Wednesday, 13 March 2019

KİŞİSEL VERİLERİN KORUNMASI KANUNU UYARINCA, KOBİ ÖLÇEĞİNDEKİ FİRMALARIN YAPMASI GEREKENLER, YÜKÜMLÜLÜKLERİ VE KONUNUN YAPTIRIM BOYUTUNA İLİŞKİN BİLGİLENDİRME

6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır.

Kanunda kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları gibi hususları da kapsamaktadır. Kanunda yer alan kişisel veri tanımı doğrultusunda gerçek bir kişiyi belirli veya belirlenebilir kılan her türlü bilginin kişisel veri olarak kabul edilmesi gerekmektedir.

Kişisel verilerin işlenmesi kavramı Kanunda, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme, veri işleme olarak tanımlanmıştır.

Kişisel verilerin işlenme şartları ise Kanunda sayılmış olup, buna göre aşağıdaki hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesi mümkündür.
İlgili kişinin açık rızasının varlığı,
Kanunlarda açıkça öngörülmesi,
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizzat kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin bizzat şahsında doğacaktır. Bir şirket bünyesinde yer alan birimleri tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu olması mümkün değildir.

Veri sorumlularının yükümlülükleri Kanunda belirtilmiştir. Buna göre;
Kişisel veri işleme faaliyetinde bulunan herkes, Kanun gereği hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme genel ilkelerine uygun hareket etmelidir.
Veri sorumluları tarafından kişisel veriler, Kanunda yer alan düzenlemelere uygun olarak, özel nitelikli kişisel veriler ise Kişisel Verileri Koruma Kurulu tarafından belirlenecek yeterli önlemler alınmak şartıyla Kanunda yer alan düzenlemelere uygun olarak işlenmelidir.
Kanun ve ilgili diğer mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Kişisel verilerin üçüncü kişilere aktarılmasında Kanunun 8. ve 9. maddelerinde yer alan düzenlemelere uygun olarak hareket edilmelidir.
Kanunun 10. maddesine uygun olarak ilgili kişiler aydınlatılmalıdır.
Kanunun 12. maddesine uygun olarak veri güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirler alınmalıdır.
İlgili kişilerin veri sorumlularına yönelttiği başvurular Kanunun 13. maddesine uygun olarak cevaplandırılmalıdır.
Kanunun 16. maddesi gereğince Kişisel Verileri Koruma Kurulu tarafından belirlenecek ve ilan edilecek süre içerisinde Veri Sorumluları Siciline kayıt olunmalıdır. Söz konusu tarihin Kurul tarafından belirlenerek ilan edilmesiyle veri sorumluları siciline kayıt yükümlülüğü başlayacaktır.
Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumlularının “kişisel veri işleme envanteri“ ve “kişisel veri saklama ve imha politikası” hazırlaması gerekmektedir.
Kural olarak, tüm veri sorumlularının Veri Sorumluları Siciline kaydolmaları gerekmektedir. Ayrıca, Kişisel Verileri Koruma Kuruluna, Sicile kayıt zorunluluğuna istisna getirme yetkisi verilmiştir.

Kişisel Verileri Koruma Kurulu’nun 19.07.2018 tarih ve 2018/87 sayılı kararıyla; yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmuştur.

Küçük ve Orta Büyüklükteki İşletmelerin Tanımı, Nitelikleri ve Sınıflandırılması Hakkında Yönetmelikte; on kişiden az yıllık çalışan istihdam eden ve yıllık net satış hasılatı veya mali bilançosundan herhangi biri "üç" milyon Türk Lirasını aşmayan işletmeler “mikro işletme”, elli kişiden az yıllık çalışan istihdam eden ve yıllık net satış hasılatı veya mali bilançosundan herhangi biri "yirmibeş" milyon Türk Lirasını aşmayan işletmeler “küçük işletme”, ikiyüzelli kişiden az yıllık çalışan istihdam eden ve yıllık net satış hasılatı veya mali bilançosundan herhangi biri "yüzyirmibeş" milyon Türk Lirasını aşmayan işletmeler “orta büyülükteki işletme” olarak tanımlanmıştır.

Bu doğrultuda, yıllık çalışan sayısı 50’den fazla ve yıllık mali bilanço toplamı 25 milyon TL’den fazla olan KOBİ’ler açısından Veri Sorumluları Siciline kayıt yükümlülüğünden istisna olmayıp Sicile kayıt yükümlülüğü ve Kişisel Veri Envanteri oluşturma zorunluluğu devam etmektedir.

Kişisel Verileri Koruma Kurulu’nun 19.07.2018 tarih ve 2018/88 sayılı kararıyla sicile kayıt yükümlülüğünün başlama tarihleri belirlenmiştir. Buna göre;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01.10.2018 ve Sicile kayıt yaptırmaları için son süre 30.09.2019,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01.01.2019 ve Sicile kayıt yaptırmaları için son süre 31.03.2020
olarak belirlenmiştir.

Kişisel Verilerin Korunması Kanunu’na aykırı davranılması halinde; Kanun’da öngörülen yaptırımlar “Suçlar ve Kabahatler” olmak üzere iki ayrı başlık altında düzenlenmiştir.

Kanun’un “Suçlar” başlıklı 17. maddesinde, kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu'nun 135 ila 140 ıncı madde hükümlerinin uygulanacağı, bu Kanun’un 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hale getirmeyenlerin 5237 sayılı Kanun’un 138 inci maddesine göre cezalandırılacağı düzenlenmiştir. Kanunda düzenlenen suçları işledikleri sabit olanların, hapis cezasına çarptırılma riskleri bulunmaktadır.

Kanun’un “Kabahatler” başlıklı 18. maddesinde ise;
Kanun’un 10 uncu maddesinde düzenlenen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5000 Türk Lirasından 100.000 Türk Lirasına kadar,
Kanun’un 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,
Kanun’un 15 inci maddesi uyarınca Kişisel Verileri Koruma Kurulu tarafından  verilen kararları yerine getirmeyenler hakkında 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,
Kanun’un 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar
idari para cezası verileceği düzenlenmiştir. Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanmaktadır.

Saygılarımızla,

No comments:

Post a Comment