgili kişinin niyetini açıkça ortaya koyar nitelikteki açıklamalar açık rıza kabul edilir. Demek oluyor ki, açık rıza, bir ürün veya hizmetten yararlanmanın ön şartı olarak ileri sürülmemelidir.

Ayrıca, “Kişisel verilerimin işlenmesini kabul ediyorum.” şeklinde açık uçlu, belirli sınırlar dahillinde olmayan rızalar da açık rıza kabul edilmez.

KVKK’nın 5. maddesine göre, kişisel veriler ilgili kişinin açık rızası olmadan işlenemez.

İlgili kişinin talebi doğrultusunda açık rıza geri alınabilir. Geri alma beyanından itibaren yapılan tüm veri işleme faaliyetlerinin durdurulması gerekmektedir. Aksi takdirde, veri sorumlusu hakkında yaptırım oluşabilir.

Sözlü, yazılı, elektronik olarak veya beden dili ile açık rıza alınabilir.

Beden dili ile açık rıza almak mı? Şöyle bir örnek üzerinden ilerleyelim. Kamera kullanılan bir konferans salonunda kırmızı ve yeşil etiketli koltuklar olsun. Yeşil etikette, bu koltuklara oturan ilgili kişilerin görüntü kaydı alınmasını onayladığı yazıyorsa, yeşil koltuğa oturan kişilerin açık rızası beden dili ile alınmış kabul edilir.

Ayrıca, ilgili kişiler, mağaza veya websitesi ziyaretleri sırasında veri sorumlusunun sunduğu aydınlatma metnini açıkça görebiliyor olmalıdır.

Bu metin, mağazalarda bir panoya asılabilir veya websitelerinde popuplar yardımı ile görünür hale getirilebilir. Websitenize 3 dakikada aydınlatma metni içeren popup eklemeniz için Popupsmart‘ı tavsiye ederim.

Kişisel verileri hukuka aykırı ele geçiren veri sorumluları 2 yıldan 4 yıla kadar hapis cezasına mahkum edilebilir.

4. İlgili Kişinin Hakları Doğrultusunda

ilgili kişi haklarını savunuyor kendi kişisel verilerinin işlenme operasyonları ile ilgili hak sahibi hoşuna gitmeyen bir durum olduğunda dur deme hakkına sahip

KVKK’ya göre, kişisel verileri toplanan ve depolanan kimselere “ilgili kişi” adı verilir.

Kanunun 11. maddesi doğrultusunda, ilgili kişilerin veri sorumlusuna başvurarak kendileri hakkındaki verilerin detaylarına ulaşma ve itiraz etme hakları vardır. Bu hakları şu şekilde detaylandırabiliriz:

  • Verilerin işlenip işlenmediğini sorgulama ve işlenmesine ilişkin bilgi talep etme,
  • Verilerin işlenme amacı ve bu amaca uygun işlendiğine emin olma,
  • Üçüncü kişilere veri aktarımının yapılıp yapılmadığı,
  • Kişisel verilerin yanlış işlemesi durumunda düzeltilmesini talep etme,
  • Veri işlemeye ilişkin vermiş olduğu açık rızasını geri almayı veya kısıtlamayı isteme,
  • İşlenme sebeplerinin ortadan kalkması halinde kişisel verilerin silinmesini isteme,
    Dikkat! Kanunun belirlediği süre zarfında (30 gün) ilgili kişinin talep ettiği silme veya yok etme işlemi yapılmadıysa, veri sorumlusu suçlu kabul edilir ve 2 yıldan 4 yıla kadar hapis cezası alabilir.
  • Veri analizi sırasında kişinin aleyhine bir durumun meydana gelmesine itiraz etme,
  • Veri işlenmesi sırasında zarara uğranması halinde zararın giderilmesini talep etme.

İlgili kişiler haklarını veri sorumlusuna yazılı olarak verdikleri bir dilekçe ile arayabilir. Bu durumda, veri sorumlusu talebi olumlu veya olumsuz olarak en fazla 30 gün içerisinde ücret talep etmeden yanıtlamalıdır.

Başvurunun reddedilmesi, 30 gün içerisinde başvuruya cevap verilmemesi veya cevabın yetersiz bulunması gibi durumlarda, ilgili kişi KVK Kuruluna şikayette bulunabilir. Yapılan incelemeler sonucunda bir ihlalin varlığı tespit edilirse, Kurul hukuka aykırılığın 30 gün içerisinde giderilmesini talep eder.

İlgili kişinin şikayeti üzerine Kurul tarafından alınan düzeltme kararına uymayan veri sorumluları kabahatli kabul edilir ve 25.000 TL ile 1.000.000 TL arasında bir ceza yaptırımı alabilir.

5. Veri Güvenliği Sağlanarak

kullanıcı adı ve parola yöntemi ile kişisel verilerin şifrelenmesi işlemini gösteren görsel kvkk

Veri sorumluları, KVKK’nın 12. maddesine göre kişisel verilerin hukuka aykırı bir şekilde işlenmesini ve erişilmesini önlemek adına gerekli tedbirleri almak zorundadır.

Ayrıca hükümlerin uygulandığına emin olmak adına düzenli olarak gerekli denetimleri yapmaya mecburdur.

Kanun hükümlerinde belirtilen istisna durumlar olmadıkça, veri sorumluları hiçbir zaman hiçkimseye kişisel verileri görünür kılamaz.

Kişisel verilerin çalınması halinde veri sorumlusu durumu derhal KVK Kuruluna bildirmek zorundadır.

Veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri işleyen kişiler kabahatli kabul edilir ve 15.000 TL ile 1.000.000 TL arasında bir idari para cezası yaptırımına maruz kalabilir.

6. VERBİS’e Kayıt Yaptırarak

kvkk'nın yükümlü tuttuğu verbise kayıt yaptıran veri sorumluları siciline kayıt yaptıran bir veri sorumlusu görülüyor

Veri işleyen kişiler, KVKK’nın 16. maddesine göre, verileri işlemeye başlamadan önce Veri Sorumluları Siciline kayıt yaptırmak zorundadır.

VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmeyen kabahatli veri sorumlularına 20.000 TL ile 1.000.000 TL arasında bir idari para cezası verilebilir.

Kişisel Verileri Koruma Kanununun amacı veri işlenmesi sırasında ilgili kişilerin temel haklarını, özgürlüklerini ve özel hayatlarının gizliliğini korumak amacıyla kişisel veri işleyen kişilerin yükümlülüklerini düzenlemek ve uyacakları esasları belirlemektir.

Türkiye’de veri işleyen gerçek veya tüzel kişi olarak sizin de bu temel hak ve özgürlükleri korumanızın zamanı gelmedi mi?

Zaten koruyor musunuz? Veri işleme operasyonlarınızın ve bilgi birikiminizin KVKK’ya uygunluğunu hemen test edin!

Kaynakça

Emoji Podcast

Yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Loading…

0

Comments

0 comments

Kesinlikle İzlenmesi Gereken Tarih Belgeselleri

ofis egzersizleri yapmak için pilates topları üzerinde duran kadın ve erkek ofis çalışanı

Ofis Egzersizleri Uygulayarak Duruş Nasıl Düzeltilir?