Kurumların, şirketlerin, organizasyonların, Kişisel Verilerin Korunması Kanunu (KVKK) ve General Data Protection Regulatin (GDPR) uyumu için bir an önce çalışmaları başlaması gerekiyor. 6698 sayılı Kişisel Verilerin Korunması Kanunu ve eş değeri olan GDPR 2016 yılında yürürlüğe girdi. Kurumlar 2018 Haziran a yılından bu yana sorumlular.
Öncelikle bazı kavramları acıkmak gerekir. Kişisel Veri Nedir? Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Sağlık, iletişim, kimlik, tercih, biyometrik, video, fotoğraf, üyelik, mali bilgiler gibi bilgiler kişisel veriyi ifade eder. Özel Nitelikli kişisel veri nedir? Kanuna göre Özel nitelikli kişisel veriler: Öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle ilgili yasaya göre diğer kişisel verilere göre çok daha sıkı şekilde korunmaları ve özel önlemler gerekmektedir. Kanun, kişisel veriler ile özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel veriler ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği halleri farklı düzenlemiştir.
İlgili Kişi Kimdir? Kişisel verisi işlenen, depolanan, sınıflandırılan, üçüncü taraflara aktarılan gerçek kişilerdir. Veri Sorumlusu Kimdir? Kişisel verilerin işlenme amaçlarını, vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek kişi veya Kamu kurumu/şirket/dernek/vakıf/üniversite gibi tüzel kişiler de olabilir.Veri İşleyen Kimdir? Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler.
Veri Sorumluları Sicili VERBİS Nedir? Kişisel verilerin korunması için Veri Sorumlusu’nun kayıt edileceği Kişisel Verileri Koruma Kurumu’na bağlı sicil veritabanı. Öncelikle belirtmek gerekir ki 2019 Eylül ayına kadar 50 ve üzeri çalışanı olanlar ile bilançosu 25 milyon ve üzeri olan firmalar her iki şarttan birini veya ikisini taşıması halinde KVKK sürecini kurup, kurduğunu ispat eden belgelerle VERBİS kaydını yaptırmaları gerekmektedir.
VMİ Danışmanlık olarak, kvkk süreçleri danışmanlığı yapıyoruz. Maalesef birçok kurum kişisel veriyi insanların özel bilgileri şeklinde algılıyor. Evet kişisel veriler de insanların özel bilgileridir. Şİrket, kurum, organizasyon çalışanlarının kişisel veride de kanun kapsamındadır. Çalışan adaylarının, yani kuruma, şirkete CV doldurmuş kişilerin verileri de kişisel veridir. Kurumu, şirketi ziyaret eden insanların kişisel veri, müşterilerin kişisel verileri, tedarikçilerin kişisel verileri de doğrudan kanun kapsamındadır.
Kanun kapsamına giren ve her kurumda kişisel veri olarak algılanması gereken kişisel verileri burada bir gruplayalım. 1- Çalışanlara ait kişisel veriler Çalışanlar, stajerler, sözleşme ile çalışanlar vb. kişilerin özlük hakları dosyaları bu kapsamdadır yani KVKK süreçi kapsamındadır. 2- Müşterilere ait kişisel veriler müşteri kişisel verileri, müşteri derinleştirme şeklinde elde edilmiş özel nitelikli hassas veriler de bu KVKK süreci kapsamdadır. 3- Tedarikçi, paydaş ve ziyaretçilere ait kişisel veriler de KVKK süreçleri kapsamına girmektedir. Çalışan adaylarına ait kişisel veriler Çalışan olmamış ama bir şekilde kuruma CV bırakmış insanları bu kapsam içinde düşünebiliriz.
KVKK ile ilgili Kişilerin Şikayetleri Nasıl Sonuçlandırılacak?
Kanunda belirtilen «ilgili kişi» yani birey, şu süreçleri takip edecek: Şikâyet, talep ve isteklerini tanımlayıp KVKK ile ilgili şikayetçi olduğu, istekte bulunduğu kurum veya şirkete başvuru yapacak. Bunun için kurumların nereye, kime, hangi adrese başvuru yapacaklarına dair bir Aydınlatma Metni ve Başvuru Bilgilendirme alanı bulunması gerekecek. İlgili kişiler yani bireyler şikâyet, talep ve isteklerini veri sorumlusuna iletecekler. KVKK ile ilgili bu şikâyete, talebe, isteğe Veri Sorumlusu sıfatı ile şirketler, kurumlar 30 gün içinde cevap verecek. Şikâyet, istek sahibi sonuçtan memnun kalmaz ise Kişisel Verileri Koruma Kurumu’na başvuru yapacak. Ama dikkat edilmesi gereken bir konu var. Daha başvuru alanı dahi oluşturamayan, Aydınlatma Yükümlüğünü yerine getirmeyen şirketler Kişisel Verileri Koruma Kurumu tarafından resen veya şikâyete bağlı olarak inceleme başlatılacaktır.
KVKK cezalarından şikâyet sahibi faydalanamaz. Eğer ortada bir maddi veya manevi zarar varsa tazmin süreci (mahkemeler) başlayacak. Kişisel verilerin ihlali ile ilgili Kişisel Verileri Koruma Kurumu tarafından kesilen cezalar kişilere değil kuruma ödenecek. Kişisel verisi nedeniyle maddi kayba uğrayanların maddi ve manevi tazmaninat için mahkemelere başvurmaları gerekmektedir. Burada alınan cezalar dosyanızda önemli delil teşkil edebilir.
Kişisel verilerin korunması ile ilgili Avrupa Birliği tarafındaki yasa olarak kabul edilen Genel Veri Koruma Tüzüğü’nden (General Data Protection Regulation) tüm dünya ülkeleri sorumludur. Çünkü Avrupa Birliği mevzuatına göre bir AB vatandaşının kişisel verilerini ihlal eden kuruma (şirket, belediye, hastane, dernek, vakıf, üniversite..vb) kuruma doğrudan ceza kesilecektir. Örneğin üniversitelerdeki ERASMUS öğrencileri Türkiye’deki bir üniversitede karşılaştıkları bir ifşa veya yetkisiz erişimle ilgili kendi ülkesi içinde başvuru yapar ise üniversiteler GDPR cezaları ile karşılaşabilirler.
Kurumlara bir önerimiz de kurumlarada bilgi güvenliği yönetim sistemlerini kurmalarıdır. Çünkü genel veri koruma önlemleri alınmadan kişisel verilerin korunması neredeyse mümkün değildir. Çünkü kurumsal veriler ile kişisel veriler iç içedir ayrıştırmak neredeyse imkansızdır. VMİ Danışmanlık, VMİ Counsulting olarak bütünsel veri güvenliği önlemlerinin ivedilikle hayata geçirilmesini öneriyoruz. KVKK danışmanlığı, KVKK kurulum süreçleri, GDPR danışmanalığı, GDPR kurulum süreçleri ile ilgili bizden bilgi talep edebilirsiniz.