Kişisel Verilerin Korunması Kanunu’na Uyum Süreci ve Verbis’e Kayıt Yükümlülüğü
6698 sayılı Kişisel Verilerin Korunması Kanun (“Kanun”) başta olmak üzere bu Kanun’a bağlı yönetmelikler, tebliğler ve Kişisel Verileri Koruma Kurul (“Kurul”) kararları ile Kişisel Verilerin işlenmesinin disiplin altına alınması, temek hak ve özgürlüklerin korunması, kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların düzenlenmesi amaçlanmıştır.
Buna göre kişisel veri işleyen gerçek ve tüzel kişiler bu kapsamda yaptığı bütün faaliyetlerini mevzuata uygun olarak düzenlemek zorundadır. Bu kapsamda öncelikle veri sorumlusu gerçek veya tüzel kişinin belirlenmesi, kişisel veri işleme envanterinin hazırlanması, veri sorumluları siciline kayıt olunması, aydınlatma metinleri ve kişisel veri saklama ve imha politikasının hazırlanması, açık rıza alınması gereken durumlar için gerekli aydınlatmanın yapılması ve dokümantasyonun sağlanması, idari ve teknik tedbirlerin alınması gerekmektedir.
Veri Sorumlusunun Belirlenmesi
Veri sorumlusu, Kanun’un 3. Maddesinde; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir” şeklinde tanımlanmıştır. Veri sorumlusunun başlıca görevleri; kişisel verisi işlenen ilgili kişilere, işlenen verilerin hangi sebeple aktarılacağı, verilerin elde edilmesinin hukuki sebebi ve ilgili kişilerin hakları hakkında bilgi vermektir. Bu sebeple uyum süreci için yapılması gereken başlıca görev veri sorumlusunun belirlenmesidir.
Kişisel Veri İşleme Envanterinin Hazırlanması ve Veri Sorumluları Siciline Kayıt
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 4. Maddesinde Kişisel Veri İşleme Envanteri “veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter” olarak tanımlanmış olup Kanun’un 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
Bu sebeple şirketler kendi bünyesinde ve faaliyetleriyle ilgili olarak işlenen verilerle ilgili veri envanteri oluşturmak zorundadır. Kişisel veri işleme envanteri, veri sorumlusunun hangi amaçlar için, hangi tür kişisel verileri, hangi zaman süresince, hangi işlemleri yaptığını ve varsa başka hangi kişilerle paylaştığını, hangi idari ve teknik tedbirlerin alındığını gösteren tablodur. Envanter her türlü kişisel verileri kapsamaktadır. İnsan kaynaklarınca tutulan başvuru formları ya da kağıt üzerinden toplanan bir kayıt sisteminin parçası olan tüm kişisel veriler de bu kapsamdadır. Bu sebeple veri envanterinin düzenlenmesi hem VERBİS sistemine kayıt için hem de veri işleme ve imha politikası hazırlanmasında veri sınıflandırılması oluşturulması adına önemlidir.
Yıllık çalışan sayısı 50’den çok veya mali bilanço toplamı 25 milyon TL’den çok olan gerçek veya tüzel kişi veri sorumlularının Veri Sorumluları Sicili’ne en geç 30.09.2020 tarihine kadar kayıt olması gerekmektedir.
Kişisel Verilerin Korunması Kanununun 18 inci maddesinin (ç) bendinde, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğü kapsamında olmasına rağmen bu yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kişisel Verileri Koruma Kurulunca 36.053,00TL’den 1.802.641,00TL’ye kadar idari para cezası uygulanacağı hükmüne yer verilmiştir.
