Sayın Üyemiz,

6698 Sayılı Kişisel Verileri Koruma Kanunu ile ilgili açıklamalar faydalı olması dileğiyle aşağıda bilgilerinize sunulmuştur.

1-Kişisel Verilerin Korunması İle İlgili Bazı Önemli Kavramlar

Kişisel Veri Nedir?

6698 Sayılı Kişisel Verileri Koruma Kanunu(Kanun) kapsamında Kişisel Veri “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu kapsamda göz renginiz, parmak iziniz, herhangi bir sağlık probleminiz, kan grubunuz, eşinizin adı, kaç çocuğunuz olduğu, boyunuz, kilonuz gibi özellikleriniz; maaş , mülkiyet, mal varlığı bilgisi gibi finans bilgileriniz, ikamet adresiniz, telefonunuz gibi iletişim bilgileriniz, etnik kökeniniz, diliniz, dininiz, ten renginiz de dahil olmak üzere sizi belirlenebilir kılan her türlü veri “kişisel veri”dir.

Özel Nitelikli Kişisel VeriNedir?

Özel nitelikli kişisel veriler kanunda ayrıca ve sınırlı sayıda düzenlenmiş kullanılması halinde sahibine zarar verebilecek hassasiyete sahip kişisel verilerdir. Bu kişisel verilerin işlenmesinin ve korunmasının ihlali durumunda ilgili kişilerin ayrımcılığa maruz kalabilecek olmaları sebebiyle işlenmeleri özel bazı şartlar veya açık rıza ile mümkündür. Özel nitelikli kişisel veriler Kanunda sayılmıştır ve genişletilemez. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Veri Sorumlusu Nedir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

VERBİS kaydı dışında, yerine getirilmesi gereken idari, teknik ve hukuki yükümlülükler de vardır. Bu yükümlülüklerin yerine getirilmemesi halinde kanunla getirilen yaptırımlar bulunmaktadır.

İlgili Kişi Nedir?

Kanun kapsamında yalnızca “gerçek kişi”lerin verileri korunmaktadır. Bu nedenle, Kanunda kişisel verisi işlenen yani kişisel verilerin ait olduğu gerçek kişiyi, veri sahibini ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Verileri ve bu veriler üzerinde hakları korunması gereken kişi “gerçek kişi”dir.

2-VERBİS KAYDI Nedir?

Kişisel Verilerin Korunması Kanunu kapsamında, kişisel veri işleyen gerçek ve tüzel kişilerin uyması gerekli birçok kural getirilmiştir.  Bu kanun kapsamında getirilen yükümlülükler çok kapsamlı olmakla birlikte getirilen yükümlülüklerden birisi de Kişisel Verileri Koruma Kurumu bünyesinde oluşturulan Veri Sorumluluları Sicil Bilgi Sistemine (VERBİS) kayıt olmaktır.

VERBİS’E Kayıt Olması Gereken Veri Sorumluları Kimlerdir?

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları

Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları

Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri gerekmektedir.

 3-Kişisel Verilerin Korunması Kanunu Kapsamında VERBİS Kaydı Dışında Ve Mevzuata Uyum Çalışması Kapsamında Yerine Getirilmesi Gereken Temel Yükümlülükler Nelerdir?

1.Kişisel Veri Envanterinin Oluşturulması

Kişisel veri envanteri, Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat kapsamında,  işyerinin genel profilinin çıkarılmasına yönelik bir çalışmadır.  Bu envanter ile aşağıda sıralanan başlıklarda bir liste oluşturulması ve alınması gerekli önlemlere ilişkin bir çerçeve çizilmesi gerekir.

- Kişisel veri işleme amaçları

- Kişisel veri işleminin hukuki sebebi

- Veri kategorisi

- Kişisel verilerin aktarıldığı alıcı grubu

- Kişisel verilerin azami saklama süresi

- Yabancı ülkelere aktarım

- Veri güvenliğine ilişkin tedbirler

Kişisel veri envanteri ile, işlenen kişisel verilerin neler olduğu, kimlere ait kişisel verilerin alındığı (Müşteri, çalışan, ziyaretçi), toplanan kişisel verilerin hangi kişi ve kurumlara aktarıldığı, aktarımı yapılan bu verilerin hukuka uygun gerekçelerle aktarılıp aktarılmadığı tespit edilmesi gerekir.

