- +90 312 911 1168
- info@mdmhukuk.com
- Kızılırmak Mah. 1443. Cad. Ankara 1071 Plaza A Blok No:25/58 06510 Çankaya/ANKARA
KVKK VERBİS Başvuru ve Kayıt Yükümlülüğü
Makale Başlıkları
6698 sayılı Kişisel Verilerin Korunması Kanunu 2016 yılında yürürlüğe girmiştir. Gerçek ve tüzel kişileri birtakım yükümlülük altına sokmuş ve uyulmaması halinde yaptırıma tabi tutmuştur. Kanunun amacı birinci maddesinde belirtildiği üzere gerçek kişilerin özel hayatın gizliliği başta olmak üzere temel hak ve özgürlüklerin korunmasını sağlamaktır.
Aşağıda bu kanun ile öngörülen ve korunması gereken kişisel verilerin ne olduğu, ne olmadığı, işlenmesi, aktarılması, kişisel verileri koruması gereken veri sorumlusunun sorumlulukları, veri sorumluları sicili(VERBİS), muafiyet durumu, şikâyet, yaptırım gibi konulara değineceğiz.
KVKK kapsamında kişisel veri bu kanunun 3/d maddesinde “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak ifade edilmiştir. Bu ifadeden anladığımız üzere kişisel veri kişinin kimliğini belirgin kılan ve kişiye has özel bilgilerdir. Bu nedenle her veri kişisel veri olarak kabul edilmez. Burada korunması gereken kişisel bilgiler KVKK madde 3/ç‘ye göre yalnızca gerçek kişilerdir. Tüzel kişilere ilişkin kişisel veriler bu kanun kapsamında korunmaz.
Kişisel veri kavramı çok geniş olmakla beraber kişinin kimliğini belirgin kılan veriler olduğunu yukarıda söyledik ancak her somut olaya göre kişisel veri olup olmadığı konusunda değerlendirme yapılmalıdır. Somut olaya göre değerlendirme yapılması şartıyla aşağıda sıralayacağımız bazı veriler kişisel veri olarak kabul edilmektedir.
Kişisel veriler KVKK 4. Maddesinde belirtilen hukuka uygunluk, doğru, güncel, belirli ve açık amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma esaslarına göre işlenebilecektir. Burada esas olan hukuka uygunluk ilkesidir.
Veri sorumlusu bu ilkelere uygun hareket ederek ve “kişinin rızasını alarak” kişisel verileri işleyebilir. Kişinin rızası olmaksızın bazı hallerde kişisel verilerin işlenebilmesi de mümkündür. KVKK madde 5/1’ de kişinin rızası olmaksızın kişisel verilerin işlenemeyeceğini söylerken madde 5/2 ise kişinin rızasının aranmayacağı durumları saymıştır.
Buna göre aşağıdaki hallerde kişisel verilerin işlenmesi için kişinin rızası aranmamaktadır.
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c)Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Buraya kadar bahsedilenler genel nitelikli kişisel verilerdir. Özetleyecek olursak kişisel verilerin işlenmesi KVKK madde 4 gereği sıralanan ilkelere uymak şartıyla mümkündür. Ancak öncelikle “kişinin açık rızası” nın alınması gerekmektedir. Kişinin rızasının alınmadığı haller de mümkün olmakla beraber kanunun 5. Maddesinde şartları düzenlenmiştir.
Kişinin toplum içinde öğrenilmesi ile mağdur olacağı bazı kişisel verileri “özel nitelikli kişisel veriler” olarak kabul edilmektedir. KVKK madde 6’da düzenlenmiştir. Madde 6/1’de özel nitelikli kişisel veriler tanımlanmıştır. Buna göre; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”
Güzellik merkezlerinin, rehabilitasyon merkezlerinin, muayenehane ve kliniklerin, psikolog, diyetisyen, diş hekimleri, eczacı ve optisyenlerin 3. Kişi ya da çalışanlarına yönelik ellerinde bulundurdukları ya da işledikleri veriler “özel nitelikli veriler” kapsamına girmektedir.
