MENÜ
İstanbul 15°
Kamyonum
PAYLAŞ 
Facebook'ta Paylaş
Facebook'ta Paylaş
Facebook'ta Paylaş
Facebook'ta Paylaş
Facebook'ta Paylaş
seyit usta, römork, treyler, üst yapı,
KİŞİSEL VERİLERİN KORUNMASI KANUNU “KVKK” VE GETİRDİKLERİ
Av. Bilun ELMACIOĞLU
YAZARLAR
14 Ocak 2020 Salı

KİŞİSEL VERİLERİN KORUNMASI KANUNU “KVKK” VE GETİRDİKLERİ

Farklı kanunlarda da koruma altına alınan kişiliğin korunması ve kişilik hakları konusu, günümüzde bilgi teknolojilerinin büyük bir hızla gelişmesi, resmi işlemler de dahil olmak üzere bir çok işlemin çoğunlukla elektronik ortamda yapılması ve dijital ortamların daha çok kullanılması ile birlikte, dijital ortamlarda toplanan, depolanan ve transfer edilen kişisel verilerin korunması için önlemler alınması, hukuki açıdan korunması ve korumanın çerçevesinin kanun ve yönetmeliklerle belirlenmesi zorunlu hale gelmiştir.

Kişisel verilerin korunabilmesi, veri işleme faaliyetlerinin önceden belirlenen kurallar ışığında yapılması ve kişinin temel hak ve özgürlüklerinin zarar görmemesi için veri sorumlularının (gerçek ve tüzel kişiler), kanun tarafından çerçevesi çizilen bir disiplin sağlaması ile mümkün olacaktır.

Bu sebeple 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 07.04.2016 tarihinde yürürlüğe girmesi ile birlikte kişisel veriler ve korunması hem Türkiye’de hem de Avrupa Birliği Ülkelerinde önemli bir konu haline gelmiştir ve her geçen gün de yeni yönetmelik ve kurul kararlarıyla gündemdeki önemini korumaktadır. Özellikle 2018 yılı Nisan ayında Türkiye’de ve AB Ülkelerinde yine 2018 yılı Mayıs ayında yürürlüğe giren yönetmelik ile de farklı bir boyut kazandı. Kanun ve Yönetmelik kapsamında şunu belirtmek gerekir ki veriyi korumak, verinin işlenmesini ve kullanılmasını yasaklamak anlamına gelmemekte ancak kişisel verinin işlenmesi, saklanması, aktarılması ve imhasına ilişkin hukuka uygunluk prensibi temelinde bir takım yükümlülükler ve kriterler getirilmektedir.

Veri sorumlusu olarak gerçek ve tüzel kişilerin, özellikle iş sözleşmesinden doğan yükümlülükleri kapsamında çalışanlarına yönelik sorumlulukları kapsamında aynı zamanda farklı kanunlardan doğan yükümlülükler gereği, kişisel verilerin toplanmasını da gerekli kılmaktadır. Bunun yanında, kişisel veri sahibi yani çalışan, verinin kim tarafından, hangi amaca yönelik ve nasıl kullanılacağının kararını verme hakkına sahiptir. Aynı zamanda bu konuda bilgi talep etme hakkının da olduğunu bilmesini sağlamak ve bunu sürekli hale getirmek gereklidir. Veri sahibinin KVKK kapsamındaki haklarını açıkça bilmesini ve kişisel verilerin ne şekilde korunduğu hakkında bilgi vermenin işveren tarafından yapılması zorunlu hale getirilmiştir. Veri sorumlusu, çalışanlarını kişisel verilerin işlenme, saklanma, aktarılma ve imhasıyla ilgili aydınlatmakla ve açık rızasını almakla yükümlüdür.  KVKK 7 Nisan 2016 tarihinde Resmi Gazetede yayınlanarak yürürlüğe girmiştir. Kanunun yürürlüğe girdiği tarihten bu yana birçok Yönetmelik ve Karar yayınlanmış ve birçok değişiklik ve ek yükümlülük getirilmiştir. Bunlardan en önemlisi 19.07.2018 tarihinde Sicile Kayıt Yükümlülüğünün başlangıç tarihinin belirlenmesi ve Kişisel Verileri Koruma Kurulunun (“Kurul”) getirdiği kayıt yükümlülüğüne ilişkin kriterlerdir. Buna göre, çalışan sayısı 50’den fazla olan veya yıllık mali bilançosu 25 Milyon TL’den fazla olan gerçek veya tüzel kişilerin Veri Sicil Bilgi Sistemine (VERBİS) kayıt yaptırması zorunludur. VERBİS, bahse konu kriterleri taşıyan veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Bahse konu Kurul, 27.12.2019 tarihinde yayınladığı son kararıyla, kayıt yaptıracak olan gerçek veya tüzel kişilerin 30.06.2020 tarihine kadar VERBİS kaydını tamamlamalarını zorunlu hale getirmiştir.  Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için VERBİS’e son kayıt 30.09.2020 tarihine, kamu kurum ve kuruluşları için son kayıt tarihi ise 31.12.2020 tarihine uzatılmıştır.

