KVKK Uyum Süreci ve Şirketlerin Yükümlülükleri
Giriş
Veri, modern dijital dünyanın petrolüdür. Ancak bu değerli kaynağın şirketler tarafından kontrolsüzce toplanması, işlenmesi ve satılması, bireylerin özel hayatının gizliliğini ciddi şekilde tehdit eder hale gelmiştir. Türkiye'de bu durumu denetim altına almak amacıyla yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), şirketler ve kurumlar için bir "tercih" değil, uyulmaması halinde milyonlarca liralık idari para cezalarına yol açan katı bir zorunluluktur.
KVKK uyum süreci, sadece web sitenize kopyala-yapıştır bir "Aydınlatma Metni" koymaktan ibaret değildir. Bu süreç; şirketinizin İK, pazarlama, muhasebe ve bilişim departmanlarının veri işleme pratiklerini Hukuki bir süzgeçten geçirmesi, "Veri Envanteri"nin çıkarılması ve VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kayıtlarının eksiksiz yapılmasıdır. Bu makalede KVKK uyum sürecini, açık rıza şartlarını, veri ihlali durumunda yapılacakları ve ağır cezai yaptırımları 1000+ kelimeyle tahlil edeceğiz.
Kişisel Veri ve Özel Nitelikli Kişisel Veri Nedir?
Kanunun temelini oluşturan bu iki kavramın farkını bilmek, uygulanacak güvenlik önlemlerinin seviyesini belirler:
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin "her türlü" bilgidir. Sadece T.C. Kimlik No veya isim değil; telefon numarası, e-posta adresi, araç plakası, IP adresi, özgeçmiş dosyası ve hatta ses kayıtları kişisel veridir.
- Özel Nitelikli Kişisel Veri (Hassas Veriler): Öğrenilmesi halinde ilgili kişi hakkında "ayrımcılık yapılmasına veya mağduriyetine" neden olabilecek çok daha riskli verilerdir. Bunlar kanunda sınırlı sayılmıştır: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini, mezhebi, kılık ve kıyafeti, dernek/vakıf üyeliği, sağlık verileri (Kan grubu, hastalık raporları, HES kodu vb.), cinsel hayatı, ceza mahkûmiyeti verileri ve biyometrik verileridir (Parmak izi okuyucu, yüz tanıma sistemi).
Özel nitelikli verilerin (özellikle sağlık verilerinin) işlenmesi için kanun çok daha katı şartlar ve Kurul kararıyla belirlenmiş ekstra şifreleme/güvenlik önlemleri aramaktadır.
Şirketlerin Temel KVKK Yükümlülükleri Nelerdir?
Şirketler (Hukuki adıyla Veri Sorumluları), bir veriyi kaydetmeden veya bir formu müşteriye imzalatmadan önce şu aşamaları kusursuz yerine getirmelidir:
1. Aydınlatma Yükümlülüğü (KVKK m.10):
Kişisel veriler elde edilirken veri sorumlusu ilgili kişiye; "Biz kimiz, bu verini hangi amaçla topluyoruz, bu veriyi yurt içine veya yurt dışına aktaracak mıyız, Hukuki sebebimiz nedir ve senin KVKK m.11 kapsamındaki hakların nelerdir?" sorularının cevabını Aydınlatma Metni ile açık, anlaşılır ve şeffaf bir dille bildirmek zorundadır. Aydınlatma, veri işlemeden "ÖNCE" yapılmalıdır.
2. Açık Rıza Alınması:
Kural olarak kişisel veriler, ilgili kişinin "Açık Rızası" olmadan işlenemez. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Müşteriye "Hizmeti almak istiyorsan bu kutucuğu işaretlemek zorundasın" (hizmet şartına bağlama) şeklinde alınan rızalar Hukuken geçersizdir.
İstisna: Eğer kanunlarda açıkça öngörülüyorsa (Örn: Vergi usul kanunu gereği fatura kesmek için isim/adres almak) veya bir sözleşmenin ifası için zorunluysa, açık rıza almaya GEREK YOKTUR; sadece aydınlatma yapılır.
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) Kayıt Zorunluluğu
KVKK Kurulu, veri işleyen büyük yapıları denetleyebilmek için VERBİS sistemini kurmuştur. Yıllık çalışan sayısı 50'den çok veya yıllık mali bilançosu 100 Milyon TL'den çok olan gerçek ve tüzel kişi veri sorumlularının VERBİS'e kayıt olması ZORUNLUDUR. (Bu sınırlar Kurul tarafından zaman zaman güncellenmektedir).
Ayrıca, ana faaliyeti "Özel Nitelikli Kişisel Veri İşlemek" olan (Hastaneler, eczaneler, diyetisyenler vb.) kurumlar için personel veya bilanço sınırına bakılmaksızın VERBİS'e kayıt zorunluluğu vardır. Kayıt yaptırmamanın cezası yüz binlerce liradan başlamaktadır.
Veri Güvenliği: Teknik ve İdari Tedbirler
KVKK sadece Hukuki değil, aynı zamanda teknik bir süreçtir. Şirketinizin veri tabanının hacklenmesi durumunda Kurul size "Hangi önlemleri aldınız?" diye soracaktır.
