Kişisel Verilerin Korunması Kanunu (KKVK) Kapsamında Şirketlerin Yükümlülükleri

KVKK Kapsamında Aydınlatma Yükümlülüğü

Veri sorumlusu olan şirketler, kişisel verisi işlenen gerçek kişileri, veri işleme sırasında şu hususlarda aydınlatmakla yükümlüdürler:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  •  KVKK’nın 11. maddesinde sayılan diğer hakları.

Aydınlatma Yükümlülüğüne Uymamanın Cezası

Veri sorumlusu şirketlerden aydınlatma yükümlülüğüne uymayanlara 5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezası uygulanacaktır.

KVKK Kapsamında Veri Güvenliğine İlişkin Yükümlülükler ve Alınması Gereken Tedbirler

Kişisel Verilerin Korunması Kanunu’nun 12. maddesi veri sorumlusu olan şirketlere önemli yükümlülükler getirmektedir. Bunları şu şekilde sıralayabiliriz:

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek
  • Kişisel verilerin muhafazasını sağlamak

6698 sayılı KVKK ile getirilen bu düzenlemelere uyum sağlamak belirli hukuki ve teknik çalışmaları gerektirmektedir. İşbu yükümlülüklerin yerine getirilmesi adına gereken tedbirleri almak her şirketin sorumluluğundadır.

Herhangi bir cezai ve idari yaptırımla karşılaşmamak amacıyla, KVKK kapsamında veri sorumlusu şirketlerin öncelikli olarak üzerinde çalışma yürütmesi ve ilgili tedbirleri alması gereken başlıca alanlar şu şekildedir:

  1. İnternet siteleri ve içerikleri
  2. Sosyal medya paylaşımları
  3. Şirket içi ve şirket dışı tüm sözleşmelerin dizaynı
  4. İş sözleşmelerinin dizaynı
  5. Kişi bilgilerinin saklanma şekilleri
  6. Benzer diğer konular

Veri Güvenliğine İlişkin Yükümlülükleri Yerine Getirmeyenlerin Cezası

Veri sorumlusu şirketlerden veri güvenliğine ilişkin yükümlülüğüne uymayanlara 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanacaktır.

VERBİS’e Kayıt Zorunluluğu

VERBİS, Veri Sorumluları Sicil Bilgi Sistemi’nin kısaltılmış halidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birlikte bazı şartları taşıyan gerçek kişi veya şirketlere VERBİS’e kayıt zorunluluğu ve veri envanteri çıkarma zorunluluğu gibi ilave yükümlülükler getirilmiştir.

  • Yıllık Çalışanı 50’den çok veya yıllık bilançosu 25 milyon TL’nin üzerinde olan gerçek kişi veya şirketlerin VERBİS’e kayıt zorunluluğu bulunmaktadır. Bu kriterleri taşıyan gerçek kişi veya şirketlerin VERBİS’e son kayıt tarihi ise “30.06.2020” olarak belirlenmiştir.
  • Yıllık Çalışanı 50’den az ve yıllık bilançosu 25 milyon TL’den az fakat ana faaliyeti özel nitelikli kişisel verileri(Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini)işlemek olan gerçek kişi veya şirketlerin son kayıt tarihi ise “30.09.2020” olarak belirlenmiştir.

Yukarıda belirttiğimiz kayıt sürelerinin tamamlanmasından sonraki bir tarihte kayıt yükümlüsü haline gelen şirketler ise, kayıt yükümlüsü oldukları tarihten itibaren 30 gün içinde VERBİS’e kayıt olmak zorundadırlar.

VERBİS’e Kayıt Yükümlülüğüne Uymamanın Cezası

Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanacaktır.

Kişisel Veri Saklama Ve İmha Politikası Hazırlama Yükümlülüğü

KVKK’nın16. maddesi gereğince VERBİS’e kayıt olmakla yükümlü olan veri sorumlusu olan şirketler kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdürler. Veri sorumlusu, VERBİS’e kayıt için başvuru yaparken kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi bildirmek zorundadır.

SİLME: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilme işlemidir.

Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hala getirilmesi işlemidir.

Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Blog Yazılarımız: KİŞİSEL VERİLERİN KORUNMASI KANUNU(KVKK) HAKKINDA GENEL BİLGİLENDİRME