top of page
Yazarın fotoğrafıAv. Muhammed Ali Çakır

KVKK UYUMLULUK SÜRECİ VE SÜRECİN HUKUKİ YÖNETİMİ

Kişisel verilerin korunması, ülkemizde yeni bir alan olmakla birlikte KVK Kurumu'nun firmalara uygulamakta olduğu idari para cezaları ile Türk firmalarının dikkatini çekmektedir. 24.03.2016 tarihli 6698 sayılı KVKK'nın öngörmüş olduğu yükümlülüklerin ihlali halinde veri sorumlularının idari para cezası ve hapis cezası riskleri söz konusudur.


Veri Sorumlusu Sorumlulukları


24.03.2016 tarihli 6698 sayılı KVKK gereğince Veri Sorumlularının yüzeysel anlamda sorumlulukları şu şekilde sayılabilir:

  • Veri sahiplerinin aydınlatılması

  • Verilerin ne sebeple ve hangi kanuna dayanılarak elde edildiği, aktarıldığı

  • ve elde bulundurma sürelerini içeren envanter kaydı

  • KVKK Politikasının belirlenmesi

  • VERBİS kaydı

  • Veri sahiplerine etkin başvuru ve şikâyet imkanlarının sağlanması

  • Teknik ve idari tedbirlerin alınması

İdari Yaptırımlar


Kanunun 18. Maddesinde KVKK’nın ilgili maddelerine aykırı olarak;

  • Veri elde etme, depolama, işleme, aktarma eylemlerine ilişkin olarak 15.000 TL’den 1.000.000 TL’ye kadar

  • Aydınlatma yükümlülüğünün yerine getirilmediği her bir süreç için 5.000 TL’den 100.000 TL’ye kadar,

  • Kurul kararlarının yerine getirilmemesi halinde 25.000 TL’den 1.000.000 TL ye kadar,

  • Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 TL’den 1.000.000 TL’ye kadar

Cezai Yaptırımlar


İdari para cezası uygulanacağı öngörülmüştür. İlgili cezalar yakın zamana kadar uygulanmaktadır. Verilen cezaların net tutarı ise kurum tarafından; ihlalin büyüklüğü ve mevzuata aykırı hareket eden kurumun idari ve teknik tedbirleri alıp almadığı koşulları gözetilerek belirlenmektedir. Örneğin, https://www.kvkk.gov.tr/Icerik/5496/2019-81-165

  • Kişisel verilerin hukuka aykırı olarak kaydedilmesi TCK m.135 de düzenlenmiş olup; 1 yıldan 3 yıla kadar hapis cezası öngörülmüştür. İşlenen veriler özel nitelikte ise verilen ceza yarı oranında artırılır.

  • Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan ele geçiren kişi 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.

  • Kanunların belirlediği süreler geçmiş olmasına rağmen kişisel verileri yok etmekle yükümlü kişiler, görevlerini yerine getirmez ise 1 yıldan 2 yıla kadar hapis cezası ile cezalandırılır.

VERBİS’e Kayıt Yükümlülüğü

  • Veri sorumlusunun çalışan sayınızın 50’den çok veya yıllık mali bilanço toplamınızın 25 milyon TL’den fazla olması yalnızca VERBİS’e kayıt zorunluluğu ilgili olup ilgili şartların sağlanmaması Veri Sorumlusunun KVKK’dan sorumluluğunu ortadan kaldırmaz.

  • Veri sorumluları VERBİS kaydı olsun ya da olmasın şikâyet edilmeleri halinde kurum denetimine tabi olacak ve ihlalin tespiti durumunda yukarıda belirtilen yaptırımlarla karşılaşabileceklerdir. Kurum hali hazırda veri sorumlularını denetlemektedir.

  • Veri sorumluları, alacakları hukuki danışmanlık çerçevesinde kanunun aradığı şartları sağlayabilmektedir. İlgili süreç veri sorumlusunun işletmesinin büyüklüğüne göre 3-6 ayı bulmaktadır.


KVKK UYUMLULUK PROJESİ SÜREÇLERİ


Personel Eğitimi

Personelin KVKK hakkında bilgilendirilmesini amaçlayan sunumların yapılması, Personelin yükümlülüklerinin bildirilmesi, yükümlülük ihlallerinde, işverenin haklı fesih ve zararlarının rücusuna ilişkin haklarının personele tebliği edildiği süreçtir.


Personelle ikili görüşmeler yapılması

Kişisel verilerin elde edilmesi süreçleri hakkında bilgi alınması, Personellerin hangi süreçlerde hangi verilere temas ettiğinin tespit edilmesi sürecidir.


Veri Envanterinin Çıkarılması


Kurum ya da kuruluşun bütün departmanlarında işlenen her türlü belgenin incelenerek, hangi kişisel verilerin, hangi amaçlar için kullanıldığı, nasıl elde edildiği, kimlerle paylaşıldığı, kaç yıl depolandığının tespitinin yapılması. Yapılan tespitler sonucu KVK Kurumu’nun VERBİS Sorumlusu Şirketlere tutulmasını zorunlu tuttuğu Kişisel Veri Envanteri’nin hazırlanma süreci ifade etmektedir.

Süreç Planlanması

Veri işleme, aktarma ve imha süreçlerinin kanun kapsamında düzenlendiği ve şirkete özel dizayn edildiği, başvuru ve şikâyet süreçlerinin planlandığı, veri minimizasyonunun sağlanması, başvuru evraklarının hazırlandığı, dışarıdan alınan hizmetlere ilişkin sözleşmelerin güncellendiği süreci ifade etmektedir.


KVKK uyumluluk metinlerinin Hazırlanması


Kurum veya kuruluş tarafından kişisel verileri işlenen kişilere yasal zorunluluk gereği sunulması gerekli olan Kişisel Veri Aydınlatma ve Açık Rıza metinlerinin hazırlandığı, veri sahiplerine ulaştırılma sürecidir.

KVKK Politikalarının Belirlenmesi


Kişisel Verileri Koruma Kanunu kapsamında KVK kurumunun tarafımızdan beklediği Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi, Veri işleyenler ile ilişkilerin yönetilmesine ilişkin kararların alındığı, Personel disiplin yönetmeliğinin KVKK ya uygun şekilde revize edildiği süreçtir.

KVKK Uyum Projesi Raporunun hazırlanması ve VERBİS kaydının yapılması


Veri sorumlusunun mevcut proje öncesi durumu ve alınan önlemler, hazırlanan metinler ve yapılan işi özetleyen raporun hazırlandığı ve Veri Sorumluları Siciline kaydın yapıldığı süreçtir.


18 görüntüleme0 yorum

Comments


bottom of page