Yayınlar
DERNEK, VAKIF VE SENDİKALARIN KVKK KAPSAMINDA YÜKÜMLÜLÜKLERİ HAKKINDA

DERNEK, VAKIF VE SENDİKALARIN KVKK KAPSAMINDA YÜKÜMLÜLÜKLERİ HAKKINDA

“Kişisel Veri” ve “Veri Sorumlusu” Nedir?

2016 yılında Avrupa Birliği uyum süreci kapsamında kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile birlikte hayatımıza giren ‘kişisel veri’ kavramı KVKK kapsamında kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu tanımdan yola çıkarak, bir gerçek kişiye ilişkin her türlü bilginin kişisel veri olduğunu söylemek doğru olacaktır. Daha açık bir tabirle, gerçek kişiye ait her nevi kimlik verisi, görüntüsü, ikametgâhı, mesleği vb. kişiyle ilgili her şey kişisel veri olarak tanımlanır. Kişisel verilerin korunması ise söz konusu gerçek kişinin temel hak ve özgürlüklerinin korunması maksadıyla kanun tarafından getirilen veri korumasını ifade eder. Bu amaçla, Kişisel Verilerin Korunması mevzuatı kişisel verileri işleyen ‘veri sorumlusu’na birtakım ödevler öngörmüştür. KVKK tanımına göre veri sorumlusu, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir”. Veri sorumlusu gerçek kişi olabileceği gibi şirket tüzel kişiliği, dernek, vakıf, sendika, kamu kurum ve kuruluşları da olabilecektir.

Veri işleme süreci Veri Sorumlusu tarafından kişisel verilerinin toplanması, saklanması, işlenmesi ve imha edilmesini kapsayan bir süreçtir. Bu KVKK uyum süreci kapsamında veri sorumlusunun yapması gereken birtakım yükümlülükler vardır.

 

Veri Sorumlusunun Yerine Getirmesi Gereken Yükümlülükler

  1. Aydınlatma ve Açık Rıza

Aydınlatma, veri sorumlusunun işlediği kişisel veriler kapsamında ilgili kişiye gerekli bilgilendirme ve bildirimleri yaptığı yükümlülüktür. Veri sorumluları işledikleri her veri için ilgili kişi ve kişilere aydınlatmada bulunması gerekmektedir. İlgili kişi duruma göre çalışanlar, müşteriler, tedarikçiler, iş ortakları, ziyaretçiler, üyeler ve kişisel verinin bir şekilde temas ettiği herhangi kişi/kişiler olabilecektir. İlgili kişilere mevzuat kapsamında usulüne uygun olarak aydınlatmanın yapılması gerekmektedir.

Öte yandan KVKK’ya göre kişisel veriler ilgili kişianin açık rızası olmadan işlenemez. Açık rıza, kanun kapsamında “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir. Ancak kanunun 5. Maddesinin ikinci fıkrasında sayılan istisnai hallerin varlığı halinde açık rıza aranmasına gerek olmayacaktır. Bununla birlikte birtakım veriler ise kanun kapsamında özel nitelikli kişisel veriler olarak ifade edilmiştir. Özel nitelikli kişisel verilerin işlenmesi için ise ilgili kişinin açık rızasının alınması gerekmektedir. Özel nitelikli kişisel veriler istisnalara sokulamamaktadır. Bu sebeple söz konusu özel nitelikli kişisel veriler olduğunda her zaman açık rıza almak gerekecektir.

 

 

 

 

 

 

 

  1. Kişisel Verileri Saklama, Süre Sonunda Silme ve İmha Etme

Veri sorumlusu, ilgili kişilerden topladığı kişisel verileri belirli amaçlarla işlemek için toplar, belirli süreyle saklar ve işleme amacı gerçekleştikten sonra imha etmekle yükümlüdür. Toplanan ve işlenen verilerin hiçbir sebep olmaksızın uzun süre saklanması KVKK’ya ayrılık teşkil edecektir. Amaçla bağlılık söz konusudur. Bu sürece ilişkin veri sorumlusu kişisel veri saklama ve imha politikası hazırlamakla da yükümlüdür. Hazırlanacak olan politika veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikadır.

