KVKK Yükümlülüğü Nedir, Nasıl Ortaya Çıkmıştır?
KVKK yükümlülüğü, teknoloji ile birlikte hayatımıza giren elektronik işlemler, online hizmet ve ürün satışları, kamu ve özel sektör süreçlerinde kişisel verilerin yoğun biçimde işlenmesi sonucunda ortaya çıkan toplumsal ve bireysel bir ihtiyaçtan doğmuştur. Kişisel veriler; kişinin adı-soyadı, kimlik bilgileri ile sınırlı olmayıp, iletişim, mali, sağlık ve pek çok özel nitelikli bilgiyi de kapsar.
2010 yılında Kanun-ı Esasi’de kişisel verilerin güvence altına alınması ile başlayan süreç, 07.04.2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girmesiyle somut bir çerçeveye kavuşmuştur. Artık şirketler ve kamu kurumları için kişisel veri işleme faaliyetleri, sadece teknik bir süreç değil; hukuki sorumluluk ve ciddi yaptırımları olan bir yükümlülük alanıdır.
KVKK; elektronik ortamda işlenen kişisel verilerin korunması için şirket ve kamu kurumlarına veri sorumluluğu, aydınlatma yükümlülüğü ve veri güvenliği yükümlülüğü getirmiştir. İlgili kişiler; verilerinin işlenip işlenmediğini öğrenme, düzeltilmesini, silinmesini veya anonim hale getirilmesini talep etme hakkına sahiptir. Veri sorumluları ise bu talepleri karşılamak ve kişisel verileri korumak için gerekli teknik ve idari önlemleri almak zorundadır.
1. KVKK Yükümlülüğü Nasıl Ortaya Çıkmıştır?
Şirket ve kamu kurumlarının KVKK yükümlülüğü, teknolojik ortamda gerçekleştirilen hizmet ve ürün satışları, online işlemler ve e-devlet uygulamalarının artması ile birlikte ortaya çıkan kişisel veri güvenliği ihtiyacının doğal bir sonucudur. Günümüzde:
- Ad–soyad, T.C. kimlik numarası, iletişim ve adres bilgileri,
- Mali veriler, giriş-çıkış kayıtları, erişim logları,
- Sağlık, özel hayat, alışkanlıklar, konum ve benzeri hassas veriler
çoğunlukla elektronik ortamda işlenmekte, saklanmakta ve aktarılmaktadır.
2010 yılında Kanun-ı Esasi’de yapılan düzenleme ile kişisel verilerin korunması anayasal güvence altına alınmış; bu anayasal temelin üzerinde ise 2016 yılında 6698 sayılı KVKK yürürlüğe girerek somut yükümlülükleri ve yaptırımları düzenlemiştir. Böylece veri işleyen taraflar için “iyi niyetli olmak” tek başına yeterli olmaktan çıkmış, kanunla belirlenen açık yükümlülükler gündeme gelmiştir.
2. İşlemlerin Artması ile KVKK Ne Getirdi?
Kişisel verilerin korunması kanunu; elektronik ortamda yapılan işlemlerin ve veri yoğunluğunun artması sonucu, firmalar ve kamu kurumları için yeni bir sorumluluk seti oluşturmuştur. KVKK uyarınca:
- Şirketlerin ve kamu kurumlarının veri sorumlusu sıfatı netleştirilmiş,
- Veri sorumluları, Kişisel Verileri Koruma Kurumu (KVKK Kurumu) tarafından belirlenen düzenlemelere ve denetimlere tabi kılınmış,
- Kanun hükümleri yanında, ikincil mevzuat ve Kurul kararlarının da izlenmesi ve uygulanması zorunlu hale gelmiştir.
Bu kapsamda veri sorumluları, kanunun öngördüğü koşulları sağlayarak gerekli hallerde:
- Veri Sorumluları Sicili’ne (VERBİS) kayıt olmak,
- Veri işleme faaliyetlerini şeffaf şekilde dokümante etmek,
- Teknik ve idari güvenlik önlemlerini hayata geçirmek
ile yükümlüdür.
