2010 yılında Anayasamızda yapılan değişiklik ile mevzuatımıza giren “kişisel veri” kavramı; 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 2016 yılında yürürlüğe girmesiyle yasalarımızda kendisine özgü düzenlemeye sahip olmuştur. KVKK’nın temel amacı; bireylerin, teknoloji çağı içerisinde en değerli varlığı olan kişisel verileri üzerinde söz ve yetki sahibi olması, kişilerin ve kişisel verilerinin mahremiyetinin sağlanması, kişisel verilerin güvenliğinin sağlanmasıdır. KVKK bu amaçlarını yerine getirirken bir yandan bireylere çeşitli haklar tanımakta; diğer yandan bireylerin kişisel verilerine temas eden özel sektörde faaliyet gösteren şirket ve kuruluşlar ile kamu kurum ve kuruluşlarına (diğer bir ifade ile kişisel veri işleyen gerçek ve tüzel kişilere, veri sorumlularına) birtakım yükümlülükler yüklemektedir.
Veri sorumlularının KVKK’ya uyum sürecinin daha sağlıklı olabilmesi adına iki senelik bir geçiş süreci öngörülmüştü. İki senelik geçiş sürecinin sonuna gelinmesi ile birlikte 2018 yılının Nisan ayında veri sorumlularının KVKK’dan doğan yükümlülüklerini VERBİS olarak adlandırılan Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt haricinde tam ve eksiksiz bir şekilde yerine getirmiş olması gerekmektedir.

KVKK ile birlikte veri sorumlularına getirilen en önemli yükümlülüklerden birisi aydınlatma yükümlülüğüdür. Veri sorumluları; çalışanlarına, müşterilerine, ziyaretçilerine ve kişisel verisine temas ettiği herkese karşı bilgilendirme yapmak durumundadır. Bu bilgilendirme, kişisel verilerin ne şekilde, ne amaçla kullanılacağını ve kimlere aktarılabileceğini kapsamaktadır.

KVKK’nın getirdiği diğer bir yükümlülük, veri sorumlularının bünyesinde barındırdığı her türlü kişisel verinin küçük bir haritasını gösteren Kişisel Veri İşleme Envanteri hazırlama yükümlülüğüdür. Böylelikle veri sorumluları, bünyesinde barındırdığı kişisel verileri bir sistematik içerisinde muhafaza edebilecek ve KVKK kapsamında hangi aksiyonun alınması gerektiği bilgisini daha sağlıklı edinebileceklerdir.

Veri sorumluları açısından KVKK’nın getirdiği en önemli yükümlülüklerden bir diğeri, saklamak için yasal veya makul sürelerin sonuna gelinmiş ise kişisel verileri imha etme yükümlülüğüdür. Örneğin bir adayın veri sorumlusuna iş başvurusunun olumsuz sonuçlanmasının ardından adaya ait özgeçmiş bilgilerinin uzun yıllar tutulması, KVKK’ya aykırılık teşkil edebilecektir.

KVKK ile mevzuatımıza giren diğer bir yükümlülük, VERBİS olarak adlandırılan Veri Sorumluları Sicili’ne kayıt olmaktır. Veri sorumluları; bünyesinde kimlere ait ne tür kişisel veri barındırdığını, bu verileri nerelere aktardığını, bu verilerin güvenliğine ilişkin almış olduğu tedbirleri VERBİS’e bildirmekle yükümlüdür.
VERBİS’e kayıt ve bildirim için çeşitli kriterler öngörülmüştür. Aşağıdaki kriterleri sağlayan veri sorumluları VERBİS’e kayıt ve bildirim yükümlülüğü altındadır.

VERİ SORUMLULARI
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 100 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları
Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme
olan gerçek ve tüzel kişi veri sorumluları
Kamu kurum ve kuruluşları

Kişisel veri saklama ve imha politikası ile, tespit edilen yasal sürelerin sonunda imha prosedürünün gerçekleştirilmesi amaçlanmaktadır.

KVKK’dan doğan yükümlülüklerin ihlali halinde idari para cezasına hükmedebilen Kişisel Verileri Koruma Kurulu, şikâyet üzerine inceleme yapabileceği gibi şikâyet olmaksızın da kurum bünyesinde inceleme yapabilir. Ayrıca bir alanda çokça ihlalin gündeme gelmesi durumunda bir ilke kararı verebilir.
Kurul tarafından verilen ilke kararlarının takip edilmesi ve kurum süreçlerinin verilen ve verilecek kararlar çerçevesinde revize edilmesi gerekmektedir.