Özel nitelikli kişisel verilerin de kişinin açık rızası olmaksızın işlenmesi yasaktır. Ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Sayılanların dışında bu verilerin kıyas yolu ile genişletilebilmesi mümkün değildir. Özel nitelikli kişisel verilerin işlenmesinde Kişisel Verilerin Korunması Kurulu tarafından belirlenen önlemlerin alınması şartı vardır. Kanunun 22nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:
1-Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2-Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a)Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b)Gizlilik sözleşmelerinin yapılması,
c)Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç)Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d)Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3-Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
a)Verilerin kripto grafik yöntemler kullanılarak muhafaza edilmesi,
b)Kripto grafik anahtarların güvenli ve farklı ortamlarda tutulması,
c)Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç)Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d)Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e)Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4-Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
a)Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b)Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5-Özel nitelikli kişisel veriler aktarılacaksa
a)Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b)Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kripto grafik yöntemlerle şifrelenmesi ve kripto grafik anahtarın farklı ortamda tutulması,
c)Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç)Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
6-Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
Güzellik merkezlerinin, rehabilitasyon merkezlerinin, muayenehane ve kliniklerin bu yöntemlere uymaları gerekmektedir. Ancak belirtmekte fayda olmakla beraber özel nitelikli kişisel verilerin sağlık ve cinsel hayata ilişkin olanları kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Tıpkı kişisel verilerin işlenmesinde olduğu gibi, kişisel verilerin aktarılması için de “kişinin açık rızasının aranması” şartı vardır. Ancak genel ve özel kişisel verilerin işlenmesinde açık rızanın aranmadığı durumlarda (KVKK madde 5/2 ve madde 6/3) kişisel verilerin aktarılması için de açık rıza aranmaz.
Kişisel verilerin “yurtdışına aktarılmasında” durum farklıdır. Kişisel verilerin yurtdışına aktarılmasında kişinin açık rızasının olması şarttır. Ancak genel ve özel kişisel verilerin işlenmesinde açık rızanın aranmadığı durumlarda (KVKK madde 5/2 ve madde 6/3) kişisel verilerin aktarılacağı yabancı ülkelerde yeterli korunma bulunması şartıyla aktarılabilir. Yeterli koruma bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Kişisel Verilerin Korunması Kurulu, yeterli korunmanın bulunduğu ülkeleri belirleyerek ilan eder.
Kişisel verilerin korunması kanunu kapsamında kişisel verileri işleyen veri sorumlusu ya da temsilcisinin verileri işlenecek olan kişiyi aydınlatma yükümlülüğü bulunmaktadır. Hangi konularda aydınlatacağı KVKK madde 10 ‘da düzenlenmiştir. Buna göre;
a)Veri sorumlusunun ve varsa temsilcisinin kimliği,
b)Kişisel verilerin hangi amaçla işleneceği,
c)İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç)Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d)İlgili kişinin hakları hakkında aydınlatma metni ve gizlilik sözleşmesi düzenlenir.
Düzenlenen metin herhangi bir şekle bağlı olmamakla birlikte taslak bir metin değil somut olayın özelliklerine göre hazırlanmış bir metin olmalıdır. Aydınlatma metninin şekle bağlı olmamasından kaynaklı olarak tek taraflı bir beyanla ya da başka herhangi bir yolla aydınlatılabilir fakat burada veri sorumlusu ile kişisel verisini paylaşacak olan gerçek kişi arasında ihtilaf çıkması durumunda ispat yükü veri sorumlusuna ait olur.
KVKK madde 11’de verisi işlenen kişilere bazı haklar tanınmıştır.
(1)Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a)Kişisel veri işlenip işlenmediğini öğrenme,
b)Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç)Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d)Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e)7nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f)(d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g)İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ)Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
Veri sorumlusunun yani verileri işleyen KVKK madde 12 gereği bazı yükümlülükleri vardır. Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesi ve hukuka aykırı olarak erişilmesinin önüne geçmek amacıyla teknik ve idari bütün tedbirleri almak zorundadır ve kişisel verilerin muhafazasını sağlamalıdır. Veri sorumlusu aldığı bu güvenlik önlemlerinden belirli aralıklarla güvenlik denetimi yapmak zorundadır.
Veri sorumluları kişisel verileri üçüncü kişilere açıklayamaz, paylaşamazlar. Kişisel verileri işlenme amacı dışında kullanamazlar. Veri sorumluların bu yükümlülükleri görevden ayrılması sonrasında da devam eder. Ancak veri sorumlusunun elinde olmayarak kanuna aykırı olarak verilerin elde edilmesi halinde veri sorumlusu bu durumu Kurula ve kişisel veriler işlenen kişiye bildirmek zorundadır. Kurul, gerek görmesi durumunda internet sitesinde ilan edebilir.
