İş dünyası dikkat: Ağır para ve hapis cezaları var. Kişisel Verilerin Korunması

Şirketler derhal teknik ve idari eksiklerini giderip VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) başvurup kayıt olmalı. Kişisel Verileri Koruma Kurumu, Covid-19 nedeniyle; şirketlere VERBİS’e kayıt olmak için tanınan süreyi uzattığını duyurdu.
Kişisel verilerin korunması, artık iş dünyasının gündeminin önemli bir parçası haline geldi. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde TBMM’de (Türkiye Büyük Millet Meclisi) kabul edildi; 7 Nisan 2016 tarihli ve 29677 Sayılı Resmi Gazete’de yayımlanarak yürürlüğe girdi. Tanınan uyum süresi de 31.12.2019’da sona erdi; kanundan doğan sorumluluklar ve haklar başladı. Bu süreçte Kişisel Verilerin Korunması Kanunu’na göre kişisel verileri işleyen gerçek ve tüzel kişilere, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) başvurup kayıt olmaları şartı getirildi.
Kişisel Verileri Koruma Kurumu (KVKK), VERBİS’e kayıt olmak için tanınan süreleri uzattığını duyurdu. Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma iletilen taleplerin değerlendirildiği belirtilen açıklamada, tüm dünyada olduğu gibi Türkiye’de de etkisini gösteren Covid-19 nedeniyle bazı işyerlerinin fiziksel olarak kapalı olması veya bazılarının uzaktan/dönüşümlü çalışma modeli uygulaması gibi nedenlerle kişisel veri işleme çalışmalarının sağlıklı yürütülemediği ve VERBİS’e kayıt yükümlülüğünün zamanında yerine getirilemeyeceği gerekçesiyle kayıt tarihlerinin uzatıldığı belirtildi. 
Açıklama’da Kişisel Verileri Koruma Kurulu’nun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile;
• Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS’e kayıt süresinin 30 Eylül 2020’ye, 
• Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının VERBİS’e kayıt süresinin 31 Mart 2021’e,
• Kamu kurum ve kuruluşu veri sorumlularının VERBİS’e kayıt süresinin de 31 Mart 2021’e kadar uzatılmasına karar verildiği ifade edildi.
Kişisel veri nedir?: Kanuna göre “kişisel veri”nin tanımı şöyle: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.”
Kişisel verilerin işlenmesi:  Kanuna göre; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanıyor.
Kanunun amacı: Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kanunun kapsamı: Kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacak. Örneğin; müşterilerinin, bayilerinin ve personellerinin adı, soyadı, cep telefonu, e-posta, TC kimlik numarası, adres, fotoğraf, kimlik fotokopisi ve benzeri diğer bilgilerini kaydeden ve işleyen şirketler bu kapsamdadır.
İşlenmesi yasak özel veriler: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri; ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Kanuna tabi şirketler: Aşağıdaki sektörlerden 50 ve üstü istihdamı olan şirketler, Kişisel Verilerin Korunması Kanunu kapsamındadır;
• Oteller,
• Alışveriş merkezleri AVM’ler,
• Apartman Site Yönetim şirketleri,
• Müşteri sadakat kart uygulaması olan şirketler,
• Fabrikalar,
• Temizlik ve güvenlik personel hizmeti şirketleri,
• Satış ve pazarlama yapan şirketler,
• Ajanslar,
• Özel okullar ve üniversiteler,
• Hastaneler ve tıp merkezleri,
• E-ticaret kuruluşları,
• Bankalar,
• Ödeme ve elektronik para kuruluşları,
• Kargo şirketleri,
• Elektrik, su, doğalgaz, telefon, internet, uydu televizyon yayıncılığı abonelik sistemiyle çalışan kuruluşlar.
Bu ve benzeri şirketler sistemlerini mevzuata uyumlu hale getirmekle yükümlüdürler.
Sorumlular: Yönetim Kurulu, Genel Müdür ve Genel Müdür Yardımcılarını ilgilendirmekle birlikte şirket bünyesinde çalışan hukuk müşavirleri, avukatlar, İnsan Kaynakları (İK) yöneticileri ve personeli, Bilgi İşlem Merkezi (IT) yöneticileri ve personeli, Halka İlişkiler Bölüm yöneticileri ve personeli, Satış ve Pazarlama Bölüm yöneticileri ve personeli, Risk, İç Denetim, Kalite, Uyum Bölüm yöneticileri.
Uyum sürecinde yapılması gerekenler
VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesi gereği, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kaydolmak zorunda. Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulu (KVKK) gözetiminde Başkanlık tarafından kamuya açık tutuluyor. Bu amaçla oluşturulan ve kısa adı VERBİS olan Veri Sorumluları Sicil Bilgi Sistemi’ne, kayıt yükümlülüğü kapsamındaki veri sorumlularınca işlemekte oldukları kişisel verilerle ilgili bilgi girişi yapılması gerekiyor.