3. Şirket ve Kamu Kurumlarının KVKK Yükümlülükleri
KVKK; özel sektör şirketleri ve kamu kurumlarına ortak bir çerçeve çizerek, kişisel veri işleme faaliyetlerini belli ilkelere bağlamıştır. Veri sorumlularının temel yükümlülükleri özetle:
- Aydınlatma yükümlülüğü: İlgili kişilere, verilerinin hangi amaçlarla, hangi hukuki sebebe dayanılarak, kimlere ve ne kadar süreyle işleneceğine dair bilgi verilmesi.
- İlgili kişi haklarına cevap verme yükümlülüğü: KVKK madde 11 kapsamında yapılan başvurulara süresi içinde yanıt verilmesi.
- Veri güvenliği yükümlülüğü: Kişisel verilerin hukuka aykırı erişim, ifşa, kayıp veya sızıntıya karşı korunması için gerekli teknik ve idari tedbirlerin alınması.
- Kayıt ve dokümantasyon: Uygulanabilir hallerde VERBİS’e kayıt, veri envanteri ve işleme faaliyetlerinin dokümante edilmesi.
Bu yükümlülükler, “veri sorumlusu” sıfatını taşıyan gerçek veya tüzel kişinin, kişisel veri işleme süreçlerine hâkim olmasını ve bunları denetlenebilir şekilde yönetmesini zorunlu kılar.
4. Aydınlatma Yükümlülüğü ve İlgili Kişinin Hakları
Veri sorumluları için en temel yükümlülüklerden biri, aydınlatma yükümlülüğüdür. Bu kapsamda veri sorumlusu veya yetkili temsilcisi, kişisel verileri işlenen ilgili kişiye:
- Veri işleme amacını ve bu amaca dayanak oluşturan hukuki sebebi,
- Verilerin yurtiçi ve yurtdışına aktarılıp aktarılmayacağını, kimlere hangi amaçla aktarılacağını,
- Veri toplamanın yöntemini ve hukuki sebebini,
- İlgili kişinin KVKK madde 11 kapsamındaki haklarını
açık ve anlaşılır biçimde bildirmek zorundadır.
Bu çerçevede ilgili kişi;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- Verilerin işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
- Eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini talep etme,
- İşleme amacının veya ilgili sürenin sona ermesi hâlinde verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme,
haklarına sahiptir. Veri sorumluları ise, bu taleplerin iletilmesi hâlinde kanunda öngörülen süre ve usullere uygun şekilde cevap vermekle yükümlüdür.
Ayrıca; aydınlatma metinlerinde ve VERBİS kayıtlarında belirtilen amaç ve kapsam ile fiili işleme faaliyetleri arasında tutarlılık olması esastır. Sicile kayıt sırasında beyan edilen amaçların dışında veri işlenmesi, KVKK’ya aykırılık riski doğurur.
5. Veri Güvenliği Yükümlülüğü
KVKK’nın en kritik alanlarından biri de veri güvenliği yükümlülüğüdür. Kanuna aykırı yollarla kişisel verilere erişilmesi, verilerin sızdırılması, izinsiz paylaşılması veya kötüye kullanılması durumunda, hem ilgili kişi hem de veri sorumlusu için ciddi sonuçlar ortaya çıkabilir.
Veri sorumluları; kişisel verilerin:
- Hukuka aykırı olarak işlenmesini önlemek,
- Hukuka aykırı olarak erişilmesini engellemek,
- Kaybolması, bozulması, değiştirilmesi, ifşa olması veya izinsiz paylaşılması riskine karşı korumak
için gerekli teknik ve idari tedbirleri almak zorundadır.
Bu kapsamda;
- Ağ ve uygulama güvenliği,
- Erişim yetkilendirme ve kayıt yönetimi,
- Şifreleme, loglama, yedekleme ve güncelleme politikaları,
- Çalışanlara yönelik gizlilik taahhütleri ve KVKK farkındalık eğitimleri
gibi önlemler; veri sorumlusunun sorumluluk alanına girer. Ayrıca veri sorumlusunun sır saklama yükümlülüğü de bulunmakta; kişisel verilerin yetkisiz üçüncü kişilerle paylaşılması yasaklanmaktadır.
