Privacy Blog

KİŞİSEL VERİLERİ KORUMA KURUMUNDAN UYUM KILAVUZU !

-Kamu Kurum ve Kuruluşları için Kişisel Verilerin Korunması Kanunu’na Uyum Kılavuzu-

-İş Dünyası için Kişisel Verilerin Korunması Kanunu’na Uyum Kılavuzu-

                                                                                              22 Temmuz 2019

Kişisel Verileri Koruma Kurumu, veri sorumlusu sıfatını haiz; özel sektörde faaliyet gösteren anonim şirket, limited şirket, serbest meslek erbabı, şahıs şirketi, ortaklıklar ve gerçek kişi gibi işletmeler ve iş yerleri, kamu kurum ve kuruluşları, kamu kurumu niteliğindeki meslek kuruluşları için web sitesinde Kişisel Verilerin Korunması Kanunu’na (“Kanun”) uyum kılavuzu yayınlamıştır.

Kılavuzda yer alan bilgiler özetle aşağıdaki gibidir:

  • Kişisel veri işlemekte olanlar Kanun’un 4. maddesinde sayılan ilkelere uygun hareket etmelidir. Kanun’da bu ilkeler; hukuka ve dürüstlük kurallarına uygun olmak, doğru ve gerektiğinde güncel olmak, belirli açık ve meşru amaçlar için kişisel veri işlemek, işlendikleri amaçla sınırlı bağlantılı ve ölçülü olmak, verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza etmek olarak sayılmıştır.
  • Kişisel veri işlemek isteyen her veri sorumlusunun, Kanun’un 5. ve 6. maddelerinde sayılan şartlardan birine dayanması gereklidir.
  • Kişisel veri işleme şartlarından herhangi birinin mevcut olması nedeniyle kişisel veriler işlenmişse ve söz konusu işleme şartı sonradan ortadan kalkmışsa, bu kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.
  • İşlenmiş olan kişisel verilerin yurt içinde başka bir veri sorumlusuna ya da kendisi adına kişisel veri işleme faaliyeti yürüten yurt içindeki başka gerçek ve tüzel kişilere aktarılması halinde ilgili kişinin açık rızası veya Kanun’un 5. ve 6. maddelerinde sayılan diğer işleme şartlarından herhangi birinin mevcut olması gerekmektedir.
  • Veri sorumlularınca yapılacak bilgilendirme asgari olarak; veri sorumlusunun ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceğini, kimlere ve hangi amaçla aktarılabileceğini, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin haklarını içermelidir.
  • Veri sorumlularının kişisel verileri işlerken; kişisel verilerin hukuka aykırı işlenmesini ve bu verilere üçüncü kişilerce hukuka aykırı erişilmesini önlemek ve verilerin hukuka uygun saklanmasını temin etmek amacıyla veri sorumlusunun hem kendi bünyesinde hem de kendisi adına kişisel veri işleme faaliyeti yürüten başka gerçek ve tüzel kişilerce gerekli teknik ve idari tedbirlerin alınmasını sağlaması ve gerekmesi halinde bu konuda denetim yapması veya yaptırması gerekmektedir.
  • Kişisel verisi işlenen ilgili kişiler, Kanun’un 11. maddesinde sayılan hakları doğrultusundaki taleplerine ilişkin olarak öncelikle veri sorumlusuna başvurmalıdır. İlgili kişilerin veri sorumlusuna başvurarak kendisiyle ilgili bilgi talep etmesi halinde, veri sorumlusunca bu talebe, doğru, eksiksiz, en kısa sürede ve en geç 30 gün içinde cevap verilmesi gereklidir. Veri sorumlusunca, kendisine yapılan başvurunun reddedilmesi veya verilen cevabın yetersiz olması hallerinde 30 gün içinde, başvuruya süresinde cevap verilmemesi hallerinde ise başvuru tarihinden itibaren 60 gün içinde ilgili kişilerce Kişisel Verileri Koruma Kurulu’na şikâyette bulunulabilecektir.
  • Veri sorumluları veri işlemeye başlamadan önce, Başkanlıkça kamuya açık olarak tutulacak Veri Sorumluları Sicili’ne kayıt olmak zorundadır.
  • Veri Sorumluları Sicili Hakkında Yönetmeliğin ilgili maddeleri gereği Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) hazırlanarak kullanıma açılmıştır. İstisnalar hariç olmak üzere, kişisel verileri işlemekte olan gerçek ve tüzel kişiler VERBİS‟e kaydolmakla yükümlüdür.
  • Sicile kayıt olunmaması halinde Kurul tarafından 20 bin TL’den 1 milyon TL’ye kadar idari para cezası uygulanabilecektir.
  • Sicile kayıt olmakla yükümlü olan tüm veri sorumlularının “Kişisel Veri İşleme Envanteri” ve “Kişisel Veri Saklama ve İmha Politikası” hazırlaması gerekmektedir.
  • Şirketler ve kamu kurumları kendi bünyelerinde Kanun’un uygulanması ve Kanun’a uyum sağlanması için;
  • Uyum için kişi / birim / ekip görevlendirilmesi,
  • Veri analizi yapılması,
  • Kişisel veri işleme envanteri hazırlanması,
  • Envantere dayanarak diğer dokümanların hazırlanması,
  • VERBİS'e kayıt olunması,
  • Çalışanlar için farkındalık oluşturma ve eğitim planlanması aşamalarını gerçekleştirmelidirler.

VERBİS’E SON KAYIT TARİHLERİ

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için 30.09.2019,
  • Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları için 30.09.2019,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için 31.03.2020,
  • Kamu Kurum ve Kuruluşu veri sorumluları için 30.06.2020’dir.

İlgili Kılavuz metinlerine aşağıdaki linkler aracılığıyla ulaşabilirsiniz.

Kamu Kurum ve Kuruluşları için KVKK Uyum Kılavuzu

İş Dünyası için KVKK Uyum Kılavuzu

Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr