6698 sayılı Kişisel Verilerin Korunması Kanunu kişisel verilerin işlenmesinde özel hayatın gizliliği ve kişilerin temel hak ve özgürlüklerini korumak amacıyla şirketlere ve veri sorumlularına bazı yükümlülükler getiriyor. Bu kanuna uymayanlar 1 Milyon Türk Lirası’na kadar idari para cezalarına ve hapis cezalarıyla karşılaşacaklar.

Konuyla ilgili haber sitemize açıklama yapan KoçArslan Hukuk Bürosu’na göre süreç şu şekilde işleyecek:

KVKK NEDİR?

24/03/2016 tarih ve 6698 sayılı kanun ile hem kamunun hem de özel sektörün kişisel verileri ne şekilde işleyebileceğinin esasları düzenlenmiştir.

Kişisel verilerin; elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması veya sınıflandırılması gibi her türlü işlem kişisel veri işleme olarak kabul edilmektedir ve Kanun’da düzenlenen kurallara uygun olmalıdır. Bu durumda kişisel veriler ancak veri sahibini aydınlatmak sureti ile açık rızası alınarak, belli bir amaç ve süre ile sınırlı ve hukuka uygun bir şekilde işlenebilecektir.

İhlalin niteliğine göre yükümlülükleri yerine getirmeyen kurumlar, vaka başına bir milyon TL’ye varan para cezaları, hukuka aykırı veri işleyenler ise 1 yıldan 4 yıla kadar hapis cezaları ile karşı karşıya kalabilirler.
 

KVKK YÜKÜMLÜLERİ KİMLERDİR?

“Türkiye’de faaliyet gösteren ve gerçek kişi verisi işleyen Emniyet ve İstihbarat Kurumları Dışındaki Tüm Resmi/Özel gerçek ve tüzel kişileri kapsamaktadır.”  denilmekle veri işleyen herkes kanun kapsamında sorumlu gösterilmektedir. Ancak VERBİS yani “Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğüne Aykırılık” yükümlülüğü sadece bazı veri sorumluları için geçerli olacak ve bu kayıt yükümlülüğünü belirlenen tarihlerde yerine getirmeyenler 1 Ocak 2020’den itibaren 1 Milyon TL’ye kadar idari para cezası ile karşı karşıya kalacaklardır. Bunlar:
 

1. *Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları 01.10.2018 - 31.12.2019,
2. *Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu *özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 - 31.03.2020,
3. Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 - 30.06.2020

KVKK YAPTIRIMLARI

Hapis Cezaları

• *Kişisel verilerin hukuka aykırı olarak kaydedilmesi: 1-3 Yıl
• *Kişisel verileri hukuka aykırı olarak başkasına verme, yayma, ele geçirme: 2-4 Yıl
• *Kişisel verileri, belirli sürenin geçmesine karşın yok etmeme: 1-2 Yıl

İdari Para Cezaları

• *Aydınlatma Yükümlülüğünün İhlali: 5.000TL-100.000TL
• *Veri Güvenliği Yükümlülüğünün İhlali: 15.000TL-1.000.000TL
• *Kişisel Verileri Koruma Kurulu Kararlarına Muhalefet: 25.000TL-1.000.000TL
• *Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğüne Aykırılık: 20.000-1.000.000TL

ALINMASI GEREKEN TEDBİRLER NELERDİR?

KoçArslan Hukuk Bürosu, konuyla ilgili alınması gereken tedbirleri 3 konu başlığı altında ele aldıklarını söyleyerek, buna göre; aynı zamanda Siber Güvenlik Uzmanı olan Avukat Yusuf Enes ARSLAN, ilk olarak Hukuki-İdari tedbirler kapsamında;

• *Veri sorumlusu firmanın bütün hukuki sözleşmelerinin incelenerek KVK Kanunu’na uyumlu hale getirilmesinin,
• *Kişisel Veri İşleme Envanterinin hazırlanmasının,
• *Veri işleme, saklama, imha etme, gizlilik, erişim, bilgi güvenliği gibi kurumsal politikaların hazırlanmasının,
• *Gizlilik taahhütlerinin ve sözleşmelerinin hazırlanmasının,
• *İş sözleşmelerinin, disiplin yönetmeliğinin kanuna uyumlu hükümlerle güncellenmesinin,
• *Açık rıza, rıza geri alma, bilgilendirme, 11. Madde gereği başvuru formunun ve ilgili metinlerin hazırlanmasının,
• *Risk analizlerinin yapılarak kurum içi periyodik ve rastgele denetimlerin yapılmasının,
• *Kriz yönetimi, kurul ve ilgili veri sahibini bilgilendirme süreçlerinin, itibar yönetiminin yapılmasının,
• *VERBİS kaydının yapılmasının,
• *Teknik ve hukuki konularda personelin eğitim ve farkındılık süreçlerinin yapılmasının gerekli olduğunu ifade etti.

Teknik Tedbirler kapsamında ise;

• *Ağ ve uygulama güvenliklerinin sağlanması,
• *Yetki kontrollerinin, yetki matrisinin, anahtar yönetimi, veri maskeleme tekniklerinin hayata geçirilmesi,
• *Erişim ve diğer log kayıtlarının mevzuata uygun şekilde tutulması,
• *Saldırı tespit ve önleme sistemlerinin kurularak, güvenlik sızma testlerinin (pentest) yapılmasını,
• *Güvenlik duvarları, güncel anti-virüs sistemleri, yedekleme sistemlerinin kontrolü ve kurulumu,
• *Silme, yok etme veya anonim hale getirme süreçlerinin uygulanmasını,
• *Veri kaybı önleme yazılımlarının kurulması ve kontrol edilmesi gerekmektedir.

2 konu başlığına ek olarak KoçArslan Hukuk Bürosu;
Türkiye’de ilk defa uygulanmasını düşündükleri özel bir sigorta poliçesi ile ilgili sigorta şirketleri ile görüştüklerini ve bu kapsamda veri sorumlusunun her türlü hukuki ve güvenlik önlemini alsa dahi sorumluluğu devam eden veri sızıntısı veya ihlalinden dolayı karşı karşıya kalacağı idari para cezasının sigorta şirketi tarafından karşılanacağını ifade ederek veri sorumlularına bu düzeyde bir siber güvenlik sigortası yapması gerektiği konusunda tavsiyelerde bulundular.