6. KVKK Danışmanlık Hizmetleri ve NESİL TEKNOLOJİ
KVKK; elektronik ortamda kişisel verilerin korunmasına yönelik güçlü ve detaylı bir düzenleme getirmektedir. Bu düzenlemelere uyulmaması hâlinde, veri sorumluları önemli idari para cezaları ve diğer yaptırımlarla karşılaşabilir. Bu nedenle, hem gerçek kişiler hem de özel veya kamu tüzel kişileri için profesyonel ve günceli takip eden KVKK danışmanlığı büyük önem taşır.
NESİL TEKNOLOJİ olarak:
- KVKK yükümlülüklerinizin tespit edilmesi,
- Veri envanteri ve süreç analizlerinin yapılması,
- Aydınlatma metni, açık rıza metni ve politika dokümanlarının hazırlanması,
- Teknik ve idari güvenlik tedbirlerinin planlanması,
- Çalışanlarınıza KVKK farkındalık eğitimleri verilmesi
gibi alanlarda size uçtan uca destek sunuyoruz. Böylece kişisel verilerin saklanması, işlenmesi, aktarılması ve yok edilmesi süreçlerinde hem yasal yükümlülüklerinizi yerine getirmenize hem de veri güvenliği kültürünüzü güçlendirmenize yardımcı oluyoruz.
7. Sık Sorulan Sorular
KVKK hangi kurum ve kişilere uygulanır?
KVKK; Türkiye’de yerleşik olan veya Türkiye’de kişisel veri işleyen tüm gerçek ve tüzel kişilere uygulanır. Sadece kişisel verisi işlenen gerçek kişiler kanunla korunur; veri işleyen tarafta ise hem şirketler hem kamu kurumları hem de serbest meslek mensupları veri sorumlusu sıfatıyla yükümlüdür.
KVKK’ya uyulmaması halinde ne tür yaptırımlar vardır?
KVKK’ya aykırı veri işleme, aydınlatma yapmama, veri güvenliği tedbirlerini almama gibi ihlaller; idari para cezaları, veri işleme faaliyetlerinin durdurulması ve bazı durumlarda ceza hukuku yaptırımları ile sonuçlanabilir. Ayrıca itibar kaybı ve sözleşmesel riskler de ortaya çıkar.
KVKK yükümlülüğü için şirketin büyüklüğü önemli midir?
KVKK kapsamına girmek için belirli bir çalışan sayısı veya ciro şartı aranmaz; kişisel veri işleyen her veri sorumlusu kanuna uymak zorundadır. Ancak VERBİS’e kayıt zorunluluğu açısından bazı eşik değerler ve Kurul tarafından belirlenen istisnalar söz konusu olabilir.
KVKK uyumu için nereden başlamak gerekir?
İlk adımda; veri işleme faaliyetlerinin haritalandığı bir kişisel veri envanteri çıkarılmalı, işleme amaçları ve hukuki sebepler belirlenmelidir. Ardından aydınlatma metinleri, politika ve prosedürler hazırlanarak teknik ve idari güvenlik tedbirleri planlanmalıdır.
Aydınlatma metni ile açık rıza metni aynı şey midir?
Hayır. Aydınlatma metni ilgili kişiye bilgi vermeye yönelik, tek taraflı bir bilgilendirme metnidir. Açık rıza ise ilgili kişinin belirli bir işleme faaliyeti için özgür iradesiyle verdiği onayı ifade eder. Her veri işleme faaliyeti için açık rıza gerekmeyebilir; öncelikle kanundaki diğer hukuki sebepler değerlendirilmelidir.
KVKK danışmanlığı almak zorunlu mudur?
Hukuken zorunlu olmasa da, KVKK uyumu; hukuk, süreç ve teknik güvenlik bileşenlerini bir arada
barındıran çok disiplinli bir çalışmadır. Hatalı veya eksik uygulamalar ciddi
yaptırımlara yol açabileceği için birçok kurum,
