STNZ Legal

Kişisel Verileri Koruma Kurumu'ndan Yazı Alan Veri Sorumluları Neler Yapmalıdır?

Temmuz 2021

*Öncelikle Kişisel Verileri Koruma Kurumu’ndan sizlere tebliğ edilen yazı eğer bir bilgi-belge-savunma talebine ilişkin ise tebliğ edilen yazılı metnin son kısmında bir cevap süresi yer alacaktır. Bu cevap süresi genelde 15 gün gibi kısıtlı bir süre olduğu ve böylesi savunmalarda her geçen gün önemli olduğu için zaman kaybetmemenizi ve mümkünse yazının size tebliğ edildiği gün içerisinde Avukatınızla iletişime geçmenizi öneririz.

**Anlaşılırlığı ve okunurluğu kolaylaştırmak için yazımızda hukuki ve resmi bir dil kullanmak yerine daha çok “konuşma havasında” bir üslup kullandık ve genelde Müvekkillerimizden gelen soruları sizler için bir araya topladık. (Meslektaşlarımıza da faydalı olmasını umuyoruz.)

***KVKK’dan size tebliğ edilen metinde yer alan cevap süresi içerisinde cevabınızı hazırlayabileceğinize ilişkin tereddütleriniz ve geçerli sebepleriniz var ise yazımızı okumaya, sonda yer alan “Ek Süre Talebi” başlığının altındaki açıklamaları okuyarak başlayabilirsiniz.

1. Kişisel Verileri Koruma Kurumu’ndan Gelen Yazılar Neye/Nelere İlişkin Olabilir?

Kişisel Verileri Koruma Kurumu’ndan gelen yazılar, genelde kişisel veri sahiplerinin şikayetlerine, kişisel veri ihlallerine, VERBİS kaydına ve hakkınızdaki ihbarlara ilişkin olabilir. Ancak elbette bu başlıklar altına girmeyen ayrıksı konularda da bilgi-belge vb. talepler tarafınıza ulaşabilir. Her durumu kendi özelinde değerlendirmek gerekeceğinden; yazımızda genelde karşılaşabileceğiniz bilgi-belge-savunma taleplerine ilişkin bilgilendirmelere yer verilecektir.

1.1. VERBİS Kaydınızı Tamamlamanıza İlişkin Gönderilen Yazılar

VERBİS yani Veri Sorumluları Sicil Bilgi Sistemi, kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.

VERBİS’e kaydolmakla yükümlü bir Veri Sorumlusu iseniz ve Kişisel Verileri Koruma Kurumu tarafından belirlenen süreler içerisinde VERBİS kaydınızı gerçekleştirmediyseniz; Kişisel Verileri Koruma Kurumu’ndan VERBİS kaydınızı tamamlamanıza ilişkin bir yazı tebliğ alabilirsiniz.

VERBİS kaydının tamamlanması için belirlenen süreler birçok kez uzatıldı, son uzatma kararının özetini ise aşağıda bulabilirsiniz.

Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile;

– Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,

– Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının (özetle ana faaliyet konusu özel nitelikli kişisel veri işleme olan tüm veri sorumluları) Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,

– Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine kadar uzatılmasına karar verilmiştir.

31.12.2021 tarihinden sonraki bir tarihte kayıt yükümlüsü haline geldiyseniz (Örneğin: 31.12.2021 tarihinden sonra bir tarihte çalışan sayınız 50’yi aştıysa), kayıt yükümlüsü olduğunuz tarihten itibaren 30 günlük sürede VERBİS kaydınızı tamamlamak zorundasınız.

VERBİS kaydınızı tamamlamanız yönünde bir tebligat aldığınız takdirde, yapılması gereken, VERBİS kaydı yükümlüsü olarak VERBİS kaydınızı tamamlamanızdır. Bu noktada takip edilmesi gereken yol haritasına geçmeden önce belirtmek isteriz ki; herhangi bir sebeple VERBİS kaydı yükümlüsü olmadığınızı düşünüyorsanız bununla ilgili olarak Kurum ile yazışma yaparak gerekçesini anlayabilir veya yükümlü olmadığınızı kanıtlayabilirsiniz.

VERBİS kaydı yapılırken takip edilmesi gereken adımlar:

  • VERBİS kaydı için kullanıcı adı ve şifresinin alınması için başvuru yapılması,
  • Kişisel veri içeren süreçlerin tespit edilmesi ve mevzuata uygun Kişisel Veri Envanterinin hazırlanması,
  • Kişisel Veri Envanteri incelenerek risk analizi yapılması ve alınması gereken idari ve teknik tedbirlerin tespit edilmesi,
  • İdari ve teknik tedbirleri kapsayan Kişisel Verilerin Korunması Uyum Programı yapılması,
  • VERBİS sistemine girişlerin yapılması.

