Kişisel Verilerin Korunması Kanunu (“KVKK“) kapsamında, şirketlerin kişisel verileri usulüne uygun olarak işlemeleri önem arz etmektedir. Kanuna aykırı davranışların hukuki, finansal ve ticari riskleri göz önüne alındığında, şirketlerin ve özellikle de kişisel veri işleyen çalışanlarının kişisel verilerin korunması hakkında bilinçli olması bir zorunluluktur, zira kişisel verilerin hukuka aykırı olarak işlenmesi şirketi olduğu kadar, kişisel veriyi işleyen bireyleri de sorumluluk altına sokmaktadır.
Bu bilgilendirme veri sorumlularının yükümlülüklerine, Veri Sorumluları Sicili’ne kayıt usulüne, aydınlatma metinlerine, COVID-19 kapsamında verilerin işlenmesine ve kanuna aykırılık halinde karşılaşılabilecek yaptırımlara ilişkin özet bilgiler içermektedir.
Veri işleme faaliyetlerinize veya veri sorumlusu olarak yükümlülüklerinize ilişkin herhangi bir sorunuz ya da kişisel bir verinin hukuka uygun olarak işlenmediği konusunda bir endişeniz olması halinde, lütfen şirketinizin hukuk bölümü ile irtibata geçiniz.
1. Veri sorumlusunun temel yükümlülükleri nelerdir?
Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerinin elde edilmesi sırasında ilgili kişiyi aydınlatmakla yükümlüdür. Kişisel verilerin ilgili kişiden elde edilmemesi halinde ise kişisel verilerin (i) elde edilmesinden itibaren makul bir süre içerisinde; (ii) ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında; veya (iii) aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişinin aydınlatılması gerekir.
Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini, bu verilere hukuka aykırı olarak erişilmesini önlemekle ve bu verileri korumakla sorumludur. Veri sorumluları, bu güvenlik düzeyini temin etmeye yönelik olarak her türlü fiziki, idari ve teknik tedbiri almak zorundadır.
Kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında, veri sorumlusu bu verileri ilgili kişinin talebi üzerine ya da resen siler, yok eder veya anonim hale getirir.
Veri sorumluları veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kaydolmak zorundadır.
Veri sorumluları ayrıca ilgili kişilerin taleplerine cevap vermeli ve kurul kararlarını yerine getirmelidir.
2. Aydınlatma metni nasıl olmalıdır?
Veri sorumluları KVKK’nın 10. maddesi uyarınca verileri işlemeye başlamadan önce veya verilerin elde edilmesi sırasında ilgili kişileri verilerin işlenmesine ilişkin bilgilendirmelidir.
Aydınlatma metinleri aşağıdaki bilgileri içermelidir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- İşlenen veri kategorileri,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- İlgili kişinin hakları.
Aydınlatma metinlerinde genel ve muğlak ifadelere yer verilmemeli ve verilerin işlenme amaçları sınırlı olarak sayılmalıdır. Bu nedenle kapsamı çok geniş, halihazırda var olmayan ancak daha sonra gündeme gelme ihtimali olan veri işleme amaçlarına yönelik ifadelerden kaçınılmalıdır.
Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. Bu doğrultuda veri sorumlularının ilgili kişilerin aydınlatma metnini okuyup anladığına ilişkin imzalarını almaları ya da elektronik ortamda bir kutucuğu işaretlemeleri önerilmektedir.
Aydınlatma metinlerinin hangi dilde sunulması gerektiğine ilişkin olarak KVKK’da açıklık yoktur. İlgili kişinin metni tam ve doğru şekilde anlayabileceği herhangi bir dilde aydınlatma yapılması mümkündür. Ancak aydınlatma yapıldığına ilişkin ispat yükü veri sorumlusu üzerinde olduğu için ilgili kişilerin aydınlatmayı anlamadıklarına ilişkin iddiaları engellemek adına aydınlatma metinlerinin Türkçe sunulması tavsiye edilmektedir.
3. Yurt dışına veri aktarımında hangi hususlara dikkat edilmelidir?
KVKK’nın 9. maddesi uyarınca kişisel verilerin yurtdışına aktarılması için 4 mekanizma öngörülmüştür ve veri sorumlularının kendi veri işleme faaliyetlerine en uygun olacak veri aktarım mekanizmasını seçmeleri gerekmektedir:
- İlgili kişilerin açık rızasının alınması,
- Verilerin aktarılacağı ülkede yeterli korumanın bulunması,
- Veriyi aktaran ile alan arasında taahhütname imzalanarak, Kişisel Verilerin Korunması Kurumu’nun (“Kurum“) onayının alınması, veya
- Grup şirketleri arasındaki aktarımlar için, bağlayıcı şirket kuralları imzalanarak, Kurum’un onayının alınması.
