KVKK NEDİR?
Hızlı Sorularınıza Hızlı Cevaplar Kılavuzu
KVKK Nedir?
KVKK’nın açılımı kişisel verilerin korunması kanunudur. 7 Nisan 2016 tarihinde yürürlüğe giren bu kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Bu kanun hükümleri, kişisel verileri işlenen gerçek kişileri ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Kişisel Veri ve Özel Nitelikli Kişisel Veri Nedir?
Kişisel veri, kimliği belirli olan veya belirlenebilir gerçek kişiye ilişkin tüm bilgiyi ifade eder. Örnek vermek gerekirse; verisi işlenmek istenen kişinin adı, soyadı, TC kimlik numarası, SGK numarası, özgeçmişi, fotoğrafı, adresi, telefon numarası hatta araç plakası gibi bilgileri sıralayabiliriz. Kişisel veriler kişilerin açık rızası olmaksızın kanunda ifade edilen gerekçeler içerisinde açık rızaları olmadan işlenebilmektedir.
Fakat kişisel veri tanımının yanı sıra, kurul, ayrıca özel nitelikli kişisel veri tanımını da yapmıştır ve bu veriler kişinin açık rızası olmaksızın paylaşılması kesinlikle yasaktır.
Özel nitelikli kişisel veri, kişisel verilerden ayrı olarak kişiyi 3. Kişilerce ayrıştırılmasına sebep olabilecek verilerdir. Bunlar; kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, kılık ve kıyafeti, dernek, vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder.
Veri Sorumlusu ve Veri İşleyen Kimdir?
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizzat kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin kendisini işaret etmektedir. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.
Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu olması mümkün değildir. Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı veri sorumlusu olması mümkündür.
Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.
İrtibat Kişisi Kimdir?
Veri sorumlusu eğer Türkiye’de yerleşik olan bir tüzel kişi ise, bir irtibat kişisi atamak ve Veri Sorumluları Siciline kayıt sırasında atadığı bu irtibat kişisine ait bilgileri VERBİS’e işlemek zorundadır.
Söz konusu irtibat kişisi, veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumludur. 6698 sayılı Kanun kapsamındaki yükümlülük ve yaptırımlar açısından sorumluluk irtibat kişisinde değil, bu tüzel kişiyi temsil ve kendisini sorumlu kılan organ üzerindedir. İrtibat kişisi olarak yapılan görevlendirme, Kanun hükümleri uyarınca veri sorumlusunun sorumluluğunu ortadan kaldırmaz.
Veri sorumlusu eğer bir kamu kurumu ise, 6698 sayılı Kanunun Geçici 1 inci maddesinin 5 inci fıkrasına istinaden Kanunun uygulanmasıyla ilgili kamu kurumunda koordinasyonu sağlamak üzere belirlenerek Başkanlığımıza bildirilen üst düzey yönetici tarafından, VERBİS’in hizmete açılması ve kayıt yükümlülüğünün başlaması akabinde Yönetmeliğin 11 inci maddesinin 5 inci fıkrasına göre VERBİS sistemine irtibat kişisi bilgi girişi yapılması gerekmektedir.
VERBİS Nedir ve Kimler Kayıt Olmak Zorundadır?
Verbis, Veri Sorumluları Sicil Bilgi Sistemi’dir ve veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur. Dolayısıyla veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir.
Sicile ilişkin usul ve esaslar ise Veri Sorumluları Sicili Hakkında Yönetmelikte belirlenmiştir.
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan veri sorumluları
- Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları
- Yıllık çalışan sayısı 50’den ve yıllık mali bilanço toplamı 25 milyon TL’den düşük olan ancak ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları
- Kamu kurum ve kuruluşları
VERBİS’e kayıt olma yükümlülüğü taşımaktadır. Sicil’e kayıt olmak zorunda olan veri sorumlusunun kayıt olmaması durumunda ya da kaydın yönetmelikte belirlenen şartları sağlamaması durumunda 35.000 TL’den 1.800.000 TL’ye kadar idari para cezası verilir.
Bu durumlar arasında Sicile kaydın zamanında yapılmaması, kişisel veri işleme faaliyetlerinin eksik ya da yanlış bildirilmesi, olan değişikliklerin zamanında bildirilmemesi gibi durumlar sayılabilir.
Kurul idari para cezasının miktarını aykırılığın önemine, veri sorumlusunun özelliklerine göre objektif olarak belirler.
Daha detaylı bilgi için: