Teknolojinin gelişmesiyle birlikte hayatımızda önemli değişiklikler olmuştur. Bu değişiklikler temel insan haklarımızdan biri olan mahremiyet ve güvenlik konularındaki kurallar ve yasalar olarak kendini göstermektedir. Günümüzde hem kamu kurumları hem de özel sektör kuruluşları yapılan çalışmalar kapsamında binlerce kişiye ait çeşitli bilgilere ulaşabilmektedir. Bilgi teknolojilerinde yaşanan hızlı gelişmeler sonucunda elde edilen bu bilgiler kolaylıkla işlenebilmekte ve iletilebilmektedir.
Bu dönüşüm, kurumların gizlilik ve güvenlik konusundaki gereksinimlerini karşılamak için Kişisel Verilerin Korunması Kanunu’nu hayatımıza dahil etmiştir.
KVKK yürürlüğe girmeden önce Türkiye’de KVK ilişkin kurallar Türk Ceza Kanunu, Anayasa ve diğer mevzuat tarafından belirlenir. Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe giren ilk kanun olup, Türkiye’de kişisel verilerin korunmasını düzenlemekte ve kişisel verileri işleyen kurum ve kişilerin uyması gereken yasal yükümlülükleri belirlemektedir.
KVKK Kapsamında Hangi Veriler Korunmaktadır?
Sendikalar, sağlık verileri, cinsel hayata ilişkin bilgiler, önceki ceza mahkumiyetleri ve güvenlik önlemleri ile biyometrik ve genetik veriler KVKK kapsamında korunmaktadır.
KVKK ile GDPR Arasındaki Temel Fark Nedir, Hangi Zorunlulukları İçerir?
KVKK ile GDPR (Avrupa Birliği Hukukunda Genel Veri Koruma Yönetmeliği) arasındaki temel fark, KVKK kapsamında veri sorumlularının KVKK’nın Veri Sorumlusu Kayıt Bilgi Sistemi olan VERBİS’e kayıt olmaları gerekmektedir. Tüm veri sorumlularının Türkiye’de ikamet eden kişilerin verilerini işlemeye başlamadan önce VERBİS’e kayıt olmaları zorunludur. VERBİS’e kayıt olduktan sonra veri kontrolleri, dahil oldukları veri işleme faaliyetlerini kayıt altına alır.
VERBİS’e kaydolmak ve kişisel verileri işlemeye başlamak için kuruluşların öncelikle veri sorumlusunun tüzel kişi veya gerçek kişi olması gereken bir temsilcisini ataması gerekir. Kayıt sırasında, veri sahiplerinin kategorilerini, işledikleri veri türlerini, amaçlarını, yasal dayanaklarını ve bir kuruluşun uymak için aldığı teknik ve idari önlemleri tanımlayan bir Veri İşleme Envanteri sunmaları da beklenir.
VERBİS’e kaydolmamak, idari para cezasına veya denetçinin veri işleme faaliyetlerinin kısıtlanmasına neden olabilir.
Veri sorumluları, bir veri ihlalinin kendisine bildirilmesinden itibaren 72 saat içinde KVKK tarafından sağlanan Veri İhlali Bildirim Formu’nu kullanarak KVKK’ya bildirimde bulunmakla yükümlüdür. Herhangi bir gecikmenin nedenleri de formlarla birlikte gönderilmelidir. Etkilenen veri sahipleri de ihlalden haberdar edilmelidir, ancak bunun için belirli bir zaman dilimi belirtilmemiştir.
Aynı karar kapsamında KVKK ayrıca veri sorumlularının, veri ihlali durumunda iletişime geçilecek irtibat kişisini belirlemesi gereken bir Veri İhlali Müdahale Planı hazırlamasını şart koşmuştur. Bu kişi birincil temas noktası olacak ve meydana gelebilecek herhangi bir ihlalin sonuçlarını değerlendirmekten sorumlu olacaktır.
Cezaların değeri, Vergi Usul Kanunu Tebliğleri ile Resmî Gazete’de yayımlanan yeniden değerleme değerleri esas alınarak her yıl artırılır.
Daha fazlası için: https://www.kvkk.gov.tr/
Yazan: Makbule Arı
