Kişisel Verileri Koruma Kurulu’nun 11/03/2021 tarihli ve 2021/238 sayılı kararı ile, yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları hariç olmak üzere, veri sorumlularının Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) son kayıt tarihleri bir kez daha ertelenmiştir. Buna göre, yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları, yurt dışında yerleşik veri sorumluları, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları ve kamu kurum ve kuruluşu veri sorumluları için VERBİS’e son kayıt tarihi olarak 31 Aralık 2021 olarak belirlenmiştir.
Daha önceki Kurul kararlarında olduğu gibi, bu karar ile yalnızca veri sorumlularının VERBİS’e kayıt yükümlülükleri ertelenmiştir. Bununla birlikte, veri sorumluları Kişisel Verilerin Korunması Kanunu kapsamındaki yükümlülüklere uymak ve dolayısıyla kişisel verilerin korunması ile ilgili hükümlere kendilerini uyumlu hâle getirmekle yükümlüdür. Dolayısıyla, VERBİS kayıt tarihlerinin ertelenmesi, Kişisel Verilerin Korunması Kanunu ile uyumluluğunun tamamlanması açısından herhangi bir farklılık yaratmamıştır.
Veri sorumluları, Kişisel Verilerin Korunması Kanunu uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini ya da kişisel verilere üçüncü kişiler tarafından hukuka aykırı olarak erişilmesini önlemekle yükümlüdür. Bu yükümlülüklerini yerine getirmek için gerekli idari ve teknik tedbirlerin alınması gerekmektedir. Ancak bu idari ve teknik tedbirler alındıktan sonra veri sorumluları VERBİS’e kayıt yaptırabileceklerdir. Bu tedbirler yerine getirilmeden VERBİS’e kaydolmak, Kişisel Verilerin Korunması Kanunu ile uyumlu olunduğu anlamına gelmeyecektir.
Veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerle ilgili ayrıntılı bilgi edinmek için “KVKK Uyum Planı – İdari ve Teknik Tedbirler” yazımızı okuyabilirsiniz. Bununla birlikte, alınması gereken tedbirler aşağıda belirtilen şekilde özetlenebilir:
İdari Tedbirler
- Kişisel veri işleme envanterinin hazırlanması
- Erişim, bilgi güvenliği, saklama ve imha gibi kurumsal politikaların hazırlanması
- Diğer veri sorumluları ve varsa veri işleyenler ile yapılan sözleşmelere kişisel verilerin korunması hükümlerinin eklenmesi
- Kişisel verilerin paylaşıldığı kişiler ile gizlilik sözleşmelerinin yapılması
- Kişisel verilerin korunması ile ilgili kurum içi denetimlerin yapılması
- Kişisel verilerin korunması ile ilgili risk analizlerinin yapılması
- Çalışanlarla yapılan iş sözleşmelerine ve disiplin yönetmeliklerine kişisel verilerin korunması ile ilgili hükümlerin eklenmesi
- Çalışanlar için kişisel verilerin korunması ve KVKK ile uyum konusunda eğitim ve farkındalık faaliyetlerinin düzenlenmesi
- Kurumsal iletişim çalışmalarına kişisel verilerin korunması ile ilgili konuların dahil edilmesi
Teknik Tedbirler
- Çalışanlar ile ilgili yetkilerin belirlenmesi ve yetki denetiminin sağlanması
- Kişisel verilere erişim ve kişisel verilerin işlenmesi ile ilgili günlük (log) kayıtlarının tutulması
- Çalışanlar için kullanıcı hesap yönetim sisteminin kurulması
- Güvenlik duvarı ve ağ geçidi gibi yollarla ağ güvenliğinin sağlanması
- Kişisel verilerin işlendiği sistemlerde uygulama güvenliğinin sağlanması ve uygulamaların güncel tutulması
- Kullanıcılar tarafından güvenli şifrelerin kullanılması ve şifreleme ile ilgili ek önlemler kullanılması
- Siber saldırılar için tespit ve önleme sistemlerinin (IDS & IPS) kurulması ve sistemler için sızma (penetrasyon) testlerinin gerçekleştirilmesi
- Kişisel verilerin maskelenmesi
- Kişisel verilerin kaybolmasını ya da tahrip olmasını önlemek için veri kaybı önleme (DLP) yazılımlarının kullanması ve kişisel verilerin yedeklerinin alınması
- Kötü amaçlı yazılımlara karşı güncel antivirüs ve anti-malware yazılımlarının kullanılması
- Muhafaza edilmesine gerek kalmayan kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
- Kullanıcıların sistemlere erişim için kullandığı anahtarların üretilmesi, saklanması, kullanılması, değiştirilmesi ve imhası süreçlerini takip etmeye yarayan anahtar yönetiminin sağlanması
İdari Para Cezaları
Kişisel Verilerin Korunması Kanunu kapsamında, aydınlatma yükümlülüğünü, idari ve teknik tedbirler alarak veri güvenliğine ilişkin yükümlülüğünü, VERBİS’e kayıt yükümlülüğünü ve Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirme yükümlülüğünü yerine getirmeyen veri sorumluları için ayrı ayrı idari para cezaları öngörülmüştür.
Eylem | İdari Para Cezası Tutarları (2024) |
Aydınlatma Yükümlülüğüne Aykırılık Hâlinde | 47.303 TL – 946.308 TL |
Veri Güvenliğine İlişkin Yükümlülüğe Aykırılık Hâlinde | 141.934 TL – 9.463.213 TL |
Kişisel Verileri Koruma Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğüne Aykırılık Hâlinde | 236.557 TL – 9.463.213 TL |
VERBİS’e Kayıt Yükümlülüğüne Aykırılık Hâlinde | 189.245 TL – 9.463.213 TL |
Yukarıdaki tablodan da görüldüğü üzere, Kişisel Verilerin Korunması Kanunu kapsamında veri güvenliğine ilişkin yükümlülüğe uyulmaması ile VERBİS’e kayıt yükümlülüğüne uyulmaması hâlleri için farklı para cezası tutarları öngörülmüştür. Yazımızın ilk kısmında izah ettiğimiz üzere, VERBİS’e kayıt yükümlülüğünün ertelenmesi, veri sorumluları tarafından veri güvenliğine ilişkin idari ve teknik tedbirlerin alınmasına dair yükümlülüğü ertelememektedir. Gerekli tedbirleri almayan veri sorumluları, idari para cezası yaptırımı ile karşı karşıya gelebilecektir.
Hapis Cezaları
Kişisel Verilerin Korunması Kanunu kapsamında, Türk Ceza Kanunu’nun 136 ile 140’ıncı maddeleri arasında hapis cezaları öngörülmüştür.
Eylem | Yaptırım |
Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi | 1-3 yıl |
Kişisel Verileri Hukuka Aykırı Olarak Başkasına Verme, Yayma, Ele Geçirme | 2-4 yıl |
Kişisel Verileri Belirli Sürenin Geçmesine Rağmen Yok Etmeme | 1-2 yıl |
Yukarıdaki suçların bir tüzel kişi tarafından işlenmesi hâlinde tüzel kişilere yönelik öngörülen güvenlik tedbirleri uygulanacaktır. Bu hususta gerekli tedbirleri almayan gerçek kişi veya tüzel kişi veri sorumluları, hapis cezaları veya Türk Ceza Kanunu‘nda öngörülen yaptırımlar ile karşı karşıya gelebilecektir.