banner345

Şirketler dikkat: Ağır para ve hapis cezaları var: Kişisel Verilerin Korunması

Müşteri verilerini koruyamayan veya başkalarıyla paylaşan şirketleri 1 milyon TL’ye kadar para, 4.5 yıla kadar hapis cezaları bekliyor. Şirketler derhal teknik ve idari eksikleri giderip VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) başvurmalıdır.

DOSYA 01.02.2020, 07:57 21.02.2020, 10:19 KobiEfor
16128
Şirketler dikkat: Ağır para ve hapis cezaları var: Kişisel Verilerin Korunması

Kişisel verilerin korunması artık, şirketler için hayati önemde. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 24 Mart 2016 tarihinde TBMM’de (Türkiye Büyük Millet Meclisi) kabul edildi; 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete’de yayımlandı; tanınan uyum süresi de 31.12.2019’da sona erdi; kanundan doğan sorumluluklarımız ve haklarımız başladı. Bu süreçte şirketler, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) başvurup kayıt olmaları gerekiyor. Kişiel Verileri Koruma Kurumu (KVKK) VERBİS’e kayıt süresinin uzatıldığını duyurdu. Bu anlamda 2020 şirketler için kritik ve çok dikkatli olunması gereken bir yıl. Okurlarımızı aydınlatmayı görev sayıyoruz.
Kişisel veri nedir?: Kanuna göre “kişisel veri”nin tanımı şöyle: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.”
Kanunun amacı: Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kanunun kapsamı: Kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.
Örneğin; müşterilerin, bayilerinin ve personellerinin adı, soyadı, cep telefonu, e-posta, TC kimlik numarası, adres, fotoğraf, kimlik fotokopisi ve benzeri diğer bilgilerini kaydeden ve işleyen şirketler bu kapsamdadır.
İşlenmesi yasak özel veriler: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri; ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Kanuna tabi şirketler: Aşağıdaki sektörlerden 50 ve üstü istihdamı olan şirketler, Kişisel Verilerin Korunması Kanunu kapsamındadır;
• Oteller,
• Alışveriş merkezleri AVM’ler,
• Apartman Site Yönetim şirketleri,
• Müşteri sadakat kart uygulaması olan şirketler,
• Fabrikalar,
• Temizlik ve güvenlik personel hizmeti şirketleri,
• Satış ve pazarlama yapan şirketler,
• Ajanslar,
• Özel okullar ve üniversiteler,
• Hastaneler ve tıp merkezleri,
• E-ticaret kuruluşları,
• Bankalar,
• Ödeme ve elektronik para kuruluşları,
• Kargo şirketleri,
• Elektrik, su, doğalgaz, telefon, internet, uydu televizyon yayıncılığı abonelik sistemiyle çalışan kuruluşlar.

Bu ve benzeri şirketler sistemlerini mevzuata uyumlu hale getirmekle yükümlüdürler.

Kanuna uyum sürecinde yapılması gerekenler
VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesi gereği, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kaydolmak zorunda. Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulu (KVKK) gözetiminde Başkanlık tarafından kamuya açık tutuluyor. Bu amaçla oluşturulan ve kısa adı VERBİS olan Veri Sorumluları Sicil Bilgi Sistemi’ne, kayıt yükümlülüğü kapsamındaki veri sorumlularınca işlemekte oldukları kişisel verilerle ilgili bilgi girişi yapılması gerekiyor.
Başvuru formlarının Başkanlığa iletilmesi ile yeterli değil. İrtibat kişisi tarafından “Sicile kayıt” butonu ile giriş yapılarak bildirimin tamamlanması ve sistem üzerinden iletilmesi şart. Veri sorumlularının, önce VERBİS’e giriş yaparak başvuru formunu sistem üzerinden oluşturması ve bu formu Kuruma kargo / posta / elden iletilmesi veya Kayıtlı Elektronik Posta (KEP) aracılığıyla iletmesi gerekli. Başvuru formunun iletilmesi üzerine Kurum tarafından kendisine iletilen “kullanıcı adı” ve “parola” ile VERBİS’e giriş yaparak bildirimi gerçekleştirmeli.
• Sicile kayıt ve bildirim yükümlülüğü, süresinde VERBİS’e kayıt olunmasının yanısıra VERBİS’e beyan edilen bilgilerin tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde doğru, güncel ve güvenilir bilgilerin de beyan edilmesini kapsıyor.
• Kanunun 18’inci maddesinde öngörülen yaptırımlarla karşılaşmamak için Kurul tarafından belirlenen süre içerisinde kayıt yaptırmak şart.
• Kanuna uyum sürecini tamamlayıp VERBİS’e kaydolmak için 50 ve üstü çalışanı olan şirketler için süreler 1 numaralı tablodaki gibidir. Faaliyet ana konusu kişisel veri işlemek olmayan ve istihdamı 50’den az olan KOBİ’ler kanun kapsamı dışındadır.
Detaylı bilgi için: www.kvkk.gov.tr

