KVKK hem idari hem de teknik tedbirleri içeren bir mevzuattır. KVKK’nın 11/03/2021 tarihli ve 2021/238 sayılı kararı ile, yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları haricinde veri sorumlularının Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) son kayıt tarihleri tekrar ertelenmiştir. Bununla birlikte, yıllık çalışan sayısı 50’den daha fazla veya yıllık finansal bilanço toplamı 25 milyon TL’den daha fazla olan gerçek ve tüzel kişi veri sorumluları, yurt dışında yaşayan veri sorumluları, yıllık çalışan sayısı 50’den daha az ve yıllık finansal bilanço toplamı 25 milyon TL’den daha az olmanın yanı sıra ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları ve kamu kurum ve kuruluşu veri sorumluları için VERBİS’e son başvuru tarihi olarak 31 Aralık 2021 olarak belirtilmiştir.
Önceki Kurul kararlarındaki gibi, bahsi geçen karar ile sadece veri sorumlularının VERBİS’e kayıt yükümlülükleri ertelenmiştir. Bunun yanında, veri sorumluları KVKK çerçevesindeki yükümlülüklere uyum sağlamalıdır. Bu sebeple kişisel verilerin korunması ile alakalı hükümlere kendilerini uyumlu duruma getirmekle sorumludur. Bu sebeple, VERBİS kayıt tarihlerinin ertelenmesi, KVKK ile uyumluluğunun tamamlanması bakımından hiçbir değişiklik yaratmamıştır.
Veri sorumluları, KVKK gereğince kişisel verilerin hukuka aykırı bir şekilde işlenmesini ya da kişisel verilere üçüncü kişiler aracılığıyla hukuka aykırı bir şekilde erişim sağlanmasının önüne geçmekle yükümlüdür. Bu yükümlülüklerini sağlamak için gerekli idari ve teknik önlemlerin alınması gerekmektedir. Fakat bu idari ve teknik önlemler alındıktan sonra veri sorumluları VERBİS’e kayıt olabileceklerdir. Bu önlemler sağlanmadan VERBİS’e kaydolmak, KVKK ile uyumlu olunduğunu belirtmeyecektir.
Alınması gereken tedbirler aşağıdaki şekilde tanımlanabilir:
KVKK’ya Uyum Tedbirleri
İdari Tedbirler
- Kişisel veri işleme envanterinin düzenlenmesi
- Erişim, bilgi güvenliği, saklama ve imha benzeri kurumsal politikaların düzenlenmesi
- Diğer veri sorumluları ve mevcutsa veri işleyenler ile gerçekleştirilen sözleşmelere kişisel verilerin korunması hükümlerinin ilâve edilmesi
- Kişisel verilerin aktarıldığı kişiler ile gizlilik sözleşmelerinin gerçekleştirilmesi
- Korunması ile alakalı kurum içi kontrollerin gerçekleştirilmesi
- Risk analizlerinin gerçekleştirilmesi
- Çalışanlarla gerçekleştirilen iş sözleşmelerine ve disiplin mevzuatlarına kişisel verilerin korunması ile alakalı hükümlerin ilâve edilmesi
- Çalışanlar için kişisel verilerin korunması ve KVKK ile uyum hususunda eğitim ve farkındalık faaliyetlerinin hazırlanması
- Kurumsal iletişim çalışmalarına kişisel verilerin korunması ile alakalı konuların katılması
Teknik Tedbirler
- Çalışanlar ile alakalı yetkilerin saptanması ve yetki kontrolünün gerçekleştirilmesi
- Kişisel verilere erişim ve kişisel verilerin işlenmesi ile alakalı günlük (log) kayıtlarının saklanması
- Kullanıcı hesap yönetim sisteminin çalışanlar için kurulması
- Güvenlik duvarı ve ağ geçidi benzeri yöntemlerle ağ güvenliğinin sağlanması
- Kişisel verileri işleyen sistemlerde uygulama güvenliğinin sağlanması ve uygulamaların güncel bir şekilde tutulması
- Kullanıcılar aracılığıyla güvenli şifrelerden yararlanılması ve şifreleme ile alakalı ilâve önlemler alınması
- Siber saldırılar için tespit ve engelleme sistemlerinin (IDS & IPS) kurulması ve sistemler için sızma (penetrasyon) testlerinden yararlanılması
- Kişisel verilerin maskelenmesi
- Kişisel verilerin kaybolmasını ya da zarar görmesini engellemek için veri kaybı önleme (DLP) yazılımlarının kullanılması ve kişisel verilerin yedeklerinin alınması
- Kötü amaçlı yazılımlar konusunda güncel antivirüs ve anti-malware yazılımlarından yararlanılması
- Saklanmasına gerek kalmayan kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
- Kullanıcıların sistemlere erişim amacıyla kullandığı anahtarların üretilmesi, saklanması, kullanılması, değiştirilmesi ve imhası proseslerini takip etmeyi sağlayan anahtar yönetiminin sağlanması
İdari Para Cezaları
KVKK çerçevesinde, aydınlatma yükümlülüğünü, idari ve teknik önlemler alarak veri güvenliğine dair yükümlülüğünü, VERBİS’e kayıt yükümlülüğünü ve KVKK aracılığıyla verilen kararları yerine getirme yükümlülüğünü gerçekleştirmeyen veri sorumluları için ayrı ayrı idari para cezaları öngörülmüştür.
| Eylem | İdari Para Cezası Tutarları (2022) |
| Aydınlatma Yükümlülüğünün Yerine Getirilmemesi | 13.391 TL – 267.883 TL |
| Veri Güvenliğine İlişkin Yükümlülüklerin Yerine Getirilmemesi | 40.179TL – 2.678.863 TL |
| Kişisel Verileri Koruma Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğüne Aykırılık Hâlinde | 66.965TL – 2.678.863 TL |
| VERBİS’e Kayıt Yükümlülüğüne Aykırılık Hâlinde | 53.572 TL – 2.678.863 TL |
Yukarıdaki tabloda da görüldüğü üzere, KVKK çerçevesinde veri güvenliğine ilişkin yükümlülüğe aykırılık ile VERBİS’e kayıt yükümlülüğüne aykırılık hâlleri için birbirinden farklı para cezası tutarları öngörülmüştür. İçeriğimizin başında bahsettiğimiz üzere, VERBİS’e kayıt yükümlülüğünün ertelenmesi, veri sorumluları aracılığıyla veri güvenliğine dair idari ve teknik önlemlerin alınmasına ilişkin yükümlülüğü ertelememektedir. Gerekli önlemleri almayan veri sorumluları, idari para cezası ile karşı karşıya kalabileceklerdir.
Hapis Cezaları
KVKK çerçevesinde, Türk Ceza Kanunu’nun 135 ile 140. maddeleri arasında hapis cezaları öngörülmüştür.
| Eylem | Yaptırım |
| Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi | 1-3 yıl |
| Kişisel Verileri Hukuka Aykırı Olarak Başkasına Verme, Yayma, Ele Geçirme | 1-4 yıl |
| Kişisel Verileri Belirli Sürenin Geçmesine Rağmen Yok Etmeme | 1-2 yıl |
Yukarıdaki suçları bir tüzel kişinin işlenmesi hâlinde tüzel kişilere dönük öngörülen güvenlik önlemleri uygulanacaktır. Bu konuda gereken önlemleri almayan gerçek kişi veya tüzel kişi veri sorumluları, hapis cezaları veya Türk Ceza Kanunu’nda öngörülen cezalar ile karşı karşıya kalabilecektir.
Yazar: Zehra Betül TAŞKIN
