Your Cart
100

GÜLBENK DANIŞMANLIK

GÜLBENK DANIŞMANLIK
24-12-2019
GÜLBENK DANIŞMANLIK
24-12-2019

KİŞİSEL VERİLERİN KORUNMASI  KANUNU UYGULAMALARI

Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu kabul edilmiş; 07.04.2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Kanunda kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu olarak tanımlanmıştır.

Kişisel veri işleyen veri sorumlularının uyması gereken pek çok yükümlülük bulunmaktadır.

 Kanun kapsamında, kişisel veri işlemekte olan gerçek ve tüzel kişiler için Kanunun temel ilkelerine ve kişisel veri işleme şartlarına uyum, yurt içi ve yurt dışına aktarımda Kanun hükümlerine uyum, aydınlatma yükümlülüğü, veri güvenliğine ilişkin teknik ve idari tedbirleri alma, Veri Sorumluları Siciline (“Sicil”) kayıt olma ve kişisel verileri silme, yok etme veya anonim hale getirme (“İmha”) gibi yükümlülükler getirilmiştir.

Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamak, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.

Önemle belirtmek gerekir ki Sicile kayıt yükümlülüğünden istisna olmak Kanunun diğer hükümlerinden de istisna olmak anlamına gelmemektedir. Sicile kayıt yükümlülüğü dışında diğer yükümlülükler tüm veri sorumluları için geçerli ve yürürlüktedir.

Veri Sorumluları Siciline Kayıt Tarihleri:

Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında, Veri Sorumluları Siciline kayıt yükümlülüğünün başlama tarihleri ile ilgili karar alma ve bunu ilan etme görev ve yetkisi Kişisel Verileri Koruma Kuruluna (“Kurul”) verilmiştir.

Kurulun 2018/88 sayılı kararı ile yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişiler, yurtdışında yerleşik gerçek ve tüzel kişiler, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler ile kamu kurum ve kuruluşları için Sicile kayıt olunması gereken en son tarihler belirlenmiş ve ilan edilmiştir.

Kurul 2019/265 sayılı kararı ile Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süreyi uzatmış ve en son tarih   31.12.2019 olarak belirlenmiştir.

Bu kararlar dikkate alındığında kayıt tarihleri aşağıdaki gibidir:

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları 01.10.2018 - 31.12.2019,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 - 31.03.2020,
  • Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 - 30.06.2020, tarihleri arasında Sicile kayıt olmak zorundadır.

Bir veri sorumlusu, yukarıda ifade edilen veri sorumlusu gruplarından hangisinin kapsamı içinde ise o grup için belirlenmiş kayıt süreleri içerisinde kayıt yükümlülüğünü yerine getirmek zorundadır.

 Veri sorumlusu belirlenen sürenin tamamlanmasından sonraki bir tarihte kayıt yükümlüsü haline gelmişse, kayıt yükümlüsü olduğu tarihten itibaren 30 günlük sürede kayıt olmak zorundadır.

Kayıt Yükümlülüğü İle İlgili İstisnalar:

KVKK, Kanunda verilen yetkiye dayalı olarak bazı veri sorumluları için kayıt yükümlülüğü konusunda istisna getirmiştir. Bu kapsamda alınmış 2018/32, 2018/68, 2018/75 ve 2018/87 sayılı Kurul Kararları bulunmaktadır.

 Bu kararlara göre;

a) Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,

b) 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler,

c) 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve

18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,

ç) 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler,

d) 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,

e) Gümrük müşavirleri,

f) Arabulucular,

g) 01/06/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,

ğ) Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar,

VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur.

VERBİS sistemine kayıtta çalışan sayısı ve bilanço toplamının hesaplanması:

Kişisel Verileri Koruma Kurumu Veri Yönetimi Daire Başkanlığı tarafından hazırlanan dokümanda Sicile kayıt yükümlülüğünde çalışan sayısı ile mali bilanço toplamının nasıl belirleneceği açıklanmıştır.

