KVKK

 KVKK, veri sorumlusu kuruluşlara ihlal durumlarında 2023 yılı itibariyle güncel haliyle: VERBİS’ e kayıt ve bildirim yükümlülüğüne aykırılık halinde en alt sınır 119,428 TL, en üst sınır ise 5.971,989 TL dir.

 Aydınlatma yükümlülüğüne aykırılık halinde en alt sınır 29,852 TL, en üst sınır ise 597.191 TL dir.

Veri güvenliğine ilişkin yükümlülüğe aykırılık halinde en alt sınır 89,571 TL, en üst sınır ise 5.971,989 TL dir.

Kurul kararlarını yerine getirmeme durumunda ise en alt sınır 149.285 TL, en üst sınır ise 5.971,989 TL dir.

Kanunun 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

Aydınlatma Yükümlülüğü, kişisel verileri işleyen veri sorumlusu ya da yetkilendirdiği kişiler tarafından, kişisel verilerin elde edileceği esnada ilgili kişilerin bu konu hakkında bilgilendirilmesine ilişkin bir yükümlülüktür. Veri sorumluları için aydınlatma yükümlülük iken ilgili kişiler için talep edilen bir haktır. Kişisel verisi işlenmeden önce kişi bu işleme ilişkin bilgilendirme talep edebilir.

Aydınlatma yükümlülüğü yerine getirilirken asgari şu hususlarda bilgilendirme yapılması gerekmektedir:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla paylaşılacağı,
  • Kişisel veri toplamanın  hukuki amaç ve yöntemi,
  • Kanunda sayılan ilgili kişilerin haklarının neler olduğu,

Aydınlatma yükümlülüğü herhangi bir şekil şartına bağlı olmadan yerine getirilebilir. Önemli olan açık, anlaşılır ve sade bir şekilde yerine getirilmesidir. Aydınlatma yükümlülüğünün hukuka uygun yerine getirildiğinin ispatı veri sorumlusundadır. Açık rıza alınacak hallerde, açık rızanın alınması ile aydınlatma yükümlülüğünün ayrı ayrı yerine getirilmesi gerekir.

Veri sorumluları öncelikle işledikleri kişisel verilerinin ne kadar önemli olduğunu ve kötü kişilerin eline geçmesi halinde ilgililerine ne boyutta zarar vereceğinin farkında olmaları gerekmektedir. Bu farkındalık ile veri sorumlularının kişisel verilerin korunmasına ilişkin gerekli teknik ve idari yükümlülükleri daha dikkat ve özenle yerine getirmelerini sağlayacaktır. Her veri sorumlusunun kişisel veri güvenliğine ilişkin bir politikası ve prosedürü bulunmalıdır. Kullanım süresi biten ya da işlenme amacı sona eren kişisel veriler hemen ilk periyotta imha edilmelidir ki bunları korumak adına ekstra bir yükümlülük altına girilmemiş olunacaktır. İmha işleminin güvenli yapılması riski azaltır. Siber saldırılara, fidye yazılımlara karşı güvenlik duvarı gibi ağ güvenlik cihazları kullanmak faydalı olacaktır. Ayrıca tehdit içerikli internet sitelerine erişimin engellenmesi de risk ortamını daraltacaktır. Düzenli lisanslı antivirüs programları kullanmak ve bunlarla sık aralıklarla virüs taraması yapmak ve bu programları güncel halleriyle tutmak önem arz edecektir. Sisteme sadece yetkili kişilerin girmesine izin verilmesi, güçlü parola sisteminin kullanılması ve çift doğrulama sisteminin kullanılması faydalı olacaktır. Sızma testi yaptırmak riski azaltacaktır. Ayrıca Kurul’un web sitesinde yayınladığı Kamuoyu Duyurusu’nda şu tavsiyelere yer verilmiştir: Çift kademeli doğrulama sistemi kullanılması, başka bir cihaz ile bağlanılması durumunda bunun bilgisinin verilmesi, uygulamaların en üst seviyede güvenlik ayarları ile korunması, başarısız girişlerin olması halinde sistemde bunların görüntülenebilmesi, güçlü parolanın oluşturulması ve sık aralıklarla parolanın değiştirilmesi, üçüncü parti yazılım/servis kullanılması halinde bunların denetlenerek güncel tutulması konusunda tavsiyelerde bulunmuştur. 

