kvkk
-
-
-
(bkz: general data protection regulation)
kişisel verilerin korunması kanunu.
firmaların size ait verileri 3. şahıslar ile paylaşmasını ve barındırmasını engelleme amacı ile çıakrtılmış bir kanundur.
türkiye çıkartmadı, avrupa çıkarttı. biz mecbur uyduk.
hatta bir rivayete göre bilişim devleri yeni pazar için zorladı. -
dünyada daha teknoloji altyapıları yeni gelişirken , türkiye olarak 1989 yılında çalışmaya başladığımızı , bu konu ile ilgili kanunlar çıkarttığımızı bilmeyen kişilerin "avrüpe çıkarttı, biz de uyduk" dediği kişisel veri koruma şeysi.. şu an ki iktidar olmayaydı , 89 da başladığımız yerden fersah fersah ilerde olurduk... neyse blşi demiyorum ben..
-
(bkz: kişisel verilerin korunması kanunu)
barındırdığı bir takım düzenlemeler ile kişisel verilerin korunmasına yönelik şimdilik etkin sayılabilecek ancak fikrimce henüz ülkemiz açısından uzun vadede yetersiz denebilecek bir kanundur. şirketlerin kişisel verileri barındırmasını engelleme anlamına gelmeden barındırılan bilgiyi kontrol etmek ve denetlemek amacı taşıyan bir düzenlemedir. barındırılan kişisel bilgilerin veri siciline * kaydını zorunlu kılar.
bu kanunda ayrıca şirketlerin kişisel verileri koruma yükümlülüğün ihlâli hâlinde uygulanmak üzere cezai, idari ve hukuki sorumluluklar öngörülmüştür. 6698 sayılı kanunda kişisel verilerin korunmasının yanı sıra edinilen kişisel bilgilerin yasal bir zeminde nasıl işleneceğine de değinilmiştir. bu düzenlemelere göre kişisel veriler, ancak bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. kişisel verilerin işlenmesinde kanunda belirtilmiş bir takım ilkelere uyulması zorunludur. kanunda belirtilen ilkelerin yanında kişisel verilerin üçüncü kişiler tarafından işlenebilmesi için bir takım şartlar da öngörülmüştür. kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. ancak, 6698 sayılı kanun’da öngörülen bazı durumlarda kişilerin verileri, özel kişisel veri niteliğinde olanlar hariç olmak üzere, ilgililerin rızası olmadan işlenebilir ve saklanabilir.
kişisel verileri saklayan, işleyen kişi ve kurumların kişisel verileri saklarken veya işlerken uyması gereken ve kanunun öngördüğü bir takım yükümlülükler söz konusudur. kişisel verileri saklayan ve işleyen kişi ve kurumlar “veri sorumlusu” olarak nitelendirilebilir. kanunda öngörülen yükümlülüklere göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
kişisel verileri saklayan ve işleyen gerçek ve tüzel kişilerin, kişisel verilerin edinilmesi, saklanması, korunması ve işlenmesi bakımından 6698 sayılı kanuna aykırı olarak suç işlemeleri durumunda bu gerçek ve tüzel kişiler hakkında 26/9/2004 tarihli ve 5237 sayılı türk ceza kanununun 135 * ila 140’ inci madde * hükümleri uygulanır.
kişisel verileri saklayan ve işleyen gerçek ve tüzel kişilerin, kişisel verilerin edinilmesi, saklanması, korunması ve işlenmesi bakımından 6698 sayılı kanuna aykırı olarak kabahat işlemeleri durumunda ise 6698 sayılı kanunda madde 18’de öngörülen idari yaptırımlar uygulanır.