2.Aydınlatma Yapma ve Açık Rıza Alma

Kişisel verilerin işlenmesi ve aktarılması hakkında kişisel verileri işlenen ilgili kişiler aydınlatılmalıdır; ayrıca Kanunda sayılı haller dışında kişisel verilerin işlenmesi ilgili kişinin açık rızasına bağlıdır. Bu sebeple ilgili kişilere aydınlatma yapılması ve açık rızalarının alınması gerekmektedir.

3.İşledikleri Kişisel Verilerin Korunmasına ilişkin Teknik ve İdari Tedbirleri Alma

Kişisel verilerin saklandığı bilgi işlem sistemlerinin dışarıdan müdahalelere karşı korumalı hale getirilmesi, bu konuda teknik önlemlerin alınması, yetkisiz kişilerin girişlerinin önlenmesi, kişisel verilerin saklandığı fiziki ortamlara (arşiv) yetkisiz kişilerin erişiminin engellenmesi için gerekli teknik ve fiziki önlemler alınmalıdır.

4.Çalışanlara Farkındalık Eğitimi Verilmesi, İK Süreçlerinin Uyumu

İş yerinde çalışanların özlük dosyalarının ve sözleşmelerinin gözden geçirilmesi, kişisel verilerin korunması ile ilgili mevzuat çerçevesinde çalışanlara, dikkat etmesi gerekli noktalarda eğitim/bilgi verilmesi gerekmektedir.

5.KVKK Politikalarının Oluşturulması

İş yerine ait WEB sitesi olması halinde, WEB sitesinin mevzuata uygunluğunun denetlenmesi, çerez ve gizlilik politikası hazırlanması gereklidir. Sosyal medya hesaplarının mevzuatına uygun hale getirilmesi sağlanmalıdır.

Kişisel verilerin saklanmasına ve imha edilmesine ilişkin kişisel veri saklama ve imha politikası hazırlanmalıdır. 
İş yerlerinin giriş ve bekleme alanlarında kameralar ile kayıt alınması halinde bu konuya bilgilendirme metinleri ve tabelalar hazırlanmalıdır. 

6.Silme Yok Etme Yönetimi Oluşturulması

Kişisel verisi işlenen ilgili kişilerin, kişisel verileri ile ilgili başvurularını (silme, düzeltme, aktarma vb.) almak ve bu başvuruları yanıtlamak ve de gerekli uygulamayı gerçekleştirmek için gerekli alt yapıyı kurmalıdır. 

7.İlgili Kişilerin Başvurularına Cevap Verme

Veri Sorumlusu, kişisel verilerini işledikleri ilgili kişilerinin başvurularına 30 gün içinde cevap vermek zorundadır. Aksi davranış ilgili kişilere Kişisel Verileri Koruma Kuruluna şikâyet, maddi veya manevi tazminat davası açma veya savcılığa suç duyurusunda bulunma gibi haklar vermektedir.

4-Kişisel Verilerin Korunması Kanunu’na Aykırı Hareket Etmenin Yaptırımları Nedir?

Kanundan kaynaklanan yükümlülükleri yerine getirmeme halinde uygulanabilecek ceza miktarları 2021 yılı itibarıyla şu şekildedir.

-VERBİS Kayıt ve Bildirim Yükümlülüğü’ nün yerine getirilmemesi: 39.337,22 TL- 1.966.861,00 TL

-Aydınlatma Yükümlülüğü’nün yerine getirilmemesi: 9.834,00 TL– 196.686,00 TL

-Veri Güvenliğine İlişkin Yükümlülükler’in yerine getirilmemesi: 29.503,00 TL– 1.966.861,00-TL

-Kişisel Veri Koruma Kurulu Kararları’nın yerine getirilmemesi: 49.171,53 TL - 1.966.861,00 TL

VERBİS’E KAYIT SÜRELERİNİN UZATILMASI HAKKINDA DUYURU

Ülkemizde halen etkisini göstermeye devam eden Covid-19 virüs salgını nedeniyle Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar, muhtelif sektör temsilcileri ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile;

İzmir Mali Müşavirler Odası olarak bu kapsamda çeşitli firmalarla protokoller imzalanmış olup, Oda üyelerimize ve müşterilerine  indirimli olarak hizmet sağlayacak bu firmalara Odamız internet sitesi "Anlaşmalı Kurumlar" "KVKK" bölümünde yer verilmiştir. 

Bilgilerinize sunar, çalışmalarınızda kolaylıklar dileriz.

Anlaşmalı Kurumlar için tıklayınız.