Türk veri koruma kanunu (KVKK) ile uyumluluk ciddileşiyor! | Prighter
Blog
Bildirim: Gönderiler İngilizceden otomatik olarak çevrilmiştir. Orijinal içerik için lütfen İngilizce sayfamızı ziyaret edin. Bazı çeviriler mükemmel olmayabilir; anlayışınız için teşekkür ederiz.
Illustration of the Turkish flag.

Kişisel Verilerin Korunması Kanunu (KVKK), VERBİS kaydı ve 31 Aralık 2021'den önce yapılması gerekenler!

Andreas Maetzler, Michael Schweiger

KVKK nedir?

Türk Veri Koruma Kanunu (6698 sayılı Türk kanunu - KVKK) Mart 2016’da kabul edilmiş ve Nisan 2016’da yürürlüğe girmiştir. KVKK’nın 16. Maddesi, diğer hususların yanı sıra, bu kanuna tabi tüm veri sorumlularının bir Veri Sorumluları Siciline (VERBİS) kaydolmasını gerektiren bir hüküm içermektedir. Buna ek olarak, Türkiye dışında bulunan veri sorumlularının bir temsilci ataması gerekmektedir. Bu yükümlülüklere uyum için son tarih birkaç kez ertelenmiş ve nihayet 31 Aralık 2021’de sona ermiştir.

Bu makalede kuruluşunuzun KVKK’ya tabi olup olmadığını öğrenin! Daha fazla bilgiye buradan ulaşabilirsiniz.

1. Kuruluşunuz KVKK’ya tabi mi?

KVKK Madde 2, Türk veri koruma yönetmeliğinin kapsamını tanımlamaktadır. KVKK, Türk veri sahiplerinin kişisel verilerini işleyen gerçek ve tüzel kişiler için geçerlidir. “Veri sahibi”, kişisel verisi işlenen kişidir. “Kişisel veri”, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi anlamına gelmektedir. “İşleme” tanımı çok geniştir ve verilerin toplanması, kaydedilmesi, depolanması, değiştirilmesi, aktarılması gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır. Belirlenen usul ve esaslar genel olarak tüm kuruluşlar için geçerlidir. Uygulanabilirliğinistisnaları arasında yalnızca özel hane halkı amaçları için işleme, anonimleştirilmiş verilerle resmi istatistikler, adli makamlar tarafından işleme ve kamu düzeni için işleme yer almaktadır.

2. Veri Sorumlusu Sicil VERBİS ve VERBİS temsilcisi

KVKK’nın 4. maddesinin 1. fıkrasının (i) bendine göre “veri sorumlusu”, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişidir. KVKK Madde 16, Türk ve Türk olmayan tüm veri sorumlularının kişisel verileri işlemeye başlamadan önce Veri Sorumluları Siciline (VERBİS) kaydolmasını şart koşmaktadır. Sadece noterler, hukuk büroları ve muhasebe büroları, sendikalar ve siyasi partiler gibi belirli meslekler muaf tutulmuştur. Türk olmayan veri sorumluları için ciro veya çalışan sayısına bağlı bir eşik yoktur, bu da Türk olmayan küçük kuruluşların bile KVKK’ya tabi olduğu anlamına gelmektedir.

VERBİS kaydı, bir şirketin veri işleme faaliyetlerinin aşağıdakilerle birlikte girilmesini gerektirir:

  • veri kategorileri,
  • veri sahibi kategorileri,
  • işlemenin amaçları,
  • yasal dayanak,
  • veri transferleri,
  • teknik ve organizasyonel önlemler ve
  • saklama süresi.

Bu kayıtlarda yapılan her türlü değişiklik, değişiklikten sonraki yedi gün içinde VERBİS aracılığıyla kamuoyuna duyurulmalıdır.

Bu kayıtlar Türk veri koruma makamlarının gözetimi altında kamuya açıklanacaktır.

3. Türk olmayan kontrolörler için gereklilikler

GDPR Madde 27’ye benzer şekilde, Türk veri koruma yönetmeliği, yalnızca yabancı veri kontrolörleri için geçerli olan ve VERBİS kaydına ek olarak Türkiye’de bir temsilci atamalarını gerektiren bir hüküm içermektedir. GDPR dışında veri işleyenler için temsilci atama zorunluluğu bulunmamaktadır. Bununla birlikte, KVKK’nın uygulanabilirliğinin Türk veri sahiplerinin işlenen veri miktarına bağlı olmadığına dikkat etmek önemlidir. Dolayısıyla, Türkiye’de sınırlı satış faaliyeti olan bir B2B hizmet sağlayıcısı olmak tek başına KVKK’nın uygulanabilirliğini ortadan kaldırmamaktadır.

