Gemalto, KVK Hakkında Sıkça Sorulan Soruları Yanıtlıyor

Tüm Haberler

6698 No’lu Kişisel Verilerin Korunması Kanunu Hakkında Merak Edilenler ve Sıkça Sorulan Sorular

1. KANUNUN AMACI NEDİR?

Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

2. KANUN KİMLERİ İLGİLENDİRİYOR?

Kişisel verileri tamamen ya da kısmen işleyen gerçek ya da tüzel kişileri kanun kapsam içine almaktadır. Yani kişisel veri işleyen tüm şirket ve kişiler bu kanundan etkilenecek.

3. KİŞİSEL VERİ NEDİR?

Kimliği belli ya da belirlenebilir gerçek kişiler ile ilgili her türlü bilgi kişisel veri olarak tanımlanmaktadır. Burada önemli olan nokta bir bilgi bir bağlamda doğrudan bir kişiyi işaret etmese bile, başka bilgilerle bi araya getirildiğinde ya da başka bir bağlamda bir kişi ile ilişkilendirilebiliyorsa bu da kapsama dahil oluyor.

4. VERİ İŞLEMEK NE DEMEKTİR? HANGİ ŞİRKETLER VERİ İŞLEMEKTEDİR?

Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem veri işleme olarak tanımlanıyor.
Bunun gerçek hayattaki anlamı ise başta müşteri bilgisi olmak üzere her türden kişisel bilgiye dokunan tüm şirketler kapsama dahil olmasıdır.

5. BU KADARINI ANLADIM. ŞİMDİ VERİ İŞLEME SÜRECİMİ YASALLAŞTIRMAK İÇİN NE YAPMAM GEREKİYOR?

Şirket bünyesinde veri sorumluları tayin edilecek. Veri sorumlusu kanunda kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu kişi olarak tarif ediliyor.
Bu kişilerin bilgileri Kişisel Verileri Koruma Kurumu bünyesindeki Başkanlık tarafından yönetilen Veri Sorumluları Sicili’nde tutulacaktır. Şirketler veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kaydolmak zorundadır.

6. VERİ SORUMLULARI SİCİLİ’NE NASIL KAYIT OLABİLİRİM?

Veri Sorumluların Sicili’ne kaydolmak için şu bilgileri içeren bir resmi başvuruyu Bbaşkanlık’a iletmek gerekiyor:

a. Veri Sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri
b. Veri işlemedeki amaç ve süre
c. Verisi işlenen kişi grupları ve veri kategorileri
d. Verinin aktarılabileceği alıcılar
e. Yabancı ülkelere aktarılması mümkün olan veriler
f. Ve tabi ki, bu verileri koruma yeteneğine sahip oldunduğunu gösteren veri güvenliği önlemleri

7. VERİ İŞLERKEN BAŞKA FİRMALARDAN YARDIM ALABİLİR MİYİM? SORUMLULUĞUM ALTINDAKİ VERİNİN BAŞKA BİR FİRMANIN ALTYAPISINI KULLANARAK SAKLAMAM MÜMKÜN MÜ?

Bu mümkün. Yasa bu konuda bir sınırlama getirmemekle birlikte yasal sorumluluğun hem Veri Sorumlusu’nda hem de Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına veri işleyen kişileri de ortak olarak sorumlu ilan ediyor.
Bu noktada yasa, karşımıza bir tanım daha çıkarmış oldu: Veri İşleyen. Veri İşleyen ile Veri Sorumlusu verinin güvenliği konusunda müştereken sorumlu tutulurlar.

8. ŞİRKETİMİZ ZATEN UZUN SÜREDİR VERİ İŞLİYOR. KANUN ÇIKMADAN ÖNCE İŞLENEN VERİLER NE OLACAK?

Kanun yayım tarihinden önce işlenmiş kişisel veriler, yayım tarihinden itibaren 2 yıl içinde kanun hükümlerine uygun hale getirilmek zorundadır. Kanun hükmüne aykırı olan veriler derhal silinir, yok edilir veya anonim hale getirilir.

9. VERİ SORUMLULARI SİCİLİ’NE KAYIT OLDUM. VERİ İŞLENMESİ İÇİN BAŞKA NE ŞARTLARI SAĞLAMAM GEREKİR?

Ömcelikle yasada belirtilen bazı istisnai durumlar dışında veri, ilgili kişinin açık rızası olmadan işlenemez.
Bunun yanında, her durumda uyulması gereken bazı temel veri işleme ilkeleri saptanmıştır:

1. Hukuka ve dürüstlük kurallarına uygun olma
2. Doğru ve güncel olma
3. Belirli, açık ve meşru amaçlar için işlenme
4. işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
5. İşleme amacıyla sınırlı bir süre muhafaza edilmesi

10. KANUN HÜKMÜNE AYKIRI VERİLERİN YOK EDİLEBİLECEĞİ GİBİ ANONİM HALE DE GETİRİLEBİLECEĞİNİ SÖYLEDİNİZ. BU NE DEMEKTİR?

Verinin anonimleştirilmesi demek, verinin hiçbir surette bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi demektir.

