Mehmet Ağıllı – Otellerde K.V.K.K uygulama detayları

24.3.2016 6698 sayı ile kabul edilen Kişisel Verileri Koruma Kanunu (KVKK) once 30.Eylul.2019 tarihinde Veri Sorumluları Sicil Bilgi Sistemi sistemine (Verbis) belirli şartlara uyan şirketlerin başvurusunu yaparak kayıt altına alınmak istenmiş, görülen lüzum üzerine bu son  kayıt tarihi 31.12.2019 tarihe kadar uzatılmıştır.

Verbis sitemine kayıt şartları 50 ve üzeri işçi çalıstıran ve/veya 25.000.000 (yirmibeş milyon TL) TL