Arma Bilişim, KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında kurumunuzun tüm süreçlerinde tam uyum ve güvenlik sağlamak için uzman danışmanlık hizmetleri sunar. Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Örneğin T.C. kimlik numarası, cinsiyet, elektronik posta adresi, fotoğraf, özgeçmiş, adres vb.

Özel nitelikli kişisel veri; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık veya kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler olarak belirtilmektedir.

Kişisel verilerin işlenmesi; bu verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi tanımlar.

Örneğin; personellerinizden işe giriş sürecinde adli sicil kaydı istemeniz ve bunları muhafaza etmeniz özel nitelikli kişisel verinin işlenmesidir. Hem kişisel veriler hem de özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak bazı istisnalar bulunmaktadır. Kişisel verilerin açık rıza olmadan işlenmesine olanak sağlayan koşullardan bazıları:

• Kanunlarda açıkça öngörülmesi
• Fiili imkansızlık nedeniyle kişinin rızasını açıklayamayacak olması
• İlgili kişinin kendisi tarafından alenileştirilmesi (ör. sosyal medyada paylaşılması)
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olma

Örneğin, kuruluşların adli sicil kaydını (ceza mahkumiyeti) personelin açık rızası olmaksızın işleyebilmesi mümkündür. Çünkü 4857 sayılı İş Kanunu 75. Maddesi gereği işveren çalıştırdığı her işçi için bir özlük dosyası düzenler ve adli sicil kaydı da bu kapsamda değerlendirilir.

Kişisel Verilerin Korunması Kanununda Yer Alan Organlar ve Görevleri

Kişisel Verileri Koruma Kurumu; KVKK kapsamında verilen görevleri yerine getirmek üzere kurulmuş, idari ve mali özerkliğe sahip kamu tüzel kişiliğidir. Kurumun karar organı Kişisel Verileri Koruma Kurulu’dur ve 9 üyeden oluşur. Kurulun görev ve yetkilerinden bazıları şunlardır:

• Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikayetlerini karara bağlamak
• Kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde geçici önlemler almak
• Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek
• Veri Sorumluları sicilinin tutulmasını sağlamak
• Kanunda öngörülen idari yaptırımlara karar vermek

Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişidir. Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edecek teknik ve idari tedbirleri almak zorundadır.

Kişisel Verilerin Korunması Kanunu Kapsamında Uygulamalar

KVKK gereğince, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kişisel veriler kişinin açık rızası olmaksızın aktarılamaz, yurt dışına çıkarılamaz. Ancak bazı istisnalar vardır:

• Kişisel verinin aktarılacağı ülkede yeterli korumanın bulunması
• Yeterli korumanın bulunmaması durumunda veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması

İlgili kişiler, kişisel verilerinin işlendiğini düşündükleri kuruluşun veri sorumlusuna başvurma hakkına sahiptir. Veri sorumlusu başvuruları 30 gün içinde ücretsiz şekilde sonuçlandırmakla yükümlüdür. Başvurunun reddi veya yetersiz bulunması halinde, ilgili kişi Kurula şikayette bulunabilir.

Kişisel Verilerin Korunması Kanunu Kapsamında Cezalar

Kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 135 ila 140. maddeleri uygulanır. Ayrıca, KVKK’nın ilgili maddelerine aykırı hareket edenler hakkında idari para cezaları öngörülmüştür:

• Veri sorumlusu veya yetkilisinin aydınlatma yükümlülüğünü yerine getirmemesi: 5.000 TL - 100.000 TL
• Veri güvenliğine ilişkin yükümlülükleri yerine getirmemek: 15.000 TL - 1.000.000 TL
• Kurul kararlarını yerine getirmemek: 25.000 TL - 1.000.000 TL
• Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket etmek: 20.000 TL - 1.000.000 TL

Kişisel Verilerin Korunması Kanununda Yer Alan İstisnalar

KVKK hükümleri aşağıdaki hallerde uygulanmaz:

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi
• Kişisel verilerin anonim hale getirilerek araştırma, planlama ve istatistik gibi amaçlarla işlenmesi
• Kişisel verilerin milli savunmayı, kamu düzenini, özel hayatın gizliliğini ve kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi
• Kişisel verilerin milli savunmayı, kamu düzenini sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi
• Kişisel verilerin soruşturma, kovuşturma, yargılama ve infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi

Sonuç

7 Nisan 2016’da yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu, Avrupa Birliği uyum sürecinin bir parçası olarak, ilgili tanımları, kişisel verilerin işlenme şartlarını ve istisnalarını, uygulanacak organları, görevleri ve cezaları kapsamlı şekilde tanımlamıştır. Arma Bilişim olarak, KVKK uyumluluğu ve veri güvenliği süreçlerinizde yanınızdayız. Detaylı bilgi ve danışmanlık için bizimle iletişime geçebilirsiniz.