Kişisel verileri işlemeye başlamadan önce veri sorumlularının yani verileri işleyen gerçek ya da tüzel kişilerin Veri Sorumluları Siciline (VERBİS) kaydolmaları gerekmektedir. Bu sicil Kişisel Verileri Koruma Başkanlığı tarafından Kurul gözetiminde tutulur. VERBİS kayıt başvurusu için veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler, kişisel verilerin işlendikleri amaç için gerekli olan azami süre yer almalıdır. Burada dikkat edilmesi gereken bir nokta VERBİS’e kayıt yaptırmadan önce KVKK uyum süreci eğitimi alınması gerekmektedir. Aksi halde yapılan kayıtlar uyum sağlanamadığı için yetersiz olacaktır ve yapılan bir hata sonucu idari para cezası ile karşılaşılabilecektir. Tekrar VERBİS kayıt zorunluluğuna dönecek olursak, VERBİS kaydı yaptırmak zorunludur ancak kanun bazı istisnalar getirmiştir. Bunlar KVKK madde 16/2’ de “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” Denmek suretiyle istisnanın mümkün olduğu söylenmiştir. Ayrıca KVKK madde 28’de belirtilen kanunun koruma kapsamına girmeyen hallerde VERBİS kaydı yaptırılması zorunlu değildir. İstisna kapsamı dışında olanlar için VERBİS kayıt zorunluluğu devam etmektedir. Kayıt yaptırmayan veri sorumlularını yaptırımlar beklemektedir.
Veri sorumluları tanımı itibariyle kişisel verileri gösterdiği amaçta işleyen gerçek ve tüzel kişileri ifade eder. Kişisel veri ise yukarıda açıkladığımız üzere kişinin kimliğini belirleyen ya da belirlenebilir her türlü bilgidir. Örneğin hastaneler, klinikler (diş hekimi, diyetisyen, doktor vs.), muayenehaneler, oteller, güzellik salonları, estetik merkezleri, kuaförler kişisel verileri elde edip işledikleri için veri sorumlularıdır. Kişisel verileri işlemeye başlamadan önce veri sorumlularının yani verileri işleyen gerçek ya da tüzel kişilerin Veri Sorumluları Siciline (VERBİS) kaydolmaları gerekmektedir. Ancak veri sorumlusunun kanuni tanımı geniş olduğu için her veri sorumlusu VERBİS kaydı yaptırmak zorunda değildir. KVKK ve Yönetmelik ile istisna tutulanların dışındaki veri sorumluları VERBİS kaydını süresi içinde yaptırmak zorundadır.
Buna göre VERBİS kaydı yaptırmak zorunda olanlar;
Öncelikle veri sorumlusu olmayan kişiler için VERBİS kayıt zorunluluğu yoktur. Veri sorumlusu olup VERBİS’ e kayıt zorunluluğundan muaf tutulanlar ise KVKK madde 28, Veri Sorumluları Sicili Hakkında Yönetmelik madde 15-16 ‘da sayılmıştır.
İstisnalar
MADDE28-(1)Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a)Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin
yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı
konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi
b)Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve statistik gibi amaçlarla işlenmesi.
c)Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü
kapsamında işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri
sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt
yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
a)Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli
olması.
b)İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c)Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu
kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya
düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli
olması.
ç)Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik
ve mali çıkarlarının korunması için gerekli olması.
Veri Sorumluları Sicili Hakkında Yönetmelik madde 16’ya göre ise bazı hallerde Kişisel Verileri Koruma Kurulu bazı kriterlerin mevcut olması şartıyla bazı veri sorumlularını VERBİS kaydından muaf tutabilir. Bu kriterler şunlardır;
Kişisel verilerin ihlal edilmesi ile ilgili suçlar Türk Ceza Kanunu’nda ve KVKK’ nın Kabahatler bölümünde düzenlenmiştir. Buna göre KVKK madde 18/1-ç’ ye göre “16ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 53.576 TL’den 2.678.866 TL’ye kadar, idari para cezası verilir.” Demek suretiyle VERBİS kaydı yaptırmayanlara verilecek cezayı düzenlemiştir. (2022 için geçerli yaptırım)
Kişisel verilerin işlenmesini gerektirecek amaç ortadan kalktığında veri sorumlusu re‘sen ya da ilgili kişinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir. Anonim hale getirilen veri artık kişisel veri kapsamında olmayacağı için KVKK tarafından korunmaz.
