';
side-area-logo

KVKK (GDPR) Denetim ve Danışmanlığı

6698 sayılı Kişisel Verilerin Koruması Kanunu kapsamında müşteri, çalışan vb. kişilerin şahsi bilgilerini bünyesinde bulunduran bütün işletmelerin 2016 yılı itibariyle KVKK sistemine kayıt olması gereklidir.

KVKK’ya göre, işletme veya işletmelere bağlı internet sitelerinden kişisel verilerin toplanması, saklanması ve bu bilgilerin güvenliğinden doğrudan söz konusu firmalar sorumlu tutulacaktır. Buna göre, Avrupa Birliği dışından bile olsa, Avrupa Birliğine dâhil ülke vatandaşlarından bilgi toplayan her işletme yine aynı kanuna dâhil edilerek bilgi sızdırılması veya kanunsuz işlenmesi nedeni ile cezai yaptırımla karşılaşabilir. 

kvkk
6698 sayılı kişisel verilerin korunması kanununda 2021 yılı itibariyle yer alan güncel idari para cezaları
Aykırılık durumu Yaptırım
Aydınlatma yükümlülüğünü yerine getirmeme 9.834 TL - 196.686 TL
Veri güvenliği yükümlülüklerini yerine getirmeme 29.503 TL - 1.966.862 TL
Kurul kararlarını yerine getirmeme 49.172 TL - 1.966.862 TL
VERBİS kayıt ve bildirim yükümlülüğüne aykırılık 39.337 TL - 1.966.862 TL

Bu kanuna işletmelerde çalışanlar ve müşteriler başta olmak üzere kişisel verileri toplanan veya site içerisinde çerezler tarafından bilgilerine ulaşılan bütün kullanıcılar, kanunun koruma alanına girer.

6698 Sayısı Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde TBMM’de yasalaşmış ve kanun 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak bu kanun çerçevesine giren işletmelerin VERBİS sistemine kayıtlarını zorunlu tutmuş ve sistem içerisinde verilerin yasalara uygun bir şekilde işlenmesinin takibini sağlamıştır.

KVKK kapsamında firmalardan kişisel veri koruma birimi oluşturulması, bu birimdeki takım arkadaşlarına gerekli eğitimlerin verilmesi, işlenen bilgilerle ilgili analizlerin yapılması ve bir kişisel veri envanteri oluşturulması gerekmektedir.

Envanterin yanında aydınlatma ve açık rıza metinlerinin 6698 sayılı KVKK mevzuatına uygun bir şekilde hazırlanması, veri işleme politikalarının oluşturulması, kişisel verileri saklama ve imha yöntemlerinin belirlenmesi gerekmektedir.

VERBİS’e kayıt olmadan önce gerçekleştirilmesi gereken bu işlemler neticesinde sisteme giriş sağlanması beklenmektedir. Az önce bahsedilen bütün bu işlemlerin uzman kadromuz tarafından eğitimlerin verilmesi, veri analizi için danışmanlık sağlanması ve kayıt girişleri yapıldıktan sonra da bir ön denetleyici mekanizma olarak verilerin sürekli güvenliğinin sağlanarak takibinin yapılması tarafımızdan öngörülmektedir.

VERBİS’e kayıt iki temel aşamadan oluşmakla beraber veri sorumlusu olarak atanacak kişi doğrudan firma tüzel kişiliğidir. Veri sorumlusu yerine firma sahibi, yetkili veya yöneticisi atanamaz. İlk aşamada VERBİS’e firma adına giriş sağlanır ve sonrasında firmayı temsilen bir irtibat kişisi belirlenir.

VERBİS’E Kayıt Adımları:

  • VERBİS sistemi üzerinden e-devlet ile giriş yapılması veya doğduran VERBİS üzerinden giriş yapılması
  • Sistemde istenen veri sorumlusu /veriye erişimi olan kişi/kişilerin kaydı
  • Verisi alınan alıcı grupları bildirimi
  • Veri toplama nedenleri ve kullanım alanları
  • Saklanma süreleri ve imha yöntemlerinin bildirimi
  • Kayıtın Kişisel Verileri Koruma Kurulu tarafından onaylanmasının ardından bir irtibat kişisinin atanması