Kararlarda yer alan yıllık çalışan sayısının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisindeki 12 aydan en az 7’sinin her birinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan Muhtasar ve Prim Hizmet Beyannamesinde bildirilen çalışan sayısının dikkate alınması gerekmektedir. Ayrıca söz konusu 7 ayın aynı yıl içerisinde olmak kaydıyla ardışık olması zorunlu değildir.

Buna göre, bir veri sorumlusu 2017 yılı içerisinde Sosyal Güvenlik Kurumuna vermiş olduğu Muhtasar ve Prim Hizmet Beyannamel  erinin en az 7 sinin her birinde bildirmiş olduğu çalışan sayısının 50’den çok olması halinde kayıt yükümlülüğü 01.10.2018 tarihinde başlamış olacaktır.

Kurulun istisna ve kayıt yükümlülüğü başlama tarihleriyle ilgili kararlarında, diğer bazı kriterlerle birlikte “yıllık mali bilanço toplamı” kriteri de dikkate alınmıştır.

Bu Kararlarda yer alan yıllık mali bilanço toplamının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisinde veri sorumlusu tarafından yetkili kamu kurumuna yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyanname ekindeki mali tablolarda yer alan mali bilanço bilgisinin dikkate alınması gerekmektedir. Buna göre veri sorumlusunun beyannamesi ekindeki bilançoda yer alan “aktif” ya da “pasif” bölümde yer alan toplam rakamı esas alınmalıdır.

KVKK Kapsamında uygulanan cezalar:

Veri sorumlularının Kanun ile getirilen yükümlülüklere aykırı hareket etmesi halinde aykırılığın suç teşkil etmesi halinde Türk Ceza Kanunu hükümleri uygulanmaktadır. Diğer taraftan yükümlülük ihlalleri  için idari para cezaları öngörülmüştür.

Düzenlemeye göre,

a) Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

 c) Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

 ç) Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

 idari para cezası uygulanması söz konusudur.

Açıklanan mevzuat uyarınca, veri sorumlusu olan tüm gerçek ve tüzel kişilerin Sicile kayıt olmak dahil tüm yükümlülüklerini yerine getirme konusunda dikkatli ve özenli olmaları gerektiğini önemle hatırlatmak istiyoruz.

GÜLBENK DANIŞMANLIK HİZMET İÇERİĞİ

Danışman tarafından Kişisel Verilerin Korunması Kanunu’na uyum sürecinde, idari tedbirler kapsamında yapılması gereken işlemlerle ilgili katkı sunulacaktır.

Danışman tarafından sunulacak hizmetler KVKK ve ilgili mevzuat kapsamında olup, Avrupa Birliği Veri İşleme Tüzüğü (GDPR) uyum ve süreç yönetimini kapsamamaktadır.

Danışman olarak tarafımızca katkı sağlanacak işlemler aşağıda yer almaktadır.

  • Kişisel verilerin işlenmesi, korunması ve imhası politikasına ilişkin politika metninin oluşturulması, 
  • “Kişisel Veri Envanteri”nin, kişisel veri işleme süreçlerinde yer alan görevli kişilerce hazırlanması hususunda danışmanlık yapılması,
  • VERBİS kayıt sistemine kayıt aşamasında danışmanlık hizmeti verilmesi,
  • Genel aydınlatma metinlerinin hazırlanması,
  • Çalışan adayı ile çalışanlara yönelik aydınlatma metinlerinin hazırlanması,
  • İlgili kişinin açık rızasının alınması gereken haller için açık rıza metni oluşturulması,
  • İşletmede veri işleyen veya verilerle teması bulunan çalışanlar için gizlilik taahhütnamesi hazırlanması,
  • İşletmenin faaliyeti kapsamında tedarikçi, alt işveren gibi sözleşmesel ilişkisi içinde bulunulan ve sözleşmelerin ifası için Hizmet Alanın işlediği kişisel verilerin aktarılması gereken firmalar için taahhütname hazırlanması,
  • Personel, müşteri ve tedarik sözleşmelerine, iş başvuru formlarına (sunulacak örnek sözleşmeler üzerinden) KVKK kapsamında gereken hükümlerin ilave edilmesi,
  • İşe yeni başlayan personel için PDF/DOC formatında eğitim materyali hazırlanması,
  • Kişisel verilerin işlenmesi süreçlerine dahil olan personele/yöneticilere farkındalık eğitimi verilmesi.