KVKK’nın mevzuatımıza dahil olmasıyla birlikte bireyler, veri sorumlularına başvuruda bulunarak kendilerine ait kişisel veriler ile ilgili bilgi talep edebilirler. Veri sorumlularının bu talepleri en kısa sürede ve en geç 30 gün içerisinde incelemesi, değerlendirmesi ve karara bağlaması gerekmektedir.

KVKK’nın veri sorumlularına yüklediği bir diğer önemli yükümlülük; kişisel verilerin güvenliğine ilişkin tedbirler alma yükümlülüğüdür. Bu tedbirler idari ve teknik olarak ikiye ayrılmaktadır. İdari tedbirler Hukuk ve İnsan Kaynakları alanında yapılacak sözleşme revizeleri, aydınlatma metinlerinin düzenlenmesi, taahhütnamelerin düzenlenmesi, politika ve prosedürlerin oluşturulması, eğitimlerin verilmesi gibi süreçleri kapsamaktadır. Teknik tedbirler ise Bilgi Teknolojileri alanında yapılacak şifreleme, loglama, sızma testleri yapılması, anti-virüs yazılımları kullanılması vb. süreçler çerçevesinde alınabilecek önlemleri kapsamaktadır.

KVKK’nın önümüzdeki süreci etkileyecek bir diğer önemli yeniliği, ilgili kişilerden (diğer bir ifade ile kişisel verileri işlenen kişilerden) kişisel verilerinin işlenme süreçlerine ilişkin açık rıza alma yükümlülüğüdür. Şöyle ki; KVKK’da açık rızanın dışında 8 adet veri işleme şartı öngörülmüştür. Veri sorumluları, temas ettiği kişisel verileri öncelikle 8 adet veri işleme şartı kapsamında kullanıp kullanmadığını irdelemelidir. Daha sonrasında bu şartlar yok ise kişisel verilerin işlenmesine yönelik açık rıza almalıdır.

Yükümlülüklere uymama halinde iki tür yaptırım ile karşılaşılabilir. Bunlar idari para cezaları ve hapis cezaları olarak ikiye ayrılmaktadır.
İdari para cezaları;
• Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında [2023 için: 29.852 TL-597.191 TL]
• Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında [2023 için 89.571TL-5.971.989]
• Kurul tarafından verilen kararları yerine getirmeyenler hakkında [2023 için 149.285-TL-5.971.989TL]
• Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında [2023 için 119.428 TL-5.971.989 TL]
Belirtilen eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
Hapis cezaları ise;
• Kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu,
• Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu,
• Kişisel verileri yok etmeme suçu.
olarak Türk Ceza Kanunu’nun 135. ve devamındaki maddelerinde belirtilmiş olup; 1 yıldan 4.5 yıla kadar artabilmektedir.

KVKK’nın mevzuatımıza girmesi ile birlikte veri sorumlularının bir çok sürecinin değişeceği açıktır. Ancak değişecek süreçler içerisinde aciliyet teşkil eden, olmazsa olmaz denilebilecek noktalar bulunmaktadır. Bu noktalar;
• Kurum bünyesinde Uyumluluk Projesinin gerçekleştirilmesi,
• Aydınlatma metinlerinin oluşturulması,
• Açık rıza alınması gereken noktaların tespit edilmesi ve açık rıza alınması,
• İş sözleşmelerinin revize edilmesi,
• Tedarikçi, danışman vb. kişiler ile yapılan sözleşmelerin revize edilmesi,
• Çalışan, tedarikçi, danışman vb. kişilerden veri güvenliğine yönelik taahhütname alınması,
• Gizlilik sözleşmeleri imzalanması,
• Kişisel veri işleme envanteri hazırlanması,
• Kişisel veri saklama ve imha politikası hazırlanması,
• Verbis’e kayıt olunması,
• Yasal saklama sürelerinin tespit edilmesi ve sürelerin sonuna gelinmiş ise imha prosedürünün işletilmesi,
• Kurul tarafından verilmiş olan kararların yerine getirilmesi,
• Sağlık ve sağlığa ilişkin kişisel verilerin tespit edilmesi,
• Erişim yetkilendirme yapılması,
• Kullanılmayan ve işe yaramayan verilerin tespit edilmesi,
• Çalışanlara farkındalık eğitimlerinin verilmesi olarak belirtilebilir.

Hukuk büromuz KVKK alanında eğitim, danışmanlık, akademik çalışmalar, baştan sona uyum projelerinin hazırlanması, raporlama ve denetim süreçlerini uzman hukukçu ve bilgi işlem kadrosuyla yürütmektedir.
Bugüne kadar Türkiye’de gerek özel gerek kamu sektöründe pek çok holding, şirket ve kurum olmak üzere pek çok uyumluluk projesini başarıyla yürütmüş olduğumuzu sizlerle paylaşmaktan mutluluk duyarız.