- İdari Tedbirler: Şirket içi KVKK politikalarının (Saklama ve İmha Politikası vb.) yazılması, çalışanlara gizlilik sözleşmeleri imzalatılması, düzenli KVKK eğitimleri verilmesi ve veri işleme envanteri hazırlanması.
- Teknik Tedbirler: Firewall (Güvenlik duvarı), sızma testleri (pentest), güçlü şifreleme algoritmaları, yetki matrisleri (Her çalışanın her dosyayı görememesi) ve log kayıtlarının (erişim izlerinin) tutulması.
Veri İhlali Bildirimi: "72 Saat Kuralı"
Eğer şirketinizin sunucuları hacklenir, bir çalışanın laptopu çalınır veya yanlışlıkla binlerce müşterinin verisi başka bir e-posta adresine toplu gönderilirse büyük bir Veri İhlali yaşanmış demektir. KVKK gereği, veri sorumlusu bu ihlali öğrendiği andan itibaren en geç 72 saat içinde hem KVKK Kuruluna (veri ihlal bildirim formu ile) hem de verisi çalınan/sızan mağdur kişilere bildirmek zorundadır. Bu kuralın ihlali, olayı örtbas etmek sayılır ve en üst sınırdan ceza uygulanmasına neden olur.
Sıkça Sorulan Sorular (SSS)
Şirketimize ait bir web sitesi var ve sadece iletişim formu ile ad, soyad, e-posta alıyoruz. KVKK uyum süreci bizi de kapsıyor mu?
KESİNLİKLE EVET. İnternet sitesi üzerinden form aracılığıyla ad, e-posta gibi verileri toplamanız bile sizi "Veri Sorumlusu" yapar. Sitenizde mutlaka o iletişim formunun hemen altında ulaşılabilir bir "Aydınlatma Metni" linki ve web sitenizin ana sayfasında "Çerez (Cookie) Politikası / Pop-up'ı" bulunmak zorundadır. Aksi halde basit bir şikayette bile on binlerce lira ceza ödeyebilirsiniz.
Çalışanlarımızın işe giriş ve çıkışlarını takip etmek için "Parmak İzi Okuyucu" kullanıyoruz. Bu KVKK'ya uygun mu?
HAYIR, yüksek risklidir. Parmak izi "Özel Nitelikli Kişisel Veri" (Biyometrik Veri) statüsündedir. KVKK Kurulunun yerleşik ilke kararlarına göre; mesai takibi gibi basit bir işlem için kişilerin parmak izinin (biyometrik verisinin) alınması "Ölçülülük" ilkesine aykırıdır. Bunun yerine kartlı geçiş sistemi kullanılmalıdır. Eğer yüksek güvenlikli bir bölgeye (Örn: Banka kasası, Ar-Ge odası) giriş değilse, parmak izi okuyucu kullanımı çalışan açık rıza verse dahi şikayet anında ciddi idari para cezasına konu olur.
Geçen ay müşterilere kampanya SMS'i attım. Bir müşteri şikayet edeceğini söyledi. Ne yapmalıyım?
Ticari Elektronik İleti (SMS, E-posta, Arama) gönderebilmeniz için KVKK'dan ayrı olarak İYS'ye (İleti Yönetim Sistemi) kayıtlı olmanız ve müşteriden "Ticari İletişim Açık Rızası" almış olmanız şarttır. Eğer müşterinin "pazarlama/kampanya" amacıyla SMS almak için açık rızası ve İYS onayı yoksa, hem KVKK Kurumu hem de Ticaret Bakanlığı tarafından ayrı ayrı cezalandırılırsınız. Hemen o müşterinin numarasını pazarlama listenizden çıkarmalı (imha etmeli) ve sistemlerinizi Hukuka uygun hale getirmelisiniz.
Bir müşteri bize "Kanun kapsamındaki KVKK madde 11 haklarımı kullanmak istiyorum, verilerimi silin" diye dilekçe yazdı. Nasıl bir yol izlemeliyiz?
Kanun gereği, ilgili kişiden (müşteriden) gelen bu talebe en geç 30 Gün içinde ücretsiz olarak cevap vermek ZORUNDASINIZ. Cevap vermezseniz Kurul doğrudan ceza keser. Eğer müşterinin verisini saklamak için yasal bir zorunluluğunuz yoksa (Örn: Faturayı 10 yıl saklama mecburiyeti), talebi haklı bularak verileri sistemlerinizden geri döndürülemeyecek şekilde "İmha etmeli / Silmeli" veya "Anonim hale" getirmeli ve bu işlemi tutanağa bağlayarak müşteriye yazılı cevap vermelisiniz.
Verbis kaydını yapmayı unuttuk/geciktirdik, idari para cezası gelir mi?
VERBİS'e kayıt ve bildirim yükümlülüğünü yerine getirmeyen şirketlere, 2024 yılı itibarıyla milyonlarca liraya varabilen idari para cezaları öngörülmektedir. KVKK Kurulu düzenli olarak Vergi Dairesi ve SGK verilerini çapraz sorgulayarak yükümlü olup kayıt yaptırmayanları tespit etmektedir. Vakit kaybetmeden Kurul'un kestiği cezalarla muhatap olmamak için Hukuki ve teknik danışmanlık eşliğinde "Veri Envanterinizi" hazırlayıp VERBİS kaydınızı tamamlamalısınız.