 

       HİZMETLERİN YERİNE GETİRİLMESİ AŞAMALARI

  1. İrtibat Kişisi Atanması, İlgili Birimlerdeki Yetkili Kişilerin Belirlenmesi

İrtibat kişisi, Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi ifade etmektedir. İrtibat kişisi atanması zorunludur. Veri sorumluları siciline kayıt işlemleri irtibat kişisi tarafından yerine getirilir.

Birim yetkilileri Hizmet Alanın organizasyon yapısı içerisinde oluşturulmuş ve kişisel veri işleyen veya kişisel verilerle herhangi bir şekilde temas eden birimlerde çalışan ve uyum çalışmaları kapsamında iş birliği yapılacak kişiler olacaktır.

  1. Oluşturulan proje ekibiyle Kişisel Verilerin Korunması Kanunu hakkında ön bilgilendirme toplantısı yapılması

Yapılacak çalışma ekiple birlikte yürütülmek zorunda olup, ekipte yer alan çalışanların KVKK kapsamında farkındalığının artırılması gerekmektedir.

Bu amaçla;

  • KVKK kapsamı,
  • Kişisel veri tanımı,
  • Özel nitelikli kişisel veri tanımı,
  • Kişisel veri sorumlusu,
  • Veri sorumluları sicili (VERBİS),
  • Kişisel veri ve özel nitelikli kişisel verilerin işlenmesinin kapsamı,
  • Kişisel veri işleme şartları,
  • Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi,
  • Kişisel verilerin aktarılması,
  • Kişisel veri toplayan ilgili departmanların veri envanteri çalışması içeriği,

konularında ön bilgilendirme yapılacaktır.

  1. İnceleme

İnceleme aşaması, Hizmet Alanın tanınmasına yönelik çalışmaları içermektedir. Bu aşamada kişisel verilerin işlenmesi süreçlerinde risk analizi yapılması, kişisel veri envanterinin oluşturulması ve diğer hukuki metinlerin hazırlanabilmesi için bilgi toplanması çalışmaları yapılacaktır. Bu kapsamda proje ekibi ile işbirliği içerisinde,

  • Organizasyon şeması ve çalışma alanlarına göre birimlerin tanınması,
  • Birimlerde işlenen kişisel verilerin tespiti, analizi,
  • Kişisel veri toplama amaçlarının tespiti,
  • Verisi toplanan kişi gruplarının tespiti,
  • Veri işlemenin hukuki dayanağı (açık rıza, sözleşme kurulması ve ifası, yasal yükümlülüklerin yerine getirilmesi, meşru menfaatinin bulunması gibi)
  • İşlenen kişisel verilerin saklama süresi ve saklama ortamı,
  • Kişisel verilerin hangi yollarla toplandığı,
  • Amaçlar çerçevesinde toplanması gerekmediği halde toplanan kişisel veri olup olmadığı,
  • Kişisel veri aktarılan/paylaşılan kişi ve kurumların tespiti, (yurt içi/yurt dışı),
  • Kişisel verilerin korunması amacıyla alınan idari ve teknik tedbirler,
  • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi amacıyla yapılan faaliyetler,
  • Kişisel verilere temas eden personellerin tespiti,
  • Sözleşmelerde KVKK kapsamında hüküm bulunup bulunmadığının tespiti,

yapılacaktır.

  1.  Veri envanterinin oluşturulması

İnceleme aşamasında toplanan verilere göre kişisel veri envanteri oluşturulması aşamasına geçilecektir. Bu aşamada proje ekibinde bulunan her birim çalışanı, ön bilgilendirme aşamasında anlatılan Excel envanter tablosu üzerinden kendi birimi ile ilgili bilgi girişini yaparak, taslak envanter oluşturacaktır.

Tüm birimlerin çalışmaları birleştirilip, inceleme aşamasında toplanan bilgiler ışığında kontroller yapılacaktır.

