KVKK Hakkında Bilinmesi Gerekenler  20Ağustos

KVKK Hakkında Bilinmesi Gerekenler

Bilgi teknolojilerinin yaygınlaşması, bazı güvenlik risklerini de beraberinde getiriyor. Bireylerin yanı sıra, kurumların bilgi güvenliği konusunda alması gereken bir dizi tedbir bulunuyor. Kişisel Verileri Koruma Kanunu (KVKK), tam da bu noktada risklerin ortadan kaldırılmasına önemli katkı sağlıyor. Blog yazımızda KVKK hakkında bilinmesi gerekenler konusunu masaya yatırıyoruz.

 

7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Korunması Kanunu; veri işleme faaliyetlerinin, kişinin temel hak ve özgürlüklerine zarar vermeyecek şekilde yapılmasını sağlıyor. Kanun, veri işleme faaliyetlerinin şeffaflık ilkesi benimsenerek yapılmasını amaçlıyor. 

 

KVKK kimleri kapsar?

KVKK, hak ehliyeti bulunan tüm gerçek ve tüzel kişiler için geçerli bir kanun olarak kişisel verilerin korunmasını sağlıyor. Suç işlenmesine engel olmak, disiplin kovuşturması/soruşturması ve devletin mali çıkarlarını korumak gibi sebeplerle, verilerin işlenmesine kısmi istisna sağlanıyor. Verilerin aynı evde yaşayanlarla ilgili faaliyetler için işlenmesi, bilim, sanat, tarih ve edebiyat için işlenmesi, kamu kurum ve kuruluşlarınca istatistiksel veri olarak kullanılarak anonim hale getirilmesi ve yargı makamları veya infaz mercileri tarafından işlenmesi tam istisna sayılıyor. 

 

 

KVKKdaki terimler

KVKK, kişisel verilerin korunmasını sağlıyor. Kişisel veri, kişiyi belirlenebilir kılan her tür bilgi anlamına geliyor. Dini inanç, siyasi görüş gibi mağduriyete sebebiyet veren veriler özel nitelikli (hassas) veri olarak tanımlanıyor. Söz konusu birey, veri işleme faaliyeti sonucunda kişi şeklinde ifade ediliyor. Kişisel verilerin hangi amaç için nerede, nasıl işleneceğinin kararını veren kişi veri sorumlusu, veri sorumlusunun verdiği yetkiyle veriyi işleme faaliyetini gerçekleştiren kişi veri işleyen ifadeleriyle kanun kapsamında sorumlu tutuluyor. 

 

Kişisel veri işleme faaliyeti saklama, değiştirme, aktarma işlemlerinden oluşabiliyor. Kişisel verilerin korunması ile ilgili kararları Kişisel Verileri Koruma Kurumu veriyor. Kurum, toplam 9 kişiden oluşuyor. 

 

Kişisel verisi işlenen ilgili kişinin hakları

Yaş sınırı olmaksızın herkesin KVKK gereğince sahip olduğu hakların bilincinde olması büyük önem taşıyor. Kanuna göre ilgili kişi verilerinin işlenip işlenmediğini öğrenme, verileriyle ilgili bilgi talep etme, verilerin amaca uygun şekilde işlenip işlenmediğini öğrenme, verilerin aktarıldığı üçüncü kişileri bilme, verilerin silinmesini veya yok edilmesini isteme, verinin izinsiz işlenmesi nedeniyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarını koruyor.

 

Kanun kapsamında ihlallerin yaptırımı

Yükümlülüklerin ihlali ve/veya ihmali ile bunların sonuçları 5237 Sayılı Türk Ceza Kanunu’nun 135 vd. maddelerinde düzenleniyor. 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş olup bu fiillere ilişkin yaptırımlar ilgili maddelerde yer alıyor. 

 

Türk Ceza Kanunu’nda kişisel verilere dair düzenlenmiş suçlar şöyle: 

  • TCK M.135 : Kişisel Verilerin Kaydedilmesi hususunu düzenleyen işbu maddenin ilk fıkrasında; Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir ila üç yıl arası hapis cezası öngörülüyor.
  • TCK M.136 : Kişisel verilerin ele geçirilmesi ve yayılması hususunu düzenleyen işbu maddede, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişilere, iki ila dört yıl hapis ceza öngörülüyor.
  • TCK M.137 : TCK M.135 ve 136’ya konu olan suçların, kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak ya da belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle gerçekleşmesi hali, aynı Kanunun 137. maddesinde cezada artırımına neden olacak bir nitelikli hal olarak görülüyor.
  • TCK M. 138 : Kanunda belirtilen süre içerisinde verileri imha etmeyen kişilere, bir ila iki yıl hapis öngörülmüş olup; suçun konusu şayet CMK hükümlerince ortadan kaldırılması gereken veri statüsünde ise suçun nitelikli hali gündeme geliyor ve ceza bir kat artırılıyor.
  • TCK M. 139 : İşbu madde ile kişisel verilerin kaydedilmesi, verilerin hukuka aykırı olarak verilmesi, verilerin ele geçirilmesi ve yok edilmemesi halleri haricindeki eylemlerin cezalandırılabilmeleri için şikayet şartı gündeme getirilebiliyor.

İnnova KVKK danışmanlık hizmeti

24/3/2016 tarih ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu`nda, “Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi” olarak tanımlanan kişisel veriler, gerek özel sektör gerekse kamu sektörü tarafından çeşitli amaçlarla sıkça toplanıyor, işleniyor, paylaşılıyor ve saklanıyor. Kişisel veriler bazen vatandaşın verisi, bazen müşterinin verisi, bazen de kuruluş çalışanının verisi olabiliyor. 

 

Kişisel veriler, asıl sahipleri olan vatandaş, müşteri ya da kuruluş çalışanları tarafından kurum ve kuruluşlara emanet edilen bilgiler olarak değerlendirildiğinde; veriyi toplayan, işleyen, paylaşan ve saklayan kurum ve kuruluşların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili “hesap verebilir” olması gerektiği gündeme geliyor. Kişisel Verilerin Korunması Yasası, kişisel verileri işleyen kurum ve kuruluşların “hesap verebilir” olması için zemin oluşturuyor ve kuralları tanımlıyor.

 

Kişisel veri yönetim çalışmaları ile ilgili temel ilkelerin BS 10012 Kişisel Bilgi Yönetim Sistemi Standardına uyumlu olması kurum ve kuruluşlara, kişisel veri yönetimi çalışmalarını uygulama yolunda rehber oluyor. İnnova; BS 10012 boşluk analizi, kişisel bilgi envanteri hazırlanması, kişisel bilgi risk yönetimi ve kişisel bilgi yönetim sistemi kurulumu hizmetleriyle kurum ve kuruluşların Kişisel Verilerin Korunması Kanunu`na uyum sağlaması için zemin hazırlıyor.