Kurum, henüz yeterli koruma bulunan ülkeleri açıklamamıştır. Bugüne kadar Kurum tarafından onaylandığı ilan edilen taahhütname sayısı ise 4’tür ve henüz hiçbir bağlayıcı şirket kuralına ilişkin duyuru yayımlanmamıştır. Bu doğrultuda uygulamada kısa vade için en çok tercih edilen aktarım mekanizması ilgili kişilerin açık rızasının alınmasıdır.
Ayrıca, Kurum yurt dışına veri aktarımı hususunda Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile uyum çalışmalarının yürütüldüğünü ifade etmiştir.
4. Çalışanların kişisel verileri hangi koşullarda işlenebilir?
Çalışanların kişisel verilerinin işlenmesi KVKK’ya tabi olarak gerçekleştirilmelidir. Bu kapsamda veri sorumlusunun veri işleme faaliyetlerine ilişkin olarak çalışanları aydınlatması, gerektiği hallerde açık rızalarını alması ve veri işleme faaliyetlerini KVKK’nın 5/2 maddesinde sayılan hukuki sebepler uyarınca gerçekleştirmesi gerekmektedir.
İşverenlerin, istihdam kapsamında çalışanların kimlik ve iletişim bilgileri, maaş bilgileri, banka hesap bilgileri gibi kişisel verilerinin işlenmesi sırasında KVKK’nın 5. maddesinde sayılan hukuki sebeplere dayanması gerekmektedir.
Sayılan veri kategorilerinin yanı sıra çalışanların sağlık verileri ya da sabıka kaydı gibi özel nitelikli kişisel verilerinin işlenmesi de gerekebilecektir. Özel nitelikli kişisel verilerin işlenmesi KVKK’nın 6. maddesinde düzenlenmiştir. Söz konusu madde uyarınca özel nitelikli kişisel veriler çalışanların açık rızası doğrultusunda işlenebilir. Sağlık verileri ise ancak çalışanların (i) açık rızası doğrultusunda ya da (ii) kamu sağlığının korunması, koruyucu hekimlik gibi KVKK’da sayılan hallerde sır saklama yükümlülüğü bulunan kişiler tarafından açık rızaya dayanmaksızın işlenebilir. Bu kapsamda çalışanların sağlık verileri çalışanın açık rızası alınmadığı takdirde ancak işyeri hekimi tarafından işlenebilecek ve erişilebilecektir.
5. COVID-19 kapsamında özel nitelikli verileri işlerken KVKK’ya tabi olur muyuz?
COVID-19 salgını kapsamında HES kodu uygulaması, aşı kartının ve PCR test sonucunun toplanması gibi yöntemlerle özel nitelikli kişisel veri işleme faaliyetleri gerçekleştirilmektedir.
Kurum’un bu konudaki duyuruları çerçevesinde, Sağlık Bakanlığı ve yetkili kamu kurum ve kuruluşlarının COVID-19 kapsamında veri işleme faaliyetleri KVKK’nın 28. maddesinde öngörülen kamu güvenliği ve kamu düzeninin sağlanması istisnaları kapsamında değerlendirilmekte ve bu işleme faaliyetleri için KVKK hükümleri uygulanmamaktadır.
Kurum’un 28 Eylül 2021 tarihli duyurusuyla ise, COVID-19 salgınıyla ilgili olarak kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen önleyici ve kapsayıcı faaliyetler kapsamında PCR test sonucu ve aşı bilgilerinin KVKK’nın istisnası kapsamında işleneceği açıklığa kavuşmuştur. Böylelikle, kamu kuruluşları ile özel kuruluşların; İçişleri Bakanlığı, Çalışma ve Sosyal Güvenlik Bakanlığı veya diğer yertkili kamu kurum ve kuruluşlarının yazılarına dayanarak ve bu yazılar ile sınırlı olacak şekilde test sonucu ve aşı bilgilerini işleme faaliyetleri KVKK kapsamında değerlendirilmeyecektir.
6. Çerezler için açık rıza alınması gerekli midir?
Çerez uygulamalarına ilişkin olarak KVKK, ikincil mevzuat veya Kurum rehberlerinde özel bir düzenleme bulunmamaktadır. Bu nedenle uygulamada çerezlere ilişkin olarak daha çok AB uygulamaları takip edilmektedir.