Aydınlatma Metni ve Kişisel Veri Saklama ve İmha Politikasının Hazırlanması
Envanter hazırlandıktan sonra tespit edilerek sınıflandırılan verilerle ilgili aydınlatma metni ve politikaların hazırlanmasına gerekir. Veri sorumlusunun Kanun’un 10. Maddesi gereğince ilgili kişilere kendisini ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel toplamanın yöntemi ve hukuki sebebi ve Kanun’un 11. Maddesinde sayılan diğer hakları konusunda bilgi verme yükümlülüğü mevcuttur. Bu yükümlülük gereği Aydınlatma Metni hazırlanır ve bu metin genellikle şirketlerin internet sitelerine eklenir.
Kişisel Verilerin Korunması Kanununun 18 inci maddesinin (a) bendinde, aydınlatma yükümlülüğünü yerine getirmeyenler hakkında Kişisel Verileri Koruma Kurulunca 9.013,00TL’den 180.264,00TL’ye kadar idari para cezası uygulanacağı hükmüne yer verilmiştir.
Kanun’un 16. Maddesine göre Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumlularının Kişisel Veri Saklama ve İmha Politikası hazırlama yükümlülüğü vardır. Kişisel veri saklama ve imha politikası, veri sorumlusunun işlenen kişisel verilerle ilgili azami işleme sürelerini gösteren politikadır. Bu politika hazırlanırken veri sorumlusunun işlediği tüm verilerinin bir analizi yapılır. Analiz sonucunda hangi verilerin kişisel veri olduğu ya da olabileceği belirlenir. Kişisel verilerin dahil oldukları kategoriler belirlenmeli (iletişim bilgisi, kimlik bilgisi, sağlık bilgisi vb.) ve her kategori için işlenebilecek azami süre bulunur.
Azami süre belirlenirken veri için kişinin açık rızası var ise, açık rızanın alınması sırasında ilgili kişiye verilen bilgilerdeki süreye dikkat edilir. Dikkat edilmesi gereken bir diğer nokta ise, her kişisel verinin saklama süresinin veri türüne göre değişkenlik göstereceğidir.
Kişisel Verilerin Açık Rıza ile Alınmasının Sağlanması ve Önceki Verilerin Düzenlenmesi
Kanun ve ilgili yönetmelikler uyarınca istisnalar saklı kalmak üzere kişisel veriler ancak veri sahibini aydınlatmak sureti ile açık rızası alınarak, belli bir amaç ve süre ile sınırlı ve hukuka uygun bir şekilde işlenebilecektir.
Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir. Bununla birlikte Kurul tarafından verilen kararlar dikkatle takip edilmeli ve gerektiğinde hazırlanan bütün dokumanlar güncellenmelidir. Kişisel Verilerin Korunması Kanununun 18 inci maddesinin (c) bendinde, kurul tarafından verilen kararları yerine getirmeyenler hakkında Kişisel Verileri Koruma Kurulunca 45.066,00TL’den 1.802.636,00TL’ye kadar idari para cezası uygulanacağı hükmüne yer verilmiştir.
İdari ve Teknik Önlemlerin Alınması ve Denetim Yapılması
Veri envanteri hazırlanarak sınıflandırılan verilerle ilgili olarak, verilerin hukuka uygun işlenmesini sağlamak, güvenli ortamlarda saklanmasını sağlamak ve hukuka aykırı erişimi engellemek adına her türlü idari ve teknik tedbir alınması veri sorumlusunun yükümlülüğüdür. Envanterde gösterilen tedbirlerin yanında gerekli olması halinde Kurul’un tavsiye ettiği diğer teknik ve idari tedbirler de şirketçe yapılacak veya yaptırılacak denetimler sonucunda uygulanmalıdır. Gerekirse mevcut idari ve teknik tedbirler geliştirilmelidir. Ayrıca şirketlerin kişisel verilerin korunması konusunda eğitimler düzenleyerek farkındalığı artırması da diğer önemli bir husustur.
Kişisel Verilerin Korunması Kanununun 18 inci maddesinin (b) bendinde, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında Kişisel Verileri Koruma Kurulunca 27.040,00TL’den 1.802.636,00TL’ye kadar idari para cezası uygulanacağı hükmüne yer verilmiştir.