Sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) Kapsamında Yükümlülük Altına Alınan Kişi ve Kurumların Belirlenmesi İle Sorumluluklarının Açıklanması

1. Kişisel veri nedir?
KVKK’ya göre kişisel veri, sahibi olan kişiyi tanımlayan, kişi hakkında özel ve genel bilgileri içeren her türlü veridir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun
kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. İsim, telefon numarası, motorlu taşıt plakası, sosyal
güvenlik numarası, IP adresi, pasaport numarası, özgeçmiş, resim, sağlık raporu, sabıka kaydı, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler kişiyi belirlenebilir kılabilme
özellikleri nedeniyle kişisel verilerdir. Bu veriler müşterilerden, personellerden, ziyaretçilerden tedarikçi ve çalışılan üçüncü parti firmaların ve çalışanların verilerinden oluşur.

2. KVKK uymama cezası nedir?
Şirketler müşterilerinin, çalışanların ve diğer kişilerin kimlik, adres ve iletişim bilgilerini almakta ve işlemektedir. Her ne kadar kişisel verileri işlemek yasak olmasa da bunların kişisel verilerin
korunması hukukuna uygun şekilde işlenmemesi halinde 6 yıla varan hapis cezalarına, milyonlarca TL’lik idari para cezalarına ve aşağıda ayrıntısı yazılı tazminatlara maruz kalınabilecektir.
Kurul tarafından verilecek cezaların alt ve üst sınırları aşağıdaki gibidir.

• Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar
• Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar
• Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar
•  Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar .

3. KVKK kapsamında ticari işletmeler için öncelikli olarak yapılması gerekenler;

a. Veri Sorumluları Siciline Kaydolmak
Yıllık çalışan sayısı 50 ve üzeri ya da yıllık mali bilanço toplamı 25 Milyon TL ve üzeri olan şirketlerin VERBİS üzerinden Veri Sorumluları Sicili’ne kayıt yaptırması zorunludur. VERBİS’e kayıt
Kurul’un internet sitesi üzerinden VERBİS ara yüzü aracılığıyla yapılmaktadır. Veri Sorumluları Siciline kayıt yükümlülüğü olan tüm veri sorumlularının sicile kayıtla birlikte öncelikle Kişisel Veri
İşleme Envanteri hazırlaması gerekmektedir.

b. Açık Rıza Almak veya Diğer Veri İşleme Şartlarına Sahip Olmak
Veri sahibi ile ilk muhatap olunan anda veri sahibinden söz konusu verisinin işlenmesi ile ilgili açık rıza alınması gerekmektedir.

c. Veri Sahibinin Aydınlatılması
Kişisel verilerin toplanması esnasında veri sorumlularınca, aydınlatma metinlerinin; her bir veri kategorisi bazında amaç, usul, esaslar ve yöntem bakımından dikkatlice ve hukuki çerçevesi
belirlenerek hazırlanması gerekmektedir.

d. Kişisel Verileri Silme, Yok Etme ya da Anonimleştirme
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi
işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Söz konusu işlemlerin nasıl yapılacağı hakkında uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması bakımından çeşitli konu başlıklarına dikkat çekmek amacıyla Kurul tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi hazırlanmıştır.

e. Kişisel Verileri Hukuka Uygun Şekilde Aktarma
Kanunda belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabileceği hükme bağlanmıştır.

f. Veri Güvenliğine İlişkin Gerekli Tedbirleri Alma
Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bununla ilgili olarak veri sorumlusu, kişisel veri saklama ve imha politikası ve esaslarını oluşturmak, saklama süreleri ve muhafazada uygulamaya alınacak teknik ve idari tedbirleri belirlemek ve kişisel verilerin bu esaslara uygun olarak muhafazasını sağlamakla yükümlüdür.

g. Veri Sahiplerinin Taleplerini Sonuçlandırma
İlgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunlara ilişkin bilgi talep etmek, verinin muhtevasının eksik veya yanlış olması
halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı
olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır.

h. Kişisel Verileri Genel İlkelere Uygun İşlemek
Kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de her türlü kişisel veri işleme faaliyetinde Kanun’un 4. maddesinde genel ilkelere uygun olarak hareket edilmektedir.
Bu konuda taslak metinlere 02124650848 numaralı telefondan veya info@gulelhukuk.com adresinden talep etmeleri halinde ulaşabilirler.

Av. Abide Birsen
Stj. Av. Tuğçe Akıl