Sorumlular: Yönetim Kurulu, Genel Müdür ve Genel Müdür Yardımcılarını ilgilendirmekle birlikte şirket bünyesinde çalışan hukuk müşavirleri, avukatlar, İnsan Kaynakları (İK) yöneticileri ve personeli, Bilgi İşlem Merkezi (IT) yöneticileri ve personeli, Halka İlişkiler Bölüm yöneticileri ve personeli, Satış ve Pazarlama Bölüm yöneticileri ve personeli, Risk, İç Denetim, Kalite, Uyum Bölüm yöneticileri.
Uygulanacak para cezaları: Kişisel Verilerin Korunması Kanunu’ndaki yükümlüklerine yerine getirmeyenlere verilecek idari para cezaları 2 numaralı tabloda gösterilmiştir.
Hapis cezaları: Kişisel Verilerin Korunması Kanunu’ndaki yükümlülüklerini yerine getirmeyenlere Türk Ceza Kanunu 135 ila 140’ıncı madde hükümleri kapsamında verilecek cezalar 3 numaralı tabloda görülmektedir.

Teknik ve idari tedbirler
• Yetki Matrisi
• Yetki Kontrol Erişim Logları
• Kullanıcı Hesap Yönetimi
• Ağ Güvenliği
• Uygulama Güvenliği
• Şifreleme
• Sızma Testi
• Saldırı Tespit ve Önleme Sistemleri
• Log Kayıtları
• Veri Maskeleme
• Veri Kaybı Önleme Yazılımları
• Yedekleme
• Güvenlik Duvarları
• Güncel Anti-Virüs Sistemleri
• Silme, Yok Etme veya Anonim Hale Getirme
• Anahtar Yönetimi
• İdari Tedbirler
• Kişisel Veri İşleme Envanteri Hazırlanması
• Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
• Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında)
• Gizlilik Taahhütnameleri
• Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi
• Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
• Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
• Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
• Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) Bildirim.

Genel Veri Koruma Yönetmeliği (GDPR-General Data Protection Regulation)
Veri koruma mevzuatımız Avrupa Birliği (AB) ile uyum sürecinde şekilleniyor. Avrupa genelinde AB vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş yönetmelik izlenmektedir. 25 Mayıs 2018 tarihinden itibaren Avrupa Birliği'ne üye ülkelerde yürürlüğe giren GDPR, Avrupa Birliği’ne üye ülkelerde büyük kurum ve kuruluşlarda var olan kişisel verilerin yönetmelikte belirtilen kurallar çerçevesinde güvenliğini sağlamaya ilişkindir.
GDPR (Genel Veri Koruma Yönetmeliği) Avrupa Birliği sınırları içerisindeki vatandaşlarının kişisel verilerini barındıran bütün işletmeleri kapsar. Şirketin konumu Avrupa Birliği sınırları içerisinde bulunmasa dahi bu vatandaşların verilerini topladığı için yönetmelikten sorumlu tutulmaktadır.
Hiçbir kişisel veri, yönetmelikte belirtildiği şekilde yapılmadığı veya ilgili kişiden (kişisel veri sahibinden) açık bir onay almadığı sürece işlenemez. İlgili kişi bu izni istediği zaman iptal etme hakkına sahip olmaktadır. GDPR geçmişte saklanmış verileri de kapsamaktadır. Genel Veri Koruma Tüzüğü GDPR maddelerine uyum sağlamayan işletmeleri ciddi ceza ve yaptırımlar beklemektedir.
Kişisel veriler şunlardır:
• İsim, adres, kimlik numarası
• Konum, Ip adresi, cookie bilgileri vb. internet verileri
• Fiziksel görünüme ait veriler ve biyometrik veriler
• Irk köken bilgileri
• Siyasi görüş
• Tıbbi veriler vb.

Kullanıcı profili oluşturan forum siteleri, ürün satışı yapıp kullanıcı verileri kaydeden e-ticaret siteleri, yorum yapma izni veren wordpress sitesi vb. siteler GDPR’dan etkilenmektedir.
Püf noktaları:
• AB sınırları içerisinde yaşayan bireylerin verilerini işleyen şirketlerin nerde bulunduğu önemli değildir. AB’ye üye ülkelerin vatandaşlarının verilerini işleyen tüm işletmeler konumu ne olursa olsun bu yönetmelikten sorumludur.
• Yönetmeliğe uyumlu olmayan siteler için yüksek miktarlarda ceza kesilebilir.
• Kullanıcıdan kişisel verileri alınırken basit bir sistemle ve kolay anlaşılır bir şekilde onayı alınmalı ve iptali de bu şekilde gerçekleştirilmelidir.
• Şirketler için ihlal bildirimleri zorunlu tutulmaktadır.
• Kullanıcıların hangi verilerinin alındığına, nerelerde nasıl kullanıldığını, ne kadar süreyle tutulacağını bilme hakkına sahiptirler.
• Kullanıcılar kaydedilen verileri erişim hakkına ve verilerini güncelleme hakkına veya silme hakkına sahiptir. Veriler üstünde kısıtlama da getirebilirler.