  1. Hukuki Metinlerin Oluşturulması

Hazırlanan envanter esas alınarak, 

  • Kişisel verilerin işlenmesi, korunması ve imhası politikasına ilişkin politika metninin oluşturulması,
  • Genel aydınlatma metinlerinin hazırlanması,
  • Çalışan adayı, stajyer ve çalışanlara yönelik aydınlatma metinlerinin hazırlanması,
  • İlgili kişinin açık rızasının alınması gereken haller için açık rıza metinleri oluşturulması,
  • İşletmede veri işleyen veya verilerle teması bulunan çalışanlar için gizlilik taahhütnamesi hazırlanması,
  •  İşletmenin faaliyeti kapsamında tedarikçi, alt işveren gibi sözleşmesel ilişkisi içinde bulunulan ve sözleşmelerin ifası için Hizmet Alanın işlediği kişisel verilerin aktarılması gereken firmalar için taahhütname hazırlanması,
  • Personel, müşteri ve tedarik sözleşmelerine, iş başvuru formlarına (sunulacak örnek sözleşmeler üzerinden) KVKK kapsamında geren hükümlerin ilave edilmesi,
  • İşe yeni başlayan personel için PDF/DOC formatında eğitim materyali hazırlanması,
  • Veri sahibi ilgili kişinin veri sorumlusu Hizmet Alana yapacağı haklarına ilişkin başvuru formunun hazırlanması,

çalışmaları yapılacaktır.

  1. VERBİS Kaydı

Oluşturulan envanter esas alınarak irtibat kişisi tarafından VERBİS kaydı oluşturulması gerekmektedir.

VERBİS kaydının irtibat kişisi tarafından oluşturulması esnasında danışmanlık hizmeti verilecektir.

(NOT: Kanunun sistematiği içerisinde VERBİS kaydının diğer yükümlülüklerden sonra yerine getirilmesi gerekmektedir. Ancak gelinen süreçte VERBİS kaydı için tanınan sürenin sınırlı olması ve kayıt öncesi yapılması gereken işlemlerin tamamlanarak 31.12.2019 tarihine yetiştirilmesi mümkün olmadığından, süre ihlali yaşanmaması için veri sorumlusunun öncelikle kayıt işlemini yapması zarureti doğmaktadır. Bu nedenle diğer işlemler sonradan tamamlanacak ve gerekirse VERBİS kaydı güncellenmesi gerekecektir.)

 

  1. Uygulamaya Yönelik Çalışmalar

Kişisel veri saklama ve imha süreçleri, zaman içinde gelişen ve değişen durumları içinde barındırmaktadır. Diğer taraftan süreklilik arz eden bu sürecin denetim altında tutulması gerekmektedir. Bu nedenle,

7.1. Danışman tarafından yapılacak çalışmaların tamamlanmasından sonra Hizmet Alanın KVKK uygulamalarının takibi ve denetimi, sürdürülebilir olması açısından bir KVKK Komitesi/Birimi oluşturulması sağlanacaktır. Oluşturulacak birim,

KVKK uygulamalarının Hizmet Alan bünyesinde sürekliliğinin sağlanması, Hizmet Alan adına oluşturulan politikalara uygun davranılmasının takibi,

KVKK uygulamaları ile ilgili süreçlerde yer alanların denetimlerinin sağlanması,

KVKK kapsamında hazırlanan belgelerin değişen durumlara göre güncellenmesi, değiştirilmesi,

KVKK kapsamında ilgili kişilerin başvurularının cevaplandırılması gibi işlemlerin tek elden yapılmasını sağlayacaktır.

7.2. Sonuç Eğitimi

Yapılan çalışmalar sonucu uyumun devam ettirilmesi için Hizmet Alan çalışanlarına KVKK kapsam ve uygulamaları hakkında genel bir eğitim verilecektir.

EK- KİŞİSEL VERİLERİN KORUNMASI KANUNU UYUM SÜRECİ

Saygılarımızla.

GÜLBENK DANIŞMANLIK

Haber Ek Dosyası
https://www.tozok.org.tr/image/news/gülbenk_KVKK.pdf
Bu internet sitesinde, kullanıcı deneyimini geliştirmek ve internet sitesinin verimli çalışmasını sağlamak amacıyla çerezler kullanılmaktadır.