11. VERİ SORUMLUSU’NUN YÜKÜMLÜLÜKLERİ YASADA AÇIKÇA İFADE EDİLMİŞ Mİ? SORUMLULUKLARIM NELERDİR?

Yasa Veri Sorumlusu’na en temelde iki başlıkta yükümlülük tayin ediyor. Bunlar Aydınlatma Yükümlülüğü ve Veri Güvenliği Yükümlülüğü.

12. AYDINLATMA YÜKÜMLÜLÜĞÜ NEDİR?
Veri Sorumlusu (ya da sorumlunun temsilcisi), verisini işlediği kişiye en az; Veri Sorumlusu’nun kimliği, verinin işlenme amacı, verinin toplamı yöntemi, işlenen verinin kimlere ve hangi amaçla aktarılabileceği bilgilerini vermek zorundadır. Bunun dışında da veri sahibinin yasada belirtilen hakları saklıdır.

13. VERİ GÜVENLİĞİ YÜKÜMLÜLÜĞÜ NEDİR?

Veri Sorumlusu, verinin hukuki ve belirlenen çerçevede işlenmesi, erişilmesi ve kullanılmasını sağlamakla yükümlüdür. Veri Sorumlusu bu çerçevede gerekli olan tüm tedbirleri almak zorundadır.
Bu tedbirler, sadece teknik tedbirler değil aynı zamanda idari tedbirler de olabilir.

Teknik tedbirler bağlamında verinin sadece ve sadece kullanım amacıyla ilişkili kişi ve süreçlerin erişimine açık olması gerekir.

Bu nedenle güçlü ve çok faktörlü kimlik denetimi metotlarının hem şirket içinde hem de şirket dışında kullanılması Veri Sorumlusu’nun işini kolaylaştıracaktır.

Buna ilaveten bu tür regülasyonların uzun süredir yürürlükte olduğu batı ülkelerinde olduğu gibi, güçlü şifreleme ve tokenization (takma adlaştırma) yöntemleri kişisel verilerin uygun olmayan kullanımını engelleyecektir.

14. KURUL GEREKTİĞİNDE ŞİRKETİMDEN BİLGİ TALEP EDEBİLİR Mİ?

Elbette. Devlet sırrı niteliğindeki bilgiler hariç olmak üzere istenen bilgileri 15 gün içinde Kurul’a ulaştırmak zorundasınız.

15. KURUL GEREKTİĞİNDE ŞİRKETİMİ YERİNDE DENETLEME YETKİSİNE SAHİP Mİ?

Elbette. Yerinde inceleme yapılmasına imkan sağlamak Veri Sorumlusu’nun görevidir.

16. VERİ GÜVENLİĞİ HÜKÜMLERİNE ŞİRKETİMİN UYUM SAĞLAYAMAMASI DURUMUNDA BENİ NE BEKLİYOR?

Öncelikle, verinin kanuni olmayan yöntemlerle, başkaları (şirket içindeki ya da dışındaki veriye erişmesi gerekmeyen kişiler) tarafından elde edilmesi durumunda Veri Sorumlusu durumu en kısa sürede veri sahibine ve Kurul’a bildirir.

Kurul ise kamuya gerekli bilgilendirmeyi yapar.

Buna ilaveten veri güvenliği ile ilgili yükümlülükleri yerine getirmeyenler için 15.000 TL’den 1.000.000 TL’ye kadar idari para cezası verilir.

Her ihlal durumunda ayrıca bir ceza daha kesilir. Yani "güvenlik önlemi almaktansa neyse parası veririm" demek zorlaşıyor :)

Bu ceza Veri Sorumlusu’nu ve şirketi müştereken bağlar.

17. BU YASA, TÜRKİYE’YE ÖZGÜ BİR YASA MI? BENZERLERİ DÜNYA’DA MEVCUT MU?

Birçok ülke farklı zamanlarda bu tür regülasyonlar çıkardı, çıkarıyor. KVK yasası ise içeriği itibariyle Avrupa Birliği’nde 1995’den beri uygulanan Veri Koruma Direktifi’ni esas alıyor.