İDARİ SUÇ                               PARA CEZASI
• Aydınlatma yükümlülüğünü      5.000-100.000 TL yerine getirmeyenler
• Veri güvenliğine ilişkin             15.000-1.000.000 TL yükümlülükleri yerine getirmeyenler
• Kurul tarafından verilen           25.000-1.000.000 TL kararları yerine getirmeyenler
• Veri Sorumluları Sicili’ne kayıt  20.000 -1.000.000 TL ve bildirim yükümlülüğüne aykırı  hareket edenler

SUÇ  CEZA 

Kişisel verileri hukuka aykırı 1 yıldan 3 yıla hapis kaydetmek
Kişilerin siyasi, felsefi, dini görüşlerini,ırki kökenlerini, cinsel  yaşamlarını, sağlık durum ve 1.5-4.5 yıl hapis sendikal bağlantılarını rıza dışı kaydetmek.
Kişisel verileri, hukuka aykırı 2-4 yıl hapis olarak bir başkasına vermek
Süreleri geçmiş verileri 1-2 yıl hapis yoketmemek
Kamu görevini kullanarak Süreleri geçmiş verileri 1.5-3 yıl hapis yoketmemek
Veri Sorumluları Kayıt Yükümlülüğü

Başlangıç Tarihi Kayıt Yükümlülüğü
Son Tarihi Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı
25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları 01.10.2018 30.06.2020 Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları 01.10.2018 30.06.2020 Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri  VERBişleme olan gerçek ve tüzel kişi veri sorumluları01.01.201930.09.2020Kamu kurum ve kuruluşu veri sorumluları01.04.201931.12.2020

Yorumlar (0)
10°
kapalı
Namaz Vakti 30 Mart 2020
İmsak 05:17
Güneş 06:44
Öğle 13:14
İkindi 16:46
Akşam 19:34
Yatsı 20:55
Puan Durumu
Takımlar O P
1. Trabzonspor 26 53
2. Başakşehir 26 53
3. Galatasaray 26 50
4. Sivasspor 26 49
5. Beşiktaş 26 44
6. Alanyaspor 26 43
7. Fenerbahçe 26 40
8. Göztepe 26 37
9. Gaziantep FK 26 32
10. Denizlispor 26 31
11. Antalyaspor 26 30
12. Gençlerbirliği 26 28
13. Kasımpaşa 26 26
14. Konyaspor 26 26
15. Malatyaspor 26 25
16. Çaykur Rizespor 26 25
17. Ankaragücü 26 23
18. Kayserispor 26 22
Takımlar O P
1. Hatayspor 28 53
2. Erzurum BB 28 47
3. Bursaspor 28 46
4. Adana Demirspor 28 45
5. Akhisar Bld.Spor 28 45
6. Fatih Karagümrük 28 43
7. Altay 28 43
8. Ümraniye 28 40
9. Giresunspor 27 38
10. Keçiörengücü 28 35
11. Balıkesirspor 28 35
12. Menemen Belediyespor 28 35
13. İstanbulspor 27 33
14. Altınordu 28 31
15. Boluspor 28 25
16. Osmanlıspor 28 24
17. Adanaspor 28 20
18. Eskişehirspor 28 17
Takımlar O P
1. Liverpool 29 82
2. Man City 28 57
3. Leicester City 29 53
4. Chelsea 29 48
5. M. United 29 45
6. Wolverhampton 29 43
7. Sheffield United 28 43
8. Tottenham 29 41
9. Arsenal 28 40
10. Burnley 29 39
11. Crystal Palace 29 39
12. Everton 29 37
13. Newcastle 29 35
14. Southampton 29 34
15. Brighton 29 29
16. West Ham 29 27
17. Watford 29 27
18. Bournemouth 29 27
19. Aston Villa 28 25
20. Norwich City 29 21
Takımlar O P
1. Barcelona 27 58
2. Real Madrid 27 56
3. Sevilla 27 47
4. Real Sociedad 27 46
5. Getafe 27 46
6. Atletico Madrid 27 45
7. Valencia 27 42
8. Villarreal 27 38
9. Granada 27 38
10. Athletic Bilbao 27 37
11. Osasuna 27 34
12. Real Betis 27 33
13. Levante 27 33
14. Deportivo Alaves 27 32
15. Real Valladolid 27 29
16. Eibar 27 27
17. Celta de Vigo 27 26
18. Mallorca 27 25
19. Leganés 27 23
20. Espanyol 27 20