• Sicile kayıt ve bildirim yükümlülüğü, süresinde VERBİS’e kayıt olunmasının yanısıra VERBİS’e beyan edilen bilgilerin tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde doğru, güncel ve güvenilir bilgilerin de beyan edilmesini kapsıyor.
• Kanunun 18’inci maddesinde öngörülen yaptırımlarla karşılaşmamak için Kurul tarafından belirlenen süre içerisinde kayıt yaptırmak şart.
Kanuna uyum sürecini tamamlayıp VERBİS’e kaydolmak için 50 ve üstü çalışanı olan şirketler için süreler (1) No’lu tablodaki gibidir. Faaliyet ana konusu kişisel veri işlemek olmayan ve istihdamı 50’den az olan KOBİ’ler kanun kapsamı dışındadır.
Uygulanacak para cezaları: Kişisel Verilerin Korunması Kanunu’ndaki yükümlüklerine yerine getirmeyenlere verilecek idari para cezaları (2) No’lu tabloda gösterilmiştir.
Hapis cezaları: Kişisel Verilerin Korunması Kanunu’ndaki yükümlülüklerini yerine getirmeyenlere Türk Ceza Kanunu 135 ila 140’ıncı madde hükümleri kapsamında verilecek cezalar (3) No’lu tabloda görülmektedir.
Aydınlatma Yükümlülüğü’ne dikkat!
Kişisel Verileri Koruma Kurumu, aydınlatma yükümlülüğünün yerine getirilmesi hakkında kamuoyu duyurusunu resmi web sitesinde yayınladı. Mevzuata göre veri sorumlularının “birbirinden bağımsız” yükümlülüklerinden birisi, verisi işlenen ilgili kişinin bu konu hakkında bilgilendirilmesi gerektiğidir. Veri sorumlusuna ait “aydınlanma yükümlülüğü” her durumda yerine getirilmelidir. Detaylı, hassasiyet gerektiren esas ve şekil unsurları sözkonusu. Ve uzun süredir yürürlükte bulunan bir zorunluluk.
KVKK sürecinde işletmeler nelere dikkat etmeli?
• İşletme içerisinde KVKK konusu ile ilgilenen özel bir birim veya çalışan olmalı ve/veya KVKK konusunda uzman bir profesyonel firmadan düzenli hizmet alınmalı.
• KVKK konusunda mevzuat güncel olarak sürekli takip edilmeli. 
• İşletmeler, KVKK hizmeti aldığı firmanın tecrübesine, referanslarına ve ISO 27001 bilgi güvenliği sertifikası gibi bilgi güvenliği ve kalite sertifikalarına dikkat etmeli.
• Şirketler, kişisel verileri Kanun’un belirlediği kurallar çerçevesinde kayıt altına almalı, hukuka aykırı hareket etmemeli.
• Kişilerin siyasi, felsefi, dini görüşlerini, ırki kökenlerini, cinsel yaşamlarını, sağlık durum ve sendikal bağlantılarını rıza dışı kaydetmemeli.
• İşletmeler ellerindeki kişisel verileri hukuka aykırı biçimde hiçbir kurum veya kişiyle paylaşmamalı.
• İşletmeler, süreleri geçmiş verileri yok etmeli.
KVKK uyum sürecini kolaylaştıran hizmetler ve veri güvenliğini sağlayan teknolojiler
• Yetki Matrisi
• Yetki Kontrol Erişim Logları
• Kullanıcı Hesap Yönetimi
• Ağ Güvenliği
• Uygulama Güvenliği
• Şifreleme
• Sızma Testi
• Saldırı Tespit ve Önleme Sistemleri
• Log Kayıtları
• Veri Maskeleme
• Veri Kaybı Önleme Yazılımları
• Yedekleme
• Güvenlik Duvarları
• Güncel Anti-Virüs Sistemleri
• Silme, Yok Etme veya Anonim Hale Getirme
• Anahtar Yönetimi
• İdari Tedbirler
• Kişisel Veri İşleme Envanteri Hazırlanması
• Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
• Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında)
• Gizlilik Taahhütnameleri
• Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi
• Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
• Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
• Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
• Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) Bildirim.
Yeni Normal’de dikkat edilmesi gerekenler:
• Covid-19 Salgını ve ‘Yeni Normal’ sürecinde KVKK daha da önemli hale geldi. E-ticaretin daha da yaygınlaştığı, uzaktan çalışma modelinin iş hayatının odağına yerleştiği günümüzde tüm işletmeler için “siber güvenlik” hayati önem kazandı. İşletmelerin özellikle siber güvenlik önlemlerini bir an önce alması ve KVKK konusunda profesyonel bir danışmanlık hizmetini tercih etmesi; veri güvenliği, cezai yaptırımlar, verimlilik ve işletmenin sürdürülebilirliği açısından çok önemli.
• İşletmeler, Kanun’un belirlediği çerçevede “aydınlatma yükümlülüğünü” yerine getirmeli, veri güvenliğine ilişkin yükümlülükleri yerine getirmeli, VERBİS’e kayıt olmalı.
