Frequently Asked Questions
Her Veri Sorumlusu VERBİS’e Kayıt ve Bildirim Yükümlülüğünü Yerine Getirmek Zorunda Mıdır?
Kanun’un ilgili hükmünü incelediğimizde;
- Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilançosu 25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları,
- Yurtdışında yerleşik gerçek ve tüzel kişi tüm veri sorumluları.
- Yıllık çalışan sayısı 50’den az ve/veya yıllık mali bilanço toplamı 25 milyon TL’den az olup ancak ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi veri sorumluları,
- Kamu kurum ve kuruluşu veri sorumluları,
VERBİS’ e kayıt ve bildirim yapmak zorundadır.
İlgili Kişinin Hakları Nelerdir?
Kanunun 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
Kimler Sızma Testi Yapabilir?
Sızma testi, beyaz şapkalı hacker ya da etik bilgisayar korsanları olarak bilinen test uzmanları tarafından gerçekleştirilir. Bu profesyoneller, uluslararası sertifikalara sahip deneyimli geliştiriciler veya güvenlik uzmanları olmalıdır.
KVKK Kapsamında Kişisel Veri Nedir?
Kişisel Verilerin Korunması Kanunu kişisel veriyi; kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamış ve kişisel verileri genel nitelikli ve özel nitelikli kişisel veriler olmak üzere ikiye ayırmıştır.
Özel nitelikli kişisel verileri Kanun açıkça sayma yolu ile belirlemiştir. Buna göre; kişilerin kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Bunların dışında başka veriler özel nitelikli kişisel veri grubuna dahil edilemez; çünkü kanun koyucu bunları net bir şekilde sıralayarak belirlemiştir.
Özel nitelikli verilerin hassas olması ve kişilerin bu bilgilerinin öğrenilmesi halinde ayrımcılığa uğrama riskinin yüksek olmasından dolayı özel olarak düzenlenmesine karar verilmiştir.
KVKK Kapsamında Öngörülen Cezalar ve Yükümlülükler Nelerdir?
KVKK, veri sorumlusu kuruluşlara ihlal durumlarında 2023 yılı itibariyle güncel haliyle en alt sınır 29.852 TL olmak üzere en üst sınır 5.971.989 TL ye kadar idari para cezası öngörmüştür. Bu cezaların miktarları yükümlülüklerin ihlallerine göre çeşitlilik göstermekte ve Kurul tarafından cezalar belirlenmektedir. Kamu kuruluşları ve kanunda şartları belirtilen kişisel veri işleyen gerçek ve tüzel kişiler Veri Sorumluları Sicili’ ne ( VERBİS ) kaydolmak zorundadırlar. Ayrıca her veri sorumlusunun aydınlatma yükümlülüğü ve veri güvenliğine ilişkin yükümlülükleri bulunmaktadır. Veri sızıntısı durumunda, tüm veri sorumlusu, Kurul’a en kısa sürede en geç ise 72 saat içerisinde bilgi aktarmak zorundadır
KVKK Kapsamında Öngörülen İdari Para Cezaları Nedir?
KVKK, veri sorumlusu kuruluşlara ihlal durumlarında 2023 yılı itibariyle güncel haliyle: VERBİS’ e kayıt ve bildirim yükümlülüğüne aykırılık halinde en alt sınır 119,428 TL, en üst sınır ise 5.971,989 TL dir.
Aydınlatma yükümlülüğüne aykırılık halinde en alt sınır 29,852 TL, en üst sınır ise 597.191 TL dir.
Veri güvenliğine ilişkin yükümlülüğe aykırılık halinde en alt sınır 89,571 TL, en üst sınır ise 5.971,989 TL dir.
Kurul kararlarını yerine getirmeme durumunda ise en alt sınır 149.285 TL, en üst sınır ise 5.971,989 TL dir.
KVKK Kapsamında Veri İşleme Şartları ve İlkeleri Nelerdir?