6698 sayılı kanun’da 18. maddeye göre aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 türk lirasından 100.000 türk lirasına kadar, verileri hukuka uygun şekilde işlemeyen veya korumayanlar hakkında 15.000 türk lirasından 1.000.000 türk lirasına kadar, kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 türk lirasından 1.000.000 türk lirasına kadar ve veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 türk lirasından 1.000.000 türk lirasına kadar, her ihlal için ayrı ayrı olmak üzere idari para cezaları öngörülmüştür. bu kanun nezdinde kişisel verilerin korunması maksadıyla ciddi yaptırımlar düzenlenmiştir ve bu yaptırımların caydırıcı olması istenmiştir.
bununla birlikte, kişisel verinin işlenmesi ancak açık rıza alınmaması, hukuka uygun olarak elde edilen verinin süresi geçmesine rağmen silinmemesi, yok edilmemesi veya anonimleştirilmemesi, örneğin bir sağlık sektörü çalışanının hasta verilerini üçüncü kişilerle paylaşması halinde bu gibi eylemler suç unsuru olarak nitelendirilebilir ve karşımıza tck’nın* düzenlemeleri ve hürriyeti bağlayıcı cezalar çıkabilir.
şirketler, veri sorumlusu olarak, ticari sözleşmelerde ve iş sözleşmelerinde kişisel verilerin korunmasına yönelik bir takım düzenlemelere gitmelidir. bu şekildeki düzenlemeler kişisel verileri korumakla yükümlü gerçek ve tüzel kişileri azami ölçüde yaptırım tehlikesinden ve kişisel verilerin istem dışı açığa çıkmasından koruyacaktır.
öncelikle şirketler açısından; ilk adım olarak kişisel verilerin korunması uygulamasında şirket politikası belirlemek yoluna gidilmelidir. şirketlerin kişisel verileri işleme politikası belirlenmeli ve kişisel verileri koruma kurulu’na sunulmalıdır. politika oluşturulurken kanunun ön gördüğü seçimlik korumalardan şirket için uygun olan bir veya birkaçı seçilmelidir. yani verilerin kullanılmayacağı zaman geldiğinde şirket bu verileri, ya yok etmeyi ya silmeyi ya da anonimleştirmeyi tercih etmelidir. çünkü ilerideki olasılıklar değerlendirildiğinde, kişisel verileri tutulan işçilerin şirkete karşı açabileceği olası davaların gündeme gelmesi mümkündür. bununla birlikte iş sağlığı ve güvenliği mevzuatı uyarınca, şirket bünyesinde bulunan verilerin, 15 yıllık süreyle saklanması yine kanuni yükümlülük olduğundan, buna ilişkin veriler ortadan kaldırılmadan önce bu süre boyunca saklanmalıdır.
kişisel verilerin korunması, saklanması ve işlenmesine yönelik şirket politikası belirlendikten ve gerekli altyapı sağlandıktan sonraki adım olarak şirketler tarafından hangi kişisel verilerin toplanacağının belirlenmesi adımına geçilmesi mantıklı olacaktır. çünkü 6698 sayılı kanunla birlikte artık şirketlere kişisel veri toplarken belli amaçlar doğrultusunda hareket etme sınırlaması getirilmiştir. buna göre verileri; işin gerektirdiği genel veriler ve özel nitelikte veriler olarak ayırmamız mümkündür. kanun özel nitelikte verilerin toplanmasının, ancak açık rızanın varlığı halinde mümkün olduğunu belirtmiştir. örnek vermek gerekirse bunlar; kişinin evliliği düşünüp düşünmediği, çocuk sahibi olma planlarının ne olduğu, sabıka kaydının var olup olmadığı, dernek veya sendika üyeliği vs. kanun her ne kadar sözleşmenin ifası dolayısıyla toplanan genel nitelikteki verilerde, karşı tarafın rızasının aranmayacağını öngörmüş ise de; bu madde yoruma açık bir maddedir. şirketlerde riske girmemek adına, şirketlerle yapılacak ticari sözleşmeler ile işçilerle kurulacak iş sözleşmesi akitlerinde özel ve genel nitelikte verilere ilişkin açık rıza almak, şirket menfaatine olacaktır. bu aşamada bu özel nitelikteki verinin, mesleğin gerekliliği için alındığı not edilmelidir.