Kişisel verilerin korunması, işlenmesi ya da aktarılması ile ilgili hakları ihlal edilen kişi öncelikle veri sorumlusuna başvuruda bulunur ve ihlalin giderilmesini talep eder. Fakat, başvurusu reddedilen ya da cevap verilmeyen ya da verilen cevabın yetersiz olması durumunda ilgili kişi yani kişisel verisi işlenen kişi veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 gün ve her halde 60 gün içinde kurula şikâyette bulunabilir. Burada dikkat edilmesi gereken nokta Kurula şikâyetten önce veri sorumlusuna başvuru ve talepte bulunulması gerektiğidir.
Kurul şikâyeti öğrendiğinde ya da re’sen görev alanına giren bir konu olduğunda inceleme başlatır. Kurulun isteği üzerine veri sorumlusu tüm bilgi ve belgeleri 15 gün içinde kurula iletir. Kurul şikâyeti inceler. Şikâyet tarihinden itibaren 60 gün içinde Kurul cevap vermezse talep reddedilmiş sayılır. Ancak kurul şikâyeti inceler ve hakkın ihlalinin varlığına kanaat getirirse hukuka aykırılığın düzeltilmesi için veri sorumlusuna kararını tebliğ eder. Veri sorumlusu en geç 30 gün içinde hukuka aykırılığı düzeltmek zorundadır. Açıkça hukuka aykırılık ya da telafisi güç zararların doğma ihtimali varsa Kurul, verilerin işlenmesi ve aktarılmasını durdurabilir.
Kişisel verilerin ihlal edilmesi ile ilgili suçlar Türk Ceza Kanunu’nda ve KVKK’nın Kabahatler bölümünde düzenlenmiştir. Buna göre; TCK md 135’e göre kişisel verilerin kaydedilmesi, TCK md 136’ya göre kişisel verileri hukuka aykırı olarak verme ve ele geçirme, TCK md 138’e göre verileri yok etme suçlarının işlenmesi halinde 1 yıldan 6 yıla kadar hapis cezası öngörülmüştür.
KVKK kapsamında ise bazı fiiller suç değil kabahat olarak düzenlenmiştir.
MADDE 18- (1) Bu Kanunun;
a)10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 13.393 – 267.886Türk lirasına kadar,
b)12nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında40.183 – 2.678.866Türk lirasına kadar,
c)15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında66.972 – 2.678.866 Türk lirasına kadar,
ç)16ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 53.576 TL’den 2.678.866 TL’ye kadar, idari para cezası verilir.
MDM Hukuk ve Danışmanlık; Ankara merkezli faaliyet gösteren bir avukatlık bürosudur.
Büromuz; ülke genelinde avukatlık mesleğinin yasal ve etik değerleri çerçevesinde hukukun bir çok alanında yetkin kadrosuyla avukatlık ve danışmanlık hizmeti sunmaktadır.
Bu web sitesi ve içindeki bilgiler, Türkiye Barolar Birliği’nin meslek kurallarına göre ve özellikle reklam yasağına uygun olarak tasarlanmıştır. MDM HUKUK & DANIŞMANLIK web sitesinin tüm bilgi ve materyaller sadece bilgilendirme olup bunların tamamına veya bir kısmına dayanılarak yapılan işlemlere, eylemlere ve bunların sonuçlarına ilişkin hiçbir sorumluluk kabul edilmez. Söz konu bilgilerin aktarılması ile kullanıcılar ve web tarayıcıları ile MDM HUKUK & DANIŞMANLIK arasında bir avukat-müvekkil ilişkisi yaratılması amaçlanmamıştır ve bilgilerin bu kişilerce alınması hiçbir şekilde bu yönde bir ilişki oluşturmayacaktır. Müvekkiller veya okuyucular hiçbir şekilde mevcut duruma ve özelliklerine ilişkin olarak uygun hukuki veya başka herhangi bir profesyonel görüş almadan, MDMHUKUK & DANIŞMANLIK web sitesinde yer alan herhangi bir hususa dayanarak bir eylemde bulunmamalıdır. MDM HUKUK & DANIŞMANLIK, bu web sitesi aracılığıyla ulaşılan üçüncü kişilere ait içeriklerden hiçbir şekilde sorumlu değildir.
MDM Hukuk ve Danışmanlık Tüm Hakları Saklıdır.