Kişisel veri işleme şartları: açık rıza, sözleşmenin ifası, yasal yükümlülük, meşru menfaat, fiili imkansızlık, kamusal görev ve ilgilisi tarafından alenileştirilmesi. Veri sorumlusu kuruluşlar bu işleme şartlarından en az birisine dayanmak zorundadırlar.
Kişisel veriler işlenir iken ise şu ilkeler gözetilmesi gerekir:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaca bağlı ve sınırlı olma,
- İşlendikleri amaç bitinceye ya da kanunlarda öngörülen süreye kadar muhafaza edilme.
İlkelerine uygun kişisel veriler işlenmelidir.
KVKK Uyum Programı (Compliance Program) Nedir?
Uyum programı, (Compliance Program) bir kuruluşun güncel mevzuata ilişkin düzenlemelere uyumlu hale getirilmesidir. KVKK Danışmanlık süreçlerini hem hukuki hem de teknik tedbirler kapsamında bütüncül bir yaklaşımla ele alıyoruz. Tüm uyumluluk süreçlerini, danışman veri sorumlusunun çalışma sahasında ve sürekli iletişim halinde yürütüyoruz.
KVKK’nin Amacı Nedir?
Kişisel veri işleme faaliyeti gerçekleştirildiği sırada öncelikle özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenlemektir. KVKK ile kişisel verilerin işlenmesinde, depolanmasında, muhafaza edilmesinde ve imha edilmesinde uyulması gereken kurallar detaylı bir şekilde ele alınmıştır. Kanun veri sorumlularına kişisel veri işleyemezsiniz demek istemiyor; kişisel verileri ancak hukuka uygun olarak işleyebilirsiniz demek istiyor. Kişisel verilerin gelişigüzel toplanması, yetkili olmayan kişilerce ele geçirilmesi, açıklanması, amacı dışında ve/veya kötüye kullanılması sonucu kişisel hakların ihlal edilmesinin engellenmesi amaç edinilmiştir.
KVKK’nin Kapsamı Nedir?
KVKK, ülkemizde yürürlükte olan kişisel verilerin korunmasını amaç edinen bir mevzuat olup, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan (manuel) yollarla işleyen gerçek ve tüzel kişileri kapsamaktadır. Bu Kanun, dijital olmayan ve bir veri kayıt sistemine dahil olmayan kişisel veriler bakımından uygulanmayacaktır. Herhangi bir sisteme bağlı olmadan ilgilerinin kişisel bilgilerini öylesine kağıda yazılması durumunda KVKK kapsamında olmayacak; ancak sistematik olarak bu veriler bir deftere kaydedilmesi halinde, bu veri kaydı KVKK kapsamına girecektir. Özetlemek gerekirse; otomatik olmayan yollarla işlenen kişisel veriler, bir veri kayıt sisteminin parçası da değilse Kanun kapsamında değerlendirilmeyecek fakat bu durum kaydedilen verilerin kişisel veri olmadığı anlamına gelmeyecektir ve bu verilere karşı işlenen hukuka aykırılık durumlarında 5237 Sayılı Türk Ceza Kanunu hükümleri uygulanarak suç teşkil edecektir.
Koruma altına alınan kişisel veriler gerçek kişiye ait olan kişisel verilerdir.Kanun tüzel kişilere ait olan kişisel verileri koruma altına almamıştır. Ancak tüzel kişiye ait bir veri var ve bu veriden gerçek kişiye ait kişisel veriler çıkartılıp belirlenebiliyor ise KVKK kapsamında değerlendirilebilecektir.
Kamu kurumları için de KVKK hükümleri geçerlidir. Yer bakımından Kanunda hüküm bulunmamakla beraber Türkiye’de faaliyet gösteren ya da temsilciliği bulunan gerçek kişi ve tüzel kişiler bu Kanun kapsamındadır. Kurul tarafından mülkilik ilkesi geniş yorumlanmaktadır. Bu kapsamda ülkemizde faaliyet gösteren işletmeler ya da kuruluşlar KVKK kapsamında gerekli tedbirleri almalıdır.