“Doğru Bilinen Yanlışlar”
KVKK kapsamında kişisel verilerin korunması mevzuatında yer alan bazı temel konularda kamuoyunda farkındalık oluşması amacıyla Kişisel Verileri Koruma Kurumu tarafından “Doğru Bilinen Yanlışlar” kitapçığı hazırlandı ve Kurum internet sayfasında yayınlandı. Kitapçığa kurumun internet sayfasında “Yayınlar” menüsü altında yer alan “Diğer Dokümanlar” başlığı aracılığıyla veya https://kvkk.gov.tr/Icerik/5383/Diger-Dokumanlar linki ile giriş yaparak ulaşılabiliyor.
Ayrıca Kişisel Verileri Koruma Kurumu, “Yurt dışına kişisel veri aktarımında hazırlanacak taahhütnamelerde dikkat edilmesi gereken hususları” da kurumun resmi web sitesinden paylaştı.
KVKK’dan “Unutulma Hakkı” düzenlemesi
Kişisel Verileri Koruma Kurumu (KVKK) kişilerin ad ve soyadı ile arama motorları üzerinden yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına yönelik talepler hakkında kamuoyu duyurusu yaptı.
İsminin arama motorunda yer almasını istemeyenler Kişisel Verilerin Korunması Kurulu’na başvurabilecek. Kurul belirlediği kriterler kapsamında kişinin haklı olup olmadığına karar verecek. Kurula başvurmakla birlikte yasal bir süreç de aynı anda yürütülebilecek.
KVKK’dan yapılan açıklamada “unutulma hakkı”nın Anayasa’nın 20. Maddesinin üçüncü fıkrası gereği arama motorlarında yer almamayı istemek anayasal bir hak olarak yorumlandı.;
Arama motorları kişiler hakkındaki verileri server’larında saklayıp endeksledikleri için veri sorumlusu olarak kabul edildi. Arama motorlarının kişisel verileri işleme faaliyetinde bulunduğu belirtilen açıklamada, kişinin önce arama motoruna başvurması gerektiğini buradan sonuç alınamadığında kurula başvurabileceği ifade edildi.
E-Data Teknoloji: “KVKK’yı bilmeden, uyum sağlayamazsınız”
E-Data Teknoloji, “İş Sürekliliği” kavramında önemli bir yeri olan ve distribütörü olduğu bilgi güvenliği ürünleri ile Türkiye’nin dijitalleşmesi ve dijital dönüşümüne katkı sağlama çalışmalarını son hızla sürdürüyor.
E-Data Teknoloji, 2008 yılında distribütör olarak kurulmuş, kurulduğu günden bugüne kadar her zaman iş ortakları ile çözümler üretmiştir. Şirket bugün; Ankara ve İstanbul ofisleri ile Karadeniz ve Ege bölge kanal yöneticileriyle tüm Türkiye ve KKTC’de bulunan 800’den fazla iş ortağıyla her sektörde ve büyüklükteki firma ve kurumlara hizmet veriyor. E-Data Teknoloji, distribütörlüğünü üstlendiği her ürünü, bir çözümün parçası olarak görüyor. Örneğin; şirketin distribütörlüğünü yaptığı ilk markalarından biri olan Lexmark, yazıcı olmanın ötesinde güvenli baskı teknolojisi üreten bir marka olarak konumlandırılıyor.
“KVKK Farkındalık Eğitimleri”
Kişisel Verilerin Korunması Kanunu yürürlüğe girdiği ilk günden itibaren KVKK, GDPR, ISO27001 ve ISO22301 ile ilgili eğitimler ve sertifikalar alan şirket, hangi ürünün hangi teknik tedbir için kullanılabileceğini tespit ederek, tüm sunum ve hazırlıklarını buna göre yaptı. Eğitimlerin tamamlandığı günden itibaren de iş ortaklarına ve onların müşterilerine KVKK Farkındalık Eğitimleri vermeye başladı. “Ürün satmak değil, çözüm üretmek için” çalışan şirketin, verdiği eğitimlerde teknik tedbirler için gerekli çözümlerini anlattığı bölüm, toplam eğitim süresinin dörtte birinden azdır.
İki bölümden oluşan “KVKK Farkındalık Eğitimleri”ne katılanlar Kişisel Verilerin Korunması hakkında genel bilgiye, şirketlerinin VERBİS kaydıyla ilgili neler yapmaları gerektiğine, uyum projesi safhalarının ne olduğuna ve bunları nasıl yapabileceklerine ve hangi teknik tedbirleri almaları gerektiğine dair bilgiler alıyor. Eğitimlere katılanlar çok az destek ile kendi şirketlerinin uyum sürecini yönetebilecekleri gibi bir danışmandan neleri isteyeceklerine dair de kapsamlı bilgi sahibi oluyor. “Tedbirler hakkında bilginiz yoksa, danışmandan ne talep edeceğinizi de bilemezsiniz” mottosuyla eğitim veren E-Data Teknoloji’nin önceliği, firma ve kurumları KVKK hakkında bilgilendirmek ve kendileri için gereksiz ürün maliyetine katlanmalarının önüne geçmek.