Kişisel Verilerin Korunması Kanunu gereği şirketlerin gerekli tedbirleri alması ve VERBİS’e kayıt olması gerekiyor.

Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları ile Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için VERBİS’e kayıt süresi 30 Haziran 2020’ye uzatıldı.

Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için ise tarih 30 Eylül 2019.

KVKK konusunda tüm şirketlerin zaman kaybetmeden gerekli işlemler konusunda teknik ve idari önlemleri alması ve kişisel verilerini işlediği kişilere yazılı aydınlatma yapması ve onlardan yazılı onay alması gerekiyor.

Bu konuda yapılması gerekenleri 10 soru-10 cevap şeklinde özetlemeye çalıştık. Ancak şirketlerin bu konuda profesyonel hukuk desteği alması ve tüm çalışanlarına da bu konuda eğitim vermesi gerektiği unutulmamalı.

1- Müşterilerinizin veya çalışanlarınızın adli sicil kayıtları veya sağlık kayıtlarını saklıyor musunuz?
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmadan işlenmesi yasaktır.
2- Şirketinizde görüntü ve/veya ses kaydı yapan cihaz kullanılıyor mu? Giriş ve çıkışlarda yüz taraması, parmak izi uygulamaları var mı?
Kişisel veriler, ancak kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
3-Eski müşterilerinizin kimlik, adres veya telefon bilgilerini saklıyor musunuz?
Kişisel veriler, ancak kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.
Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.
4-Danışmanlık verdiğiniz/aldığınız, hizmet aldığınız, veri paylaştığınız firmalar ve kişiler ile sözleşmelerinizde KVKK mevzuatına uygun düzenleme var mı?
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, kanunun öngördüğü tüm tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Yasal mevzuat kapsamında, kişisel verilerini topladığınız kişilere söz konusu verileri paylaştığınız üçüncü kişileri bilgilendirmekle yükümlü olduğunuz gibi, verileri paylaştığınız üçüncü kişiler tarafından yapılan ihlallerden de sorumlusunuz. Bu kapsamda gerekli teknik ve hukuki tedbirleri almanız gerekmektedir.
5- Müşterilerinizin telefonlarına veya e-posta adreslerine elektronik ileti gönderiyor musunuz?
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
Kurumunuz tarafından gönderilecek elektronik iletiler sebebi ile para cezası ile karşı karşıya kalmamak için, elinizdeki kayıtların Kişisel Verilerin Korunması Kanununa uygun olarak toplanmış ve kişilerin elektronik ileti gönderme konusunda açık rızalarının alınmış olması gerekmektedir.
6- Kişisel verilerini kullandığınız kişilerden kullanmak, saklamak ve diğer amaçlar doğrultusunda muvafakatname alıyor musunuz?
Kişisel Verileri Koruma Kanunu kapsamında kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Aksi durumda cezai ve idari yaptırımlar ile karşılaşabilirsiniz. Bu sebeple verilerin işlenmesi öncesinde gerekli aydınlatmayı yaparak, ilgili kişilerin açık rızasını almanız gerekmektedir.
7-Kişisel verilerini kullandığınız kişileri, bu konuda sahip oldukları haklar konusunda yazılı olarak bilgilendiriyor musunuz?
Kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir.
Kişisel verileri işlenmekte olan gerçek kişilere, kişisel verilenin işlenmesi kapsamında ilişkin kanunda belirtili unsurları da içerir bir aydınlatma yapmakla yükümlüsünüz. Gerekli Aydınlatma Metninin hazırlanması için bir uzmana danışmanızı tavsiye ederiz.
8- Şirketinizin e-posta sağlayıcısı yurtdışı merkezli bir şirket mi? (gmail, Hotmail, yahoo, yandex?)
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Kişisel verilerini işlemekte olduğunuz gerçek kişilerden, verilerini yurtdışına çıkarmadan önce açık rıza almaka yükümlüsünüz. Bu kapsamda kurumunuzda kullandığınız e-posta sistemleri siz farkında olmasanız dahi verilerinizi yurt dışında muhafaza ediyor olabilir.
9- Şirketiniz bünyesinde bulunan kişisel verilerin işlenme şartları ortadan kalktığı zaman bunların silinmesi, anonim hale getirilmesi veya yok edilmesi için ne yapıyorsunuz?
Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir. Söz konusu teknik sürecin yasal mevzuata uygun olarak yürütülmesi için bir danışmanlık firması ile irtibata geçmeniz faydalı olacaktır.
10- Özel nitelikli verilerin saklanması kapsamında veri güvenliğini sağlamak için ne gibi teknik ve idari tedbirleri aldınız?
Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Özel nitelikli kişisel verilerin işlenmesi durumunda gizlilik sözleşmelerinin yapılması, veri değişikliklerinin loglanması, en az iki kademeleri doğrulama sistemlerinin kurulması gibi bir takım tedbirlerin alınması önem arz etmektedir.

Şirketiniz Kişisel Verilerin Korunması Kanunu'na uygun çalışmaması ve gerekli tedbirleri almaması halinde ağır idari para cezaları ile karşılaşacaktır.
Şirketinizin Kanunla uyumlu hale getirilmesi için avukatınızdan hukuki danışmanlık almakta gecikmeyin.