bahsettiğimiz tüm bu adımlar gerçekleştirildikten, şirketlerin kişisel verilen korunması yükümlülüğü çerçevesinde politikası belirlendikten, aydınlatma ve rıza formu oluşturulduktan ve veriler kategorize edildikten sonra, şirketin veri siciline * kaydı yapılması gerekmektedir. bu kaydın gerçekleşmesi için, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon tl’den çok olan gerçek ve tüzel kişi veri sorumluları için son kayıt tarihi 31.12.2019’dur. burada dikkat edilmesi gereken husus, her iki şarttan birinin bulunmasının yeterli olmasıdır. yani; 50 den çok sayıda çalışan varsa yıllık mali bilanço 25 milyon tl’den az olsa bile son kayıt tarihi 31.12.2019 olacaktır. aynı şekilde; çalışan sayısı 50’den az olmasına rağmen yıllık mali bilanço toplamı 25 milyon tl’den fazla ise son kayıt tarihi yine 31.12.2019 olacaktır. yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon tl’den az olmakla birlikte faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının sicile kayıt yükümlülüğünü yerine getirmeleri için son kayıt tarihi 31.12.2019’dir. burada dikkat edilmesi gereken husus, hem 50 den az sayıda çalışan bulunmalı hem de yıllık mali bilanço 25 milyon tl’den az olmalı ve ayrıca şirketin ana faaliyet konusunun özel nitelikli kişisel veri işleme olmalıdır. bu üç şartın birlikte bulunması halinde son kayıt tarihi 31.03.2020 olacaktır. şartlardan birinin bulunması halinde, örneğin; çalışan sayısının 50’den fazla, yıllık mali bilançonun 25 milyon tl’den az olması halinde ana faaliyet konusuna bakılmaksızın son kayıt tarihi yukarıdaki madde gereği 30.12.2019 olacaktır.
kamu kurum ve kuruluşu veri sorumluları için son kayıt tarihi ise 30.06.2020’dir.
yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon tl az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların verbis sistemine kayıt zorunluluğu bulunmamaktadır. (burada dikkat edilmesi gereken husus, verbis sitemine kayıt zorunluluğundan muafiyet için aranan üç şartın da birlikte bulunmasının gerektiğidir. yani hem çalışan sayısı 50 den az olmalı hem de yıllık mali bilanço 25 milyon tl’den az olmalı, ayrıca bunların dışında, şirketin ana faaliyet konusunun özel nitelikli kişisel verileri işleme olmaması gerekmektedir. ) bu üç şartın birlikte bulunması halinde verbis’e kayıt zorunluluğu bulunmamaktadır.
yeni kanun kapsamında verilerin kullanılması ve işlenmesinden kaynaklı olarak şirketçe bir idari yaptırımla karşılaşmamak için; şirket içi verilerin bahsedilen şekilde kategorize edilmesi, uygun politika belirlenmesi, aydınlatma ve rıza formlarının oluşturulması ve sicile kaydedilmesi gereklidir. verilerin toplanacağı alanları daha güvenlikli hale getirmek ve buna uygun bilişim sistemlerine hakim olmak önemlidir. çünkü kanun kapsamında tedbir almak da şirketin sorumluluğundadır. bunun yanı sıra bilgilerin 3. kişilere aktarılacak olması halinde, bunların kimler olacağı ve ne amaçlarla aktarılacağı belirlenmeli ve ticari sözleşmeler ile iş sözleşmesi oluşturulurken bu husus atlanmadan her iki sözleşmede de buna ilişkin hükümlere yer vermek gereklidir.
önemli edit: kişisel verilerin korunması kurulu tarafından 6698 sayılı kanunun geçici 1 inci maddesi gereği;
- yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon tl’den çok olan gerçek ve tüzel kişi veri sorumlularına sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
- yurtdışında yerleşik gerçek ve tüzel kişi sorumlularına sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
- yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon tl’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularına sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.09.2020 tarihine,
- kamu kurum ve kuruluşu veri sorumlularına sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 31.12.2020 tarihine,
kadar uzatılmasına karar verilmiştir. -
an itibariyle 31.12.2019 son olan verbis kayıt süresinin 6 ay uzatılarak 30.06.2020 tarihine ertelendiğini kurum açıkladı.
https://www.kvkk.gov.tr/…7-sayili-kurul-karar-ozeti -
kvkk kanununa uymayan kuruluşların şikayet edilebilmesi için ilk müracatın o kuruluşa yapılması gerekmektedir.