Kişisel Veri İhlali Durumunda Söz Konusu Olabilecek İşlemler

Bilgilerin sürekli takibinin yapılması özellikle bir ihlal durumunda karşılaşılabilecek cezalar açısından büyük önem taşır. Bu kapsamda aykırılığa düşen durumlar aşağıdaki gibi sıralanabilir:

  1. Kişisel verilerin hukuka aykırı olarak işlenmesi,
  2. Kişisel verilere hukuka aykırı olarak erişimi
  3. Kişisel verilerin muhafazası ve üçüncü taraflarla paylaşımı

6698 sayılı Kişisel Verileri Koruma Kanunun 12. maddesinin 1. Fıkrasına göre veri sorumlusu yukarıda sıralanan işlemlerin tamamından gerekli güvenlik önlemlerini almak suretiyle sorumludur. Aynı maddenin 5. Fıkrasına göre ise veri sorumlusunun yukarıda sıralanan durumlara düşmesi halinde durumu en kısa sürede Kişisel Verileri Koruma Kuruluna bildirmesi gerektiği ve eğer kurul gerekli görürse durumu internet sitesi veya uygun gördüğü diğer kanallar aracılığı ile kamuoyuna duyurması gerekmektedir.

Bahsedilen durumda en kısa süreden kasıt Kurulun önceden belirlediği zamana göre 72 saat olarak sınırlandırılmıştır. Düzenleme kapsamında ihlal durumda 72 saat içerisinde ihlalin kurula bildirilmesi ve aynı zamanda bilgisi tehlike altında bulunan kişi ve kişilerinde durumdan kamuoyuna açık bir şekilde haberdar edilmesi gerekmektedir.

Veri sorumlusunun kişilerin bilgi güvenliğine dair aldığı sorumluluğun esasına bakılarak herhangi bir ihlal durumunda belirlenen süre içerisinde taraflara haber verilmiş bile olsa sonraki süreçlerde bu durum ancak hafifletici bir neden olarak incelenebilecek ve sonuç olarak ihlalin kaynağı veri sorumlusunun tam teminatı olduğu durum ele alınarak değerlendirilecektir.

Veri ihlalleri nedeniyle, ihlalden etkilenen kişi/kişilere bildirim yapılmasının amacı; veri açığından dolayı ortaya çıkabilecek fazladan zararları engellemek ve kişilerin verilerinin kötüye kullanım durumunu düşünerek gerekli tedbirleri önceden alabilmelerinin sağlamak amacı ile yapılır.  Bir diğer yandan 6698 sayılı Kanuna kaynak olan Avrupa Birliği 95/46/EC sayılı direktif uyarınca ilga edilen Avrupa Genel Veri Koruma Tüzüğünden hareketle veri ihlali direktifine ilişkin hal ve eylemlerin ibrazı ortak standardizasyonu yakalamak amacıyla zorunludur.

İhlal Durumunda Düşülen Hatalı Haller – Kurul Kararı Örnekleri

“İlgili kişinin yaptığı başvuruyu cevaplandırmayan ve internet sitesi üzerinden yayımladığı aydınlatma metni mevzuatta düzenlenen şartları taşımayan T.C. Ziraat Bankası A.Ş. hakkında” Kişisel Verileri Koruma Kurulunun 02/05/2019 tarihli ve 2019/122 sayılı Karar Özeti” Hak. (Ref. https://www.kvkk.gov.tr/Icerik/5461/2019/122)

6698 sayılı Kişisel Verilerin Korunması Kanununun 11 inci maddesindeki hakları kapsamında taleplerini içeren kayıtlı e-posta aracılığıyla veri sorumlusu statüsündeki T.C . Ziraat Bankası A.Ş’ye başvuran ancak kanun ile düzenlenen 30 günlük süre içerisinde talebe karşılık veremeyen bankanın internette ilgili taraflara belirtmiş olduğu veri sorumlusu yükümlülüğünü yerine getirememesi sonucu ihlale sebebiyet veren kişilerin gerekli tedbirleri almaması nedeniyle yükümlü kişiler hakkında disiplin hükümlerine göre işlem yapılmasına ve bankanın yükümlülükleri kapsamında sözleşme ve metinleri yeniden düzenlemesi için talimat verilmiştir.

Bu örnekte izlenen ihlal hususu karar verici merciiler tarafından talimatlandırma ve ihlalden sorumlu olan kişi veya kişilerin disiplin hükümlerine göre bir işlem görmesi istemi ile sonuçlanırken aynı kanun çerçevesinde yaşanan benzer çeşitli ihlaller kanun koyucunun öngördüğü şekilde idari yaptırımlarla karşılanmaktadır.

Benzer şekilde “Bir anonim şirketin (veri sorumlusu) ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin Kişisel Verileri Koruma Kurulunun 31.05.2019 Tarihli ve 2019/162 Sayılı Karar Özeti” çerçevesinde ilgili kişiye açık rızası olamadan reklam amaçlı elektronik ticari ileti gönderilmesi sonucu işletmeye idari yaptırım uygulanmıştır.  (Ref. https://www.kvkk.gov.tr/Icerik/5495/2019-162)

Bir anonim şirketin ilgili kişinin açık rızası olmadan reklam amaçlı e-posta gönderilmesi sonucunda kurul tarafından başvurusu alınan dosya, veri sorumlusunun kişinin cep telefon numarasını gerekli izin veya belgelendirme olmaksızın reklam amaçlı kullanması nedeniyle işletmeye 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

KVKK Danışmanlık Hizmetimiz Hakkında

Kişisel Verileri Koruma Kurulu tarafından başlatılan VERBİS sistemine kayıt olunmadan önce firmada kişisel verilerden sorumlu bir birime ek olarak takip ve analiz aşamalarının yürütülmesini sağlayacak yazılım desteğinin tarafımızca sunulması, uzmanlarımız tarafından firmanın genel kişisel veri risk haritasının çıkarılması ve belirlenen riskleri önleyecek şekilde bir denetim sisteminin oluşturulması ve son olarak veri politika ve aydınlatma metinlerine ek olarak veri envanterinin çıkarılması Sun Danışmanlık güvencesiyle firmamızca sağlanmaktadır. VERBİS’e kayıt onaylandıktan ve sonrasında firmadan bir irtibat kişisi belirlendikten sonra ise yapılacak olan denetim sağladığımız yazılım ve yanında periyodik olarak denetim sağlayacak uzmanlarımızca sağlanacaktır. Buna göre kısaca hizmetlerimizden bahsetmek gerekirse;

  1. Firmanın veri risk analizinin oluşturulması
  2. Kurulacak yazılım aracılığı ile aydınlatma ve açık rıza metinlerinin bildirimi
  3. Belirlenen risklere göre veri işleme politikasının oluşturulması
  4. Belirlenen politika çerçevesinde veri işleme envanterinin hazırlanması
  5. Envanter ile birlikte VERBİS’e başvuru yapılması
  6. Kayıt onayına kadar olan gerekli onay işlemlerinin usulen takibi
  7. Kaydın ardından firma tarafından bir irtibat kişisi belirlenmesi
  8. Periyodik olarak denetim sıklıklarının belirlenmesi ve periyodik denetimlerin sürdürülmesi
  9. Sağlanan yazılım aracılığı ile anlık olarak veri güvenliği takibi ve risklerin ihlal durumuna gelmeden önce önlenmesi sağlanmaktadır.

VERBİS sistemine son kayıt girişi ilk adımda 30 Haziran olarak belirtilmiş sonrasında kayıtların tamamlanamaması nedeniyle 30 Eylül’e uzatılmıştır. Son duyurulan kayıt giriş süresi bitmiş olmasına rağmen dilekçe yolu ile Kişisel Verileri Koruma Kuruluna yapılacak başvurular hala devam etmektedir. 

25 Haziran tarihinde Resmi Gazete’de yayınlanan güncellemeyle beraber yıllık çalışan sayısı 50’den az ve mali bilançosu 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının sicile kayıt yükümlülüğü ise 31 Mart 2021 tarihine yerine getirilebilecek.

Kamu kurum ve kuruluşu veri sorumlularının sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre de bu tarihe kadar geçerlidir.

Sun Danışmanlık, Kalkınma Ajansı, KOSGEB gibi hibe programlarının yanında dijital dönüşüm, endüstri 4.0, patent, yurt dışına açılım ve vergi, hukuk ve KVKK danışmanlığı sağlayan Ankara, İstanbul ve Almanya ofislerinde hizmet vererek danışmanlık sektöründe 16 yıldır kesintisiz faaliyet gösteren alanında lider bir firmadır.