Bambaşka bir yazının konusu olmakla birlikte, VERBİS kaydının sadece VERBİS sistemine yapılan bazı veri girişleri olarak algılanmasına ilişkin görüşlerimizden de kısaca bahsetmek isteriz. Bilindiği üzere VERBİS kaydının son adımında veri sorumlusunun aldığı İdari ve Teknik tedbirlere ilişkin girişlerin yapılması beklenmektedir. Bu girişler vasıtasıyla veri sorumluları esasen “İşlediğim kişisel verilerin güvenliği için …. teknik tedbirlerini ve …. idari tedbirlerini aldım” şeklinde beyanda bulunmaktadır. Kişisel Verilerin Korunması Kanunu’nun 12. maddesine göre veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel Verileri Koruma Kurumu’nun yayınladığı kararlar ve rehberler alınması gereken idari ve teknik tedbirler ile ilgili yol gösterici olsa da; alınması gereken “her türlü” güvenlik tedbirinin tespit edilmesi ve alınması, eksikliklerin tespiti için denetimler yapılması, veri işleyenlerce de gerekli tedbirlerin alınmasının sağlanması esasen veri sorumlularının yükümlülükleridir. Kişisel Verilerin Korunması Kanunu’nun 18. maddesine göre veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 2021 yılı itibariyle 29.503 Türk lirasından 1.996.856 Türk lirasına kadar idari para cezası uygulanır. Bu nedenle VERBİS kaydının idari ve teknik tedbirler alanında “tedbirlerimiz eksik olsa da aldığımız tedbirleri yazalım”, “tedbirlerimiz eksik ama hepsi varmış gibi yazalım”, “boş bırakalım” gibi yaklaşımlar hukuka aykırı olmakla birlikte çok risklidir. Bu nedenle kanaatimizce her VERBİS kaydı çalışması; içerisinde bir KVK Uyum Programını içermeli, hukuk ekibiniz idari tedbirleri – teknik ekibiniz teknik tedbirleri tespit etmeli ve tüm tedbirlerin mevzuatla uyumlu şekilde alındığından emin olunmalıdır. Bu şekilde gerçekleştirilmeyen VERBİS kayıtlarının Kişisel Verilerin Korunması Kanunu’nun amacı ile örtüşmediği ve gelecekte daha büyük riskler doğuracağı görüşündeyiz.

1.2. Kişisel Veri Sahiplerinin Şikayetlerine İlişkin Gönderilen Yazılar

İlgili kişilerin (kişisel veri sahiplerinin) Veri Sorumlusuna yaptığı başvuruların reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her hâlde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir. Kişisel Verileri Koruma Kurumu’na hakkınızda bir şikayet yapılması halinde ise Kurum tarafından size bilgi-belge ve savunma talep etmek amacıyla bir yazı tebliğ edilecektir.

Kişisel Verileri Koruma Kurumu’ndan gelen yazıya cevap verirken öncelikle ilgili kişi tarafından size yapılan başvuruyu ve verdiğiniz cevabı inceleyip savunmanızı hazırlamaya başlayabilirsiniz. Kişisel Verileri Koruma Kanunu’nun 14/2 maddesine göre ilgili kişi tarafınıza başvurmadan Kuruma şikayet yoluna başvuramaz, bu nedenle önceden tarafınıza ulaşan bir başvuru olmaması halinde bu hususu Kuruma vereceğiniz cevapta belirtmeniz büyük önem taşımaktadır.

Ancak tarafınıza öncesinde ulaşmış ve tarafınızca cevaplanmış bir başvuru varsa; Kişisel Verileri Koruma Kurumu’na vereceğiniz cevapta, başvuruyu neden söz konusu şekilde cevapladığınızı gerekçelendirmeniz gerekmektedir. Gerekçelerinizi Kuruma bildirirken bir yandan da objektif bir şekilde işleyişinizi gözden geçirmeniz ve açıkça hukuka aykırı süreçleriniz var ise bu süreçleri iyileştirmeniz gerekir. Örneğin: bir veri toplama kanalında gerekli Aydınlatma Metni’ne yer verilmediyse, ilgili metnin hazırlanması ve bu veri toplama kanalına yerleştirilmesi gerekir. Zira veri işleme süreçlerinizde Kişisel Verileri Koruma Kurumu’nca tarafınıza idari para cezası verilmesini gerektiren bariz bir eksiklik söz konusu ise; bu eksiklik yokmuş gibi davranmak yerine tüm süreçlerde iyileştirmeye gitmek alacağınız idari para cezasının tutarına pozitif etki edebilir.