şikayet hakkı : https://www.kvkk.gov.tr/icerik/2063/sikayet-hakki
kurumların sayfalarında kvkk konusunda aydınlatı metinleri , veri sorgulama için yapılacak işlemlerin neler olduğunu, veri sorumlusuna nasıl müracat edileceğinin de belirtmesi gerekir. google amca da yaptığım aramada örnek olarak loreal in sayfası ile karşılaştım, ki adamları takdir ettim , bireylerin sorgulama yapabilmeleri için hazırlıklarını yapmışlar , formu doldur buraya gönder demişler, yöntem ileride gelişir ama yaklaşım ve anlayış hoşuma gitti :
http://www.loreal.com.tr/…mlusuna-basvuru-formu.pdf
eğer böyle bir sayfa yoksa şirketin kayıtlı epostasına email atmak olabilir, ya da noter aracılığıyle dilekçe göndermek olabilir (avukat arkadaşlar yeşillendirsin yöntem kısmını ) şirkete sorumuzu sorabiliyoruz.
bu sorgulamadan sonra gelen cevap tatmin eden bir cevapsa her şey güzel, zaten adamlar güzelce cevapladılar. yok eğer eksik/yanlış bir cevap gelmişse ya da hiç cevap gelmemişse o zaman kuruma elimizdekilerle başvuruda bulunuyoruz.
hani yol göstermek gibi olmasın da sizi arayan/sms/email atan x şirketi "benim bilgimi nerden buldunuz, iznim var mı? " derseniz ve cevap veremezlerse bu cevabı ya da cevapsızlığı kvkk kurumuna iletirseniz, şirket onlara cevap vermek zorunda ve sizin verinizi yasal olmayan bir yolla elde etmişse ayak bastı parası ortalama 100.000 gayme. bunu şirketleri cezalandırmak için kullanmayın, ama b.kunu çıkaran şirkete de gereğini yapın , hadi bakalım kuzucuklarım , kardeş kardeş oynayın ... -
önüne gelen çok yüksek fiyatlar ile kvkk danışmanlığı yapmaktadır. hatta avukatlar çıkıp danışmanlığı bizden başkası yapmamalı demişlerdir. :)
-
ıt, ık birimleri öyle komik verbis kayıtları yapmışlar ki... siz siz olun hukuki destek almadan verbis, envanter kaydı yaptırmayın. başınız çok ağırır.
-
içinde bulunduğumuz dönemde şirketlerin gündemini oluşturan kanun.
şirketlerin (özellikle orta ölçekli şirketlerin) dijitalleşme süreçleri sonucunda ortaya çıkan veri kaybı risklerinin önlenmesi için oluşturulan kanun.
bu süreçte doğru yol iki aşamadan oluşmaktadır. birincisi hukuksal açıdan yaklaşım, ikincisi ise bilgi sistemleri yönetimi açısından yaklaşmak. hukuk tarafını çok detaylı bilmiyorum ancak alacağınız hukuk danışmanlığı sonucunda kvkk maddelerinin şirketiniz içindeki süreçlerle birlikte analiz edilerek risk noktaları belirlenebilir ve atılması gereken adımlar netleştirilebilir. bu analiz sonucunda bilgi altyapısı tarafındaki ihtiyaçlar belirlendikten sonra bu konularda çalışan bir teknoloji firması yardımıyla da (ki bu firmalar network/sistem güvenlik çözümleri sunan firmalar oluyor) altyapı eksiklikleri giderilebilir.
edit: işin teknik tarafında yani bilgi sistemleri altyapısı tarafındaki sorular için mesaj atabilirsiniz
ekşi sözlük kullanıcılarıyla mesajlaşmak ve yazdıkları entry'leri
takip etmek için giriş yapmalısın.
hesabın var mı? giriş yap