 

 

  1. Kişisel Verilerin Korunmasına İlişkin Tedbirler Alma Yükümlülüğü

KVKK’nın dernek, vakıf, sendika ve diğer tüm veri sorumlularına da yüklediği bir diğer önemli yükümlülük; kişisel verilerin güvenliğine ilişkin tedbirler alma yükümlülüğüdür. Bu tedbirler idari ve teknik olarak ikiye ayrılmaktadır.

  1. Hukuk alanında yapılacak sözleşme revizeleri, aydınlatma metinlerinin düzenlenmesi, açık rıza gereken her bir süreç için çalışma yapılması, taahhütnamelerin düzenlenmesi, politika ve prosedürlerin oluşturulması, eğitimlerin verilmesi, Kurul kararlarına ve Kanuna uyumluluk gibi süreçleri kapsamaktadır.
  2. Teknik tedbirler ise Bilgi Teknolojileri alanında yapılacak şifreleme, sızma testleri, log kayıtları, anti-virüs yazılımları kullanılması vb. süreçler çerçevesinde alınabilecek önlemleri kapsamaktadır.

 

  1. İlgili Kişilerin Bilgi Alma Taleplerinin Cevaplanması

Kişisel verileri işlenen ilgili kişiler her zaman veri sorumlusuna başvurarak işlenen verileri hakkında bilgi alma hakkına sahiptir. İlgili kişi, veri sorumlusunun kendisine sağladığı başvuru yöntemleri ile bilgi alma talebinde bulunacaktır. Bu durumda veri sorumlusu, ilgili kişiler için bilgi alma başvuru talep formu hazırlamakla yükümlüdür.

Ayrıca yapılan başvurular neticesinde veri sorumlusuna yöneltilen soruları da 30 gün içerisinde cevaplamak durumundadır. Bununla birlikte Kişisel Verilerin Korunması Kurumu’nun verdiği her türlü karara da uymakla mükelleftirler.

 

Veri Sorumlusunun KVKK Kapsamında Yükümlülüklerini Yerine Getirmemesi Halinde Uygulanacak Yaptırımlar

Yukarıda bahsedilen yükümlülüklerin yerine getirilmemesi halinde ihlal gerçekleşmiş olacak ve ihlali gerçekleştiren kişiler iki tür yaptırım ile karşı karşıya kalacaklardır. Bunlar ilki idari para cezalarıdır. Aynı zamanda, Kanunda bu yaptırım 18. madde kapsamında “Kabahatler” olarak anılmıştır.

 

 

Kabahatlere bağlı olarak uygulanacak idari para cezaları aşağıdaki şekildedir:

 

  • Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.834 TL’den 686 TL’ye kadar,

 

  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.503 TL’den 1.966.862 TL’ye kadar,

 

  • Kurul tarafından verilen kararları yerine getirmeyenler hakkında 49.172 TL’den 1.966.862 TL’ye kadar,

 

İkinci olarak suç teşkil eden kişisel veri ihlalleri için birtakım hapis cezaları da öngörülmüştür. KVKK, bu suçlar için Türk Ceza Kanunu’nun 135. ila 140. Maddelerinin uygulanacağını düzenlemiştir. Buna göre hapis cezaları aşağıdaki durumlarda söz konusu olacaktır:

  • Kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu, 1 yıldan 3 yıla kadar hapis cezası verilebilmekte olup bu ceza TCK 135/2 kapsamında yarı oranında arttırılabilmektedir.

 

  • Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu, 2 yıldan 4 yıla kadar hapis cezası verilebilmektedir.

 

  • Kişisel verileri yok etmeme suçunun işlenmesi halinde 1 yıldan 2 yıla kadar hapis cezası verilebilecektir.

 

 

 

 

 

Son olarak unutulmamalıdır ki dernek, vakıf veya sendika üyeliği tek başına özel nitelikli kişisel veridir. Bu sebeple ilgili kuruluşların Kişisel Verilerin Korunması Kanunu’na uyumluluk sağlaması ehemmiyetli bir konudur.

İlgili yazılar
error: Content is protected !!
Back To Top