Başka bir örnek verecek olursak: Kişisel veri sahibinin başvurusunun ilgili birimlere ulaşmadığını ve bu nedenle cevaplanamadığını tespit ettiniz. Bu durumda Kişisel Veri Sahibi Başvuru Yönetimi Prosedürü ve Başvuru Formu hazırlayabilir, böylesi bir prosedür mevcut ise Şirket içi bir duyuru hazırlayarak ilgili prosedürü tüm çalışanlara hatırlatabilirsiniz. Benzer şekilde Şirketinizdeki ilgili kişilere bir KVKK eğitimi verebilir ve bu durumun tekrar yaşanmaması için gerekli diğer aksiyonları alabilirsiniz. Bu aksiyonları da kanıtlarıyla birlikte cevap yazınızda “Şirketteki ilgili personele Kişisel Verilerin Korunması Mevzuatı ve Şirket KVK Politika ve Prosedürleri ile ilgili eğitim verilmiştir, imzalı eğitim listeleri Ek-X’de dikkatinize sunulmuştur.” VEYA “İlgili personele tüm gerekli eğitimler verilmiş, bilgilendirmeler yapılmıştır, personel Şirket prosedürlerine uygun hareket etmediği için Şirket İç Denetim bölümünce soruşturma yürütülmüştür. Soruşturma sürecinde alınan savunma Ek-X’de dikkatinize sunulmuştur.” örneklerinde olduğu gibi detaylı şekilde açıklayabilirsiniz. Tüm süreçlerde eksiksiz bir KVK uyum süreci ve yönetimi gerçekleştirdiğinizi düşünüyorsanız; bu durumda da savunmanıza ek olarak KVK Uyum sürecinizden ve KVK yönetim sürecinizden bahsetmenin de pozitif etkisi olabilir.

Bir kişisel veri sahibi başvurusu, başka kişisel veri sahiplerinin de söz konusu uygulamadan rahatsız olduğuna işaret edebilir. Her kişisel veri sahibi başvurusu da bir kişisel veri şikayetine dönüşme potansiyeline sahiptir. Bu nedenle şikayete dönüşsün-dönüşmesin, kişisel veri sahiplerinin başvurularını özen ve empati ile ele almak, KVK Uyum çalışmalarınız ve Şirket KVK kültürünüz için büyük önem arz etmektedir.

Yukarıdaki açıklamaların tamamı, bir KVK Uyum Programınız olduğu düşünülerek yapılmıştır. Eğer henüz bir KVK Uyum Programınız yok ise yapılması gereken ilk şey hem Hukuk Ekibinizin hem de Teknik Ekibinizin ortaklaşa çalıştığı bir KVK Uyum Programını ivedilikle tamamlamak ve bu uyum programının yaşamasını sağlayacak sistematiği kurmak olmalıdır. Zira söz konusu şikayet, tüm uygunsuzluklar ile ilgili yaptırımlara hükmedilmesine sebebiyet verecek daha geniş bir incelemeye yol açabilecektir. Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu’nda yer alan yaptırımlar 2. başlık altında açıklanmıştır.

1.3. İhbarlara İlişkin Gönderilen Yazılar

Uygulamada yasalara açıkça aykırılık teşkil eden riskli durumların söz konusu olduğu hallerde ihbarlarla karşılaşılabilmektedir. Örneğin: Çok popüler yeni bir mobil uygulama piyasaya sürülmüştür, uygulama özel nitelikli kişisel veri topluyordur ancak aydınlatma metni yoktur, veri sorumlusu belli değildir veya bu kişisel verilerin başka ilgisiz bir şirkete satıldığı kamuoyunda konuşuluyordur. Bu gibi durumlarda bir ihbar üzerine veya ihbara gerek duyulmaksızın resen Kişisel Verileri Koruma Kurumu’ndan bir yazının tarafınıza tebliğ edilme ihtimali bulunmaktadır. Böyle bir durum söz konusu ise; veri sorumlusu muhtemelen daha önce bir KVK Uyum süreci geçirmemiştir. Bu nedenle böylesi hallerde Hukuk Ekibinin ve Teknik Ekibin ortaklaşa çalıştığı bir KVK Uyum Programının ivedilikle tamamlanıp ihbara konu hukuka aykırılığın ortadan kaldırılması gerekmektedir.

Eğer KVK Uyum programınız tamamlanmamasına rağmen ciddi bir hukuka aykırılıkla karşı karşıya kaldıysanız başka bir hukuk ekibinden hukuki bir KVK Denetimi hizmeti ve başka bir teknik ekipten (başta sızma testi olmak) üzere teknik bir KVK denetim hizmeti almanız faydalı olacaktır.