Çerez uygulamaları kapsamında gerçekleştirilen veri işleme faaliyetleri bakımından KVKK’nın 5. maddesinde sayılan hukuki sebeplere dayanılması gerekmektedir. Kurum’un konuya ilişkin görüşü, internet sitesinin işleyişine ilişkin zorunlu çerezler bakımından açık rıza alınmasına gerek olmadığı yönündeyken, zorunlu olmayan çerezler dışındaki çerez uygulamaları için açık rıza alınması gerektiği yönündedir. İlaveten, pazarlama ve profilleme amaçları ile gerçekleştirilen çerez uygulamaları kapsamında açık rıza alınması gerektiği değerlendirilmektedir. Kurum’un da konuya ilişkin yakın tarihli bir kararı bulunmaktadır.
Ek olarak, çerezlere ilişkin veri işleme faaliyetleri kapsamında aydınlatma yükümlülüğünün baki kaldığı unutulmamalıdır.
Çerez uygulamalarına ilişkin güncel gelişmeler için Kurum’un yönlendirmeleri yakından takip edilmelidir.
7. Veri Sorumluları Sicili nedir?
Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurul’unun gözetiminde Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulmaktadır. Veri Sorumluları Sicili kısaca VERBIS olarak adlandırılmaktadır.
VERBIS veri sorumlularının veri işleme faaliyetlerine ilişkin bilgilerini kategorik olarak beyan ettikleri bir sistemdir. VERBIS ile veri sorumlularının kamuya açıklanması ve ilgili kişilerin veri sorumlularının veri işleme faaliyetlerinden haberdar olması amaçlanmaktadır.
- Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları,
- Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumluları, ve
- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları
VERBIS’e kayıt olmakla yükümlüdür.
8. VERBIS’e kayıt sürecinde neler yapılmalıdır ve VERBIS kaydı için son tarih nedir?
VERBİS kaydında kategorik bazda veri sorumlusu, veri kategorileri, veri işleme amaçları ve hukuki sebepleri, aktarım ve veri alıcıları, saklama süreleri ve alınan idari ve teknik tedbirlere ilişkin bilgiler sağlanmalıdır.
İlaveten, aşağıdaki hususlara dikkat edilmelidir:
- VERBİS kayıt sürecinin bir parçası olarak kişisel veri işleme envanteri hazırlanmalıdır. VERBİS’e kaydedilen bilgiler, envanter ile uyumlu olmalıdır.
- VERBIS kaydı kapsamında veri sorumlularının kişisel veri saklama ve imha politikası ile veri ihlal müdahale planlarının bulunması önem arz etmektedir.
- Yurtdışında yerleşik veri sorumluları, VERBİS’e kaydolmadan önce veri sorumlusu temsilcisi atamalıdır.
- VERBİS kayıtları eksiksiz, doğru, güncel ve hukuka uygun olmalıdır. VERBİS’e kayıtlı veri sorumluları, VERBİS’e kaydolduktan sonra işleme faaliyetlerinde bir değişiklik meydana gelirse VERBIS kayıtlarını 7 gün içinde güncellemelidir.
Kişisel Verileri Koruma Kurulu’nun 2021/238 sayılı kararı uyarınca VERBİS kayıt tarihleri uzatılmış olup VERBIS’e kayıt yükümlülüğü bulunan veri sorumlularının en geç 31 Aralık 2021 tarihine kadar VERBİS kayıtlarını tamamlamaları gerekmektedir.
9. Kişisel veri işleme envanteri nedir?
VERBIS’e kayıt olması gereken veri sorumlularının kayıt olmadan önce mutlaka veri işleme envanteri hazırlaması gerekmektedir. Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca kişisel veri işleme envanteri, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini veri işleme amacı, sebebi, veri kategorileri, alıcı grupları, saklama süreleri, yurtdışına aktarım ve veri güvenliğine ilişkin tedbirleri açıklayarak detaylandırdıkları envanterdir.
Veri envanterleri kamuya açık belgeler değildir ancak VERBIS kaydı veri envanterine uygun olarak yapılmalıdır.
10. Kişisel verilere ilişkin kurallara aykırılığın yaptırımı nelerdir?
Bu hükümlerin ihlalinde hukuki anlamda üç tür yaptırımla karşılaşılır:
- Cezai yaptırımlar: Kişisel verileri hukuka aykırı olarak kaydeden kişilere, bir yıldan üç yıla kadar hapis cezası verilir. Ayrıca, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişiler, iki yıldan dört buçuk yıla kadar hapis cezası ile cezalandırılır.
- İdari yaptırımlar: 2021 yılı için ihlalin türüne göre 834TL’den 1.966.862 TL’ye kadar idari para cezası uygulanır.
- Hukuki yaptırımlar: İlgili kişiler, kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle uğradıkları zararların giderilmesini talep edebilirler.