Temsilci, Türk veri koruma otoritesi ve veri sahipleri için irtibat noktası olacak ve bu paydaşlarla iletişimi yürütecektir. Bir şirket tarafından bir temsilci atandığı gerçeği, bilgilendirme yükümlülüklerine uymak için kişisel verileri toplanırken Türk veri sahibine bildirilmelidir. Bu yükümlülüğe uymanın olağan yolu, gizlilik politikasına bir ifade eklemektir. Ayrıca, temsilci VERBİS için kayıt işlemlerini yürütür. Hakim hukuki görüş, yabancı bir kontrolörün kendisinin kayıt yaptırmasını imkansız olarak değerlendirmektedir. En azından pratik açıdan bakıldığında bu mantıklıdır, çünkü yabancı bir veri sorumlusunun kendi kendine kayıt yaptırmaya çalışması, Türk veri koruma otoritesine bir temsilci atama gerekliliğine uymadığını beyan etmiş gibi olacaktır. GDPR ve UK-GDPR’de kamu kurumları için bir temsilci atanmasına ilişkin bir muafiyet bulacaksınız, yani örneğin devlet üniversiteleri ve devlet kurumları GDPR Madde 27’ye (UK) göre bir temsilci atamak zorunda değildir. Ancak, yukarıda da belirtildiği üzere, KVKK özel ve kamu kurumları arasında bir ayrım yapmamakta, yalnızca kamu kurumlarının önleyici, koruyucu ve istihbari faaliyetleri için muafiyetler içermektedir. Türkiye’de bir veri sorumlusu temsilcisi atama süreci GDPR’ye göre daha karmaşıktır, çünkü atamanın imzalanması ve imzanın noter tasdikli ve apostilli olması gerekmektedir. Uçtan uca dijital bir süreç mümkün değildir.

4. KVKK kapsamında veri sahibi hakları

Yabancı veri sorumluları, Türkiye pazarına ulaşırken, veri sahiplerinin haklarını KVKK’ya uygun olarak ele almaya da hazırlıklı olmalıdır. KVKK Madde 10, veri sorumlularını kişisel veri toplarken veri sahibini işleme faaliyetleri hakkında bilgilendirmekle yükümlü kılmaktadır. Bu, gizlilik politikasında yapılabilir. Veri sorumlusu, kimliği, Türkiye’deki temsilcisi, işleme amaçları, veri aktarımları, yasal dayanak ve KVKK tarafından tanınan veri sahibi hakları hakkında bilgi vermelidir. Bu bilgilerin değerlendirilmesinde GDPR kapsamındaki bilgilendirme yükümlülüğü ile benzer bir standardın uygulanacağını varsayıyoruz. Bu nedenle, bilgilendirme kısa, şeffaf, anlaşılır ve kolay erişilebilir bir biçimde, açık ve sade bir dil kullanılarak yapılmalıdır. Bilgilendirme hakkının yanı sıra, Türk veri sahipleri aşağıdaki veri sahibi haklarına (DSR’ler) sahiptir:

  • Erişim hakkı
  • Düzeltme hakkı
  • Unutulma hakkı
  • Kısıtlama hakkı
  • Otomatik karar verme yoluyla işlemeye itiraz etme hakkı
  • Zararların tazmin edilmesi hakkı

Veri sahibi talebinin prosedürü için Türk veri koruma otoritesi tarafından bir Tebliğ yayınlanmıştır. Veri sahibi tarafından yapılan talep, isim, fiziksel adres, Türk Vatandaşlık numarası (TC), bir iletişim yöntemi (e-posta, faks numarası, telefon) ve tabii ki DSR’nin konusunu içermelidir. Veri sorumlusunun cevabı da aynı bilgileri içermelidir.

5. Uyumsuzluk için para cezaları nelerdir?

İfşa yükümlülüklerinin ihlali için 2022 yılında 270.000 TL’ye kadar para cezası uygulanabilir. Ancak VERBİS’e kayıt yükümlülüğünün ihlali halinde 2.700.000 TL’ye kadar çok daha yüksek para cezaları uygulanabilir. Türkiye’de idari para cezaları her yıl yeniden değerlendirilmektedir. 2021’den 2022’ye artış %36,20’dir. KVKK’ya uyum konusunda çalışırken bu durum akılda tutulmalıdır.