6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe girmiş; kanunun uygulaması ise geçen süre zarfından yayımlanan bir takım ikincil mevzuatlarla açıklık kazanmaya başlamıştır.
KVKK kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır.
KİŞİSEL VERİ İŞLEYEN TÜM FİRMALAR
KANUN KAPSAMINDA SORUMLU OLACAKTIR.
Kanun’un özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir.
Kanun kapsamında veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Kanun’da yer alan yükümlülüklerin yerine getirilmemesi halinde; değeri 1.000.000,00-TL’yi (bir milyon Türk Lirası) bulan idari para cezalarına hükmedilebileceği gibi; Türk Ceza Kanunu (“TCK”) madde 135 ile 140 hükümlerinin uygulama alanı bulacağı, dolayısıyla muhatapların süreli hapis cezalarıyla da cezalandırılabileceği de öngörülmüştür.
ŞİRKETLERİN KVKK’YA UYUM KAPSAMINDA İZLEYEBİLECEKLERİ YOLLAR NELERDİR?
Yürürlükteki mevzuat uyarınca en genel çerçevede veri sorumlusunun yasal yükümlülüklerini ve bu bağlamda atılması gerekli adımları sırasıyla aşağıdaki gibi sayabiliriz:
Şirket organizasyon şeması yeniden düzenlenerek veri sorumlusu atanmalı,
Çalışanlara gerekli eğitimler verilmeli,
Veri Envanterinin Hazırlanmalı ve Veri Sorumluları Siciline Kayıt Olunmalı,
Şirketlerde kişisel veri toplayan ve işleyen tüm birim/departmanlar kişisel verilerini topladıklar kişilerden almaları gereken onay ve bilgilendirme metinlerini ve mekanizmalarını oluşturmalılar;
Yurtdışına veri aktarımı için onay mekanizmalarını kurup KVKK’ya uygun veri aktarımı gerçekleştirmeliler;
Şirket adına veri işleyen üçüncü kişilerle, hak ve yükümlülüklere dair sözleşmesel bir altyapı kurulmalı,
Veri işleme faaliyetine ilişkin denetim yapılmalı, veri güvenliğinin sağlanabileceği bir alt yapı kurulmalı,
Çalışanların iş sözleşmesi dahil, iş başvurusunda bulunan adaylara ilişkin tüm sözleşme form ve bilgilendirme metinleri KVKK’ya uygun hale getirilerek tadil edilmeli,
Yasal Mevzuat ve Kurulun güncel kararlarının takip edilmelidir.
Sonuç olarak veri sorumlusu sıfatı ile veri işleyen tüm kurumların hukuki desteğe ek olarak kişisel verilerin sınıflandırılması, veri güvenliğinin sağlanması için kurumların teknolojik alt yapı gereksinimi de bulunması gerektiğini söylemek mümkündür.
Kurul organizasyonunu tamamlamak suretiyle çalışmalara başlamıştır. Bu kapsamda verilen Kurul kararlarına değinmek gerekirse:
KURUL KARARLARI
Veri İhlali Bildirimi
Ticketmaster UK (Ticketmaster İngiltere) adına Biletix Bilet Dağıtım Basım ve Tic. A.Ş. (Biletix A.Ş.) tarafından 28.06.2018 tarihinde Kurum’a yapılan bildirimde;
23 Haziran 2018 tarihinde Ticketmaster İngiltere firmasına dış kaynaklı hizmet sunan Inbenta Technologies tarafından sağlanan ve müşteri destek hizmetleri için kullanılan ürün üzerinde kötü amaçlı bir yazılım tespit edildiği,
Inbenta Technologies tarafından sunulan bu ürünün tüm Ticketmaster International web sitelerinde kullanılmış olması sebebiyle bazı müşterilerin kişisel verilerine ve ödeme bilgilerine tanımlanmamış üçüncü kişiler tarafından izinsiz olarak erişilmiş olabileceği,
Türkiye’de kredi kartı ve debit kart numaralarına ilişkin potansiyel bir tehlike olup olmadığının tespit edilmesi için Ticketmaster İngiltere tarafından adli müfettişlerle gerçekleştirilen çalışmaların devam ettiği,
Bu anlamda, Türkiye’de Biletix A.Ş. aracılığıyla bilet almış veya almayı denemiş kullanıcıların verilerine erişildiğine ilişkin herhangi bir kanıt bulunmamakla birlikte, Eylül 2017 ile 23 Haziran 2018 tarihleri arasında işlem yapan kullanıcılara azami tedbiri almak adına bir bilgilendirme maili gönderildiğine,
Yer verilmiş ve Kurul da yetkisiz erişimin kendi internet sitesinden yayınlanmasına karar vermiştir. https://guvenlik.biletix.com/ sitesinden detaylı bilgiye ulaşılabilecektir.
Kurul kararında; veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında verileri işlemesi hususunu değerlendirmiştir. Kararda; kişisel verilerin erişim yetkisinin amacı dışında kullanılmasının önüne geçilmesi gerekliliğine dikkat çekilerek veri sorumlularının bilgilendirilmesine karar verilmiştir.
VERİ SORUMLULARI SİCİLİNDEN İSTİSNA TUTULACAKLAR
02/04/2018 tarih ve 2018/32 sayılı Kurul kararına göre veri sorumluları siciline kayıttan istisna tutulanlar:
Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanuna göre kurumuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
Yukarıda yer alan adımlar, KVKK mevzuatına uyum sürecinde atılması gereken öncelikli adımlar olarak nitelendirilebilir. İlerleyen süreçte, kurulun vereceği kararlar ile ve VERBİS’in de faaliyete geçmesi ile mevzuatın uygulaması daha da netlik kazanacaktır. Kanunda öngörülen ağır yaptırımları önlemek adına, şirketin uyum çalışmalarına vakit kaybetmeksizin başlaması gerekmektedir.