1.4. Kişisel Veri İhlallerine İlişkin Gönderilen Yazılar

Kişisel Verileri Koruma Kurumu tarafından bir kişisel veri ihlaline ilişkin yazı aldıysanız, bu yazı daha önce yaptığınız bir kişisel veri ihlal bildirimine ilişkin ilave bilgi-belge talebine ilişkin olabileceği gibi bildirim yapmadığınız fakat kamuoyunda konuşulan bir kişisel veri ihlaline ilişkin de olabilir.

Kişisel veri ihlalleri, sonuçları ve yaptırımları itibariyle en riskli konuların başında gelir. Bu nedenle gerektiğinde usulüne uygun bildirimde bulunmak büyük önem arz etmektedir. Bir şekilde kişisel veri ihlal bildiriminin tarafınızca yapılmadığı bir durum söz konusu olursa, konuyu özenli ve detaylı bir şekilde ele almak ve anlamak gerekecektir.

Kişisel veri ihlal bildirim usul ve esaslarına ilişkin Kişisel Verileri Koruma Kurulu Kararına buradan ulaşabilirsiniz.

2. Kişisel Verilerin Korunması Mevzuatındaki Yaptırımlar

Kişisel Verilerin Korunması Mevzuatındaki idari para cezaları Kişisel Verilerin Korunması Kanunu’nda, hapis cezaları ise Türk Ceza Kanunu’nda düzenlenmiştir. Bu yaptırımlara risklerin somutlaşması adına yazımızda da yer vermek istedik.

  • Aydınlatma Yükümlülüğünün yerine getirmeyenler hakkında 9.834 Türk lirasından 196.686 Türk lirasına kadar idari para cezasına hükmedilir.
  • Türk Ceza Kanunu’na göre hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verilir.
  • Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 2021 yılı itibariyle 29.503 Türk lirasından 1.996.856 Türk lirasına kadar idari para cezasına hükmedilir.
  • Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirmeyenler hakkında 2021 yılı itibariyle 49.171 Türk lirasından 1.996.856 Türk lirasına kadar idari para cezasına hükmedilir.
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 2021 yılı itibariyle 39.337 Türk lirasından 1.996.856 Türk lirasına kadar idari para cezasına hükmedilir.
  • Türk Ceza Kanunu’na göre kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.
  • Türk Ceza Kanunu’na göre Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verilir.

Ek Süre Talebi

KVKK tarafından tarafınıza bildirilen sürede ilgili savunmayı-cevabı-bilgi-belgeyi hazırlamak mümkün görünmüyorsa; yazının tebliğ edildiği gün ek süre talebinde bulunmayı ihmal etmeyiniz. (Talep edeceğiniz ek sürenin, şartlarınıza göre makul bir ek süre talebi olduğuna özen göstermenizi tavsiye ederiz.) Ek süre talebiniz kabul edilmesi için belirli gerekçelerinizin olması ve KVKK tarafından size iletilen talebin verilen sürede tamamlanmasının mümkün olmaması gerekir. Örneğin: Büyük şirketler için evden çalışma dolayısıyla farklı ekiplerden gerekli tüm bilgileri toparlamak, toplantı yapmak, yazıyı finalize etmek vb. süreçler için verilen süre yeterli olmayabilir.

Ek süre talebinde bulunacaksınız; bu talebin yazının tebliğ edildiği gün yapılmasının oldukça önemli olduğu kanaatindeyiz. Zira bu talebinizin kargo ile KVKK’ya ulaşması, teslim alınması, incelenmesi ve karara bağlanması zaman alan süreçler olacaktır. Bu nedenle ek süre talebinde bulunsanız dahi; talebiniz kabul edilmeyecek gibi çalışmaları yürütmeye devam etmeniz gerekmektedir. Zira talebiniz kabul edilmeyebileceği gibi kabul edilse bile ek süre talebinizin kabul edildiğine ilişkin Kurum cevabı size verilen cevap süresi içerisinde tarafınıza ulaşmayabilir.

Ek süre talebinize dönüşün, cevap süreniz içerisinde elinize ulaşmaması halinde risk almadan cevap süreniz içerisinde cevabınızı Kuruma göndermenizi önermekteyiz. Ek süre talebinizin kabulü, cevap süreniz içerisinde elinize ulaşırsa çalışmalarınızı ve cevabınızı derinleştirebilir ve verilen yeni süre içerisinde gönderebilirsiniz.

İlave sorularınız, yorumlarınız, destek ve işbirliği talepleriniz için bizimle her zaman internet sitemizde yer alan iletişim adreslerinden iletişime geçebilirsiniz. www.stnzlegal.com

Av. Nazlı Hilal Kaya & Av. Setenay Kaya