Gerek VERBİS kaydına ilişkin süreler, gerek ise KVKK kapsamındaki yükümlülükler bakımından herhangi bir kanun, kurul kararı ve veri ihlalinin tespit edilmesi durumunda,  Kurulun 25.000-1.000.000TL arasında para cezası kesme yetkisi bulunmaktadır. Para cezaları dışında Türk Ceza Kanunu ile birlikte diğer mevzuatta da yer alan cezai yaptırımlar bakımından süresi 1-3 yıl arasında değişen hapis cezaları da Türk Ceza Kanunu ilgili maddelerince hüküm altına alınmıştır.

Belirttiğimiz gibi, veri sorumlularının Kurulun getirdiği yükümlülüklerin yanında kanundan doğan yükümlülükleri de bulunmaktadır. Özellikle belirtmek gerekir ki, kişisel verilerin toplanması ve işlenmesi ancak hukuka uygunluk sebepleri dahilinde mümkündür.  Örneğin, işçinin özlük dosyaları kapsamındaki kişisel verilerin korunması, saklanması ve sadece hukuken gerekli hallerde ve ölçülülük ilkesi dikkate alınarak işlenmesi ve aktarılması öncelikle “hukuka uygunluk” prensibi dikkate alınarak yapılmalıdır.

Bu bakımdan, Kurulun belirlediği kriterlere uyan şirketler bakımından 30.06.2020 tarihi önem taşımaktadır. Kriterler bakımından VERBİS kaydının zorunlu olmadığı şirketler ise kanunun yürürlüğe girdiği tarih itibariyle kişisel verilerle ilgili aydınlatma yükümlülüğü ve koruma yükümlülüğünü yerine getirmelidir.

Veri sorumlusu şirketlerle ilgili getirilen yükümlülükler şimdiye kadar karşılaşılan yükümlülük kavramından farklılık göstermekte, getirilen hukuki, cezai ve idari yaptırımlar bakımından önem arz etmekte ve konunun detaylı bir şekilde incelenerek öncelikle kriterlere uyan şirketlerin uyum sürecini tamamlayarak VERBİS kaydını süresi içinde yapmaları gerekmektedir. Ancak bunun yanında Kurul tarafından belirlenen kriterlerin dışında olsa da tüm veri sorumlularının işledikleri veriler bakımından kanun kapsamındaki yükümlülüklerini yerine getirmeleri gereklidir.

Yine özellikle vurgulamak gerekir ki, “veri sorumlusu” kavramı geniş bir yorumla değerlendirilmeli ve çalışan adayı, taşeron çalışanı, tedarikçi ve iş ortağı çalışanları hatta iştirakler, yurtdışı şirketler, yurtdışı şirketlerin Türkiye’de bulunan şubeleri ve holding yapısına sahip şirketlerin de Kurulun getirdiği kriterler bakımından yükümlülüklerini belirlemeleri gerekmektedir. Belirtilen kapsamdaki tüm çalışanların veri kategorileri titizlikle incelenerek kişisel veri envanteri ve veri kategorileri bakımından dikkate alınması, özellikle KVKK da özel olarak tanımlanan “özel nitelikli hassas veri” kategorisinin hem veri sorumlusu hem de çalışan tarafından açıkça anlaşılması ve getirdiği yükümlülüklerin de anlaşılarak önlemlerin alınması veri sorumlusu gerçek ve tüzel kişiler bakımından azami önem taşımaktadır.

Kişisel Verileri Koruma Kurulunun 2019 yılında almış olduğu kararlardan örnek vermek gerekirse, günümüzde birçok işin cep telefonları aracılığıyla whatsupp ve benzeri uygulamalarla yapıldığı ve birçok kişisel veri de içeren bilgi ve belgenin paylaşıldığı bilinmektedir. Yine kurumsal şirketler tarafından zaman zaman hotmail, gmail, yandex ve benzeri serverları yurtdışında bulunan altyapılara sahip benzer e-posta adresleri kullanılmaktadır. Bu kapsamdaki kullanımların KVKK 9.madde kapsamında yurtdışına aktarılan veriler kategorisinde değerlendirilmesi gerekmektedir.  

 

Yorum Ekle
Yorumunuz gönderildi
Yorumunuz editör incelemesinden sonra yayınlanacaktır
Yorumlar

   Bu yazı henüz yorumlanmamış...

Yazarın Diğer Yazıları
Sayfa başına gitSayfa başına git
Masaüstü Görünümü  ♦   İletişim  ♦   Künye
Copyright © 2024 Kamyonum