Veri ihlali gerçekleşmesi durumunda veri sorumlusu bunu en kısa sürede Kurul’a bildirmek zorundadır. Ayrıca bu sürenin 72 saati geçmesi durumunda en kısa sürede bildirimde bulunulmadığı için veri sorumlusu yaptırımla karşı karşıya kalır.

Bunun hesaplanmasında da bir yıl dolmuş olması gerekmektedir. 1 yılda veri sorumlusunca yetkili kamu kurumuna yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyannamesi ekinde yer alan mali tablolardaki mali bilanço VERBİS kayıt ve ibrazı içinde geçerli olacaktır. Kurul’un belirttiği üzere bu hesaplamada ciro ya da net satış/brüt satış hâsılatının dikkate alınmayacaktır.

Öncelikle bir yılın tamamlanmış olması gerekir. Bir yılın içerisinde dikkate alınacak çalışan sayısı 12 aydan en az 7 ayının her birisinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan MUHTASAR ve PRİM HİZMET BEYANNAMESİ’nde bildirilen çalışan sayısıdır. Bu 7 ayın ardı ardına olması gerekmemekte fakat aynı yıla dahil olmalıdır. Örnekle açıklamak gerekirse 2022 yılı içerisinde SGK ya verilmiş olan Muhtasar ve Prim Hizmet Beyannamelerin en az 7 ayında bildirmiş olduğu çalışan sayısı 50 ve üstü ise bu veri sorumlusu VERBİS’e kayıt ve bildirim yapmak zorundadır.

Kanun’un ilgili hükmünü incelediğimizde;

  • Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilançosu  25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları,
  • Yurtdışında yerleşik gerçek ve tüzel kişi tüm veri sorumluları.
  • Yıllık çalışan sayısı 50’den az ve/veya yıllık mali bilanço toplamı 25 milyon TL’den az olup ancak ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi veri sorumluları,
  • Kamu kurum ve kuruluşu veri sorumluları,

VERBİS’ e kayıt ve bildirim yapmak zorundadır.

Açılımı Veri Sorumluları Sicil Bilgi Sistemidir. Veri sorumlularının Sicili Başkanlık tarafından oluşturulan ve yönetilen, internet üzerinden erişilebilen bir kayıt sistemidir.  Bu sistem kamuya açıktır. İnternet sitesine buradan ulaşabilirsiniz. (https://verbis.kvkk.gov.tr/Query/Search)

Özel nitelikli kişisel verilerin işlenmesi faaliyeti ilgili kişinin açık rızası alınarak yerine getirilecektir. Ancak Kanunda iki istisnai durum sayılmıştır. Buna göre;

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Bu durumların dışında ilgili kişinin açık rızası alınmadan özel nitelikli kişisel verisi işlenir ise hukuka aykırılık söz konusu olacaktır.

 Kişinin kendisine ait verilerin işlenmesine izin vermesidir. Kişi kişisel verilerin işlenmesini kendisi isteyebileceği gibi veri sorumlusunun talep etmesi durumunda da veri işleme faaliyeti ortaya çıkabilir. Açık rıza yazılı olmak zorunda değildir. Söz ile de açık rıza alınabilir. Şunu unutmamak gerekir ki hukuka uygun açık rıza alındığının ispat yükümlülüğü veri sorumlusundadır. Veri sorumlusu bu hususu dikkate alarak açık rızayı alması yararına olacaktır. Açık rızanın içermesi gereken 3 unsur vardır. Bunlar:

Belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve  özgür iradeyle açıklanmalıdır. Bu 3 unsurun bir arada bulunması halinde hukuka uygun açık rıza söz konusu olacaktır. Birisinin eksikliği halinde açık rıza hukuka uygun olarak alınmış olmayacaktır