Kişisel Verilerin Korunması Kanunu uyum sürecinde şirketler tarafından yapılması gerekenler nelerdir?
Hangi veriler bu kanun kapsamındadır?
6698 Sayılı Kişisel Verilerin Korunması Kanunu hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.
Müşterilerin ve personellerinin adı, soyadı, cep telefonu, e-posta, TC kimlik numarası, adres, fotoğraf, kimlik fotokopisi ve benzeri diğer bilgilerini tutan ve işleyen şirketler bu kapsamdadır.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir ve ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Hangi şirketler bu kanun kapsamındadır?
Oteller, AVM’ler, Apartman-Site Yönetim şirketleri, müşteri sadakat kart uygulaması olan şirketler, fabrikalar, temizlik ve güvenlik personel hizmeti veren şirketler, satış ve pazarlama yapan şirketler, ajanslar, özel okullar ve üniversiteler, hastaneler ve tıp merkezleri, e-ticaret kuruluşları, bankalar, ödeme ve elektronik para kuruluşları, kargo şirketleri, elektrik-su-doğalgaz-telefon-internet-uydu tv yayıncılığı abonelik sistemiyle çalışan kuruluşlar yoğunlukla kişisel veri depolayan, kullanan ve işleyen şirketlerdir. Bu şirketler sistemlerini mevzuata uyumlu hale getirmelidirler.
Şirketlerin hangi departmanları bu kanunla ilgilidir?
Kişisel Verilerin Korunması Kanunu hükümleri şirketlerde başta Yönetim Kurulu, Genel Müdür ve Genel Müdür Yardımcılarını ilgilendirmekle birlikte şirkette bünyesinde çalışan hukuk müşavirleri, avukatlar, İnsan Kaynakları (İK) yöneticileri ve personeli,Bilgi İşlem Merkezi (IT) yöneticileri ve personeli, Halka İlişkiler Bölüm yöneticileri ve personeli, Pazarlama Bölüm yöneticileri ve personeli, Risk Bölüm yöneticileri ve personelin iş tanımlarıyla yakından ilgilidir.
Kanun ve yönetmelikler ne zaman yürürlüğe girmiştir?
NO |
KANUN – YÖNETMELİK ADI |
RESMİ GAZETE TARİHİ |
YÜRÜRLÜK TARİHİ |
1 |
6698 Sayılı Kişisel Verilerin Korunması Kanunu(Madde 1,2,3,4,5,6,7,10,12,19 ve sonrası) |
07.04.2016 – 29677 |
07.04.2016 |
2 |
6698 Sayılı Kişisel Verilerin Korunması Kanunu(Madde 8,9,11,13,14,15,16,17,18) |
07.04.2016 – 29677 |
07.10.2016 |
3 |
Kişisel Verilerin Silinmesi, yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
28.10.2017 – 30224 |
01.01.2018 |
4 |
Veri Sorumluları Sicili Hakkında Yönetmelik |
30.12.2017-30286 |
01.01.2018 |
Kanundaki yükümlüklerine yerine getirmeyenlere verilecek idari para cezaları nelerdir?
NO |
EYLEM |
YASAL DAYANAK |
PARA CEZASI |
1 |
Aydınlatma yükümlülüğünü yerine getirmeyenler |
KVK madde 18/1-a |
5.000 TL – 100.000 TL |
2 |
Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler |
KVK madde 18/1-b |
15.000 TL – 1.000.000 TL |
3 |
Kurul tarafından verilen kararları yerine getirmeyenler |
KVK madde 18/1-c |
25.000 TL – 1.000.000 TL |
4 |
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler |
KVK madde 18/1-ç |
20.000 TL – 1.000.000 TL |
Kanundaki yükümlülüklerini yerine getirmeyenlere Türk Ceza Kanunu kapsamından verilecek cezalar nelerdir?
Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237
sayılı Kanunun 138 inci maddesine göre cezalandırılır.
NO |
EYLEM |
MADDE |
CEZA |
1 |
Kişisel verileri hukuka aykırı olarak kaydetmek |
TCK madde 135/1 |
Bir yıldan üç yıla kadar hapis cezası |
2 |
Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel verileri hukuka aykırı olarak kaydetmek |
TCK madde 135/2 |
Bir yıldan üç yıla kadar hapis cezası yarı oranında artırılır. |
3 |
Kişisel verileri, hukuka aykırı olarak bir başkasına vermek yaymak veya ele geçirmek |
TCK Madde 136 |
İki yıldan dört yıla kadar hapis cezası |
4 |
Bu suçlar; Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenirse |
TCK Madde 137 |
Yukarıda verilecek cezalar yarı oranında artırılır. |
5 |
Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemesi |
TCK Madde 138/1 |
Bir yıldan iki yıla kadar hapis cezası |
|
Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması |
TCK Madde 138/2 |
Verilecek ceza bir kat artırılır. |
Kişisel Verilerin Korunması Uyum Süreci Danışmanlık Hizmeti
ÇÖZÜM ÖNERİMİZ
6698 Sayılı Kişisel Verilerin Korunması Kanun’un 12/1 maddesinde
“Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü yer almaktadır.
Teknik Tedbirler
- Yetki Matrisi
- Yetki Kontrol Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği
- Uygulama Güvenliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları
- Yedekleme
- Güvenlik Duvarları
- Güncel Anti-Virüs Sistemleri
- Silme, Yok Etme veya Anonim Hale Getirme
- Anahtar Yönetimi
İdari Tedbirler
- Kişisel Veri İşleme Envanteri Hazırlanması
- Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
- Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
- Gizlilik Taahhütnameleri
- Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi,
- Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
- Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
- Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
- Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
6698 Sayılı Kişisel Verilerin Korunması Kanun ve ilgili mevzuat kapsamında şirketiniz bünyesinde yapılması gerekenleri tespit etmek ve uyum sürecini başlatmak gerekmektedir.
Uyum süreci sonunda,
ISO 27001 Bilgi Güvenliği Yönetim Sistemi,(Security Techniques – Code of Practice for Information Security Management
ISO 31000 Kurumsal Risk Yönetim Sistemi Risk Management — Principles and Guidelines)
BS 10012 Kişisel Bilgi Güvenliği Sistemi (Specification for a Personal Information Management System) Standartlarına uygun olarak şirket kişisel veri sisteminin denetlenmesinde fayda bulunmaktadır.
6698 Sayılı Kişisel Verilerin Korunması Kanun’un GEÇİCİ MADDE 1/3 gereğince Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu kanun 07.04.2016 tarihinde yayınlandığından 07.04.2018 tarihi itibariyle şirketlerin işlemiş oldukları kişisel verileri bu kanuna uygun hale getirmeleri gerekmektedir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun yanı sıra Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation – GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girecektir.
AB vatandaşlarıyla ilgili verilerle çalışan tüm şirketlerin buna uygun hareket etmesi gerekmektedir.
AB vatandaşlarının verilerini işleyen, ister AB’de isterse AB dışında olsun tüm kuruluşlar için geçerlidir.
Bu düzenlemenin de yürürlüğe girmesiyle Kişisel Verilerin Korunması Uyum Süreci olarak nitelendirilen- Gizlilik ve Veri Korumasına Uyumluluk – Privacy and Data Protection compliance konularında özellikle AB vatandaşlarıyla ilgili verilerle çalışan şirketlerin ve kurumların alması gereken önlemler artacaktır.
Şirketiniz veya kurumunuz için Kişisel Verilerin Korunması Uyum Süreci Danışmanlık Hizmet teklifi almak için info@eralpdanismanlik.com.tradresine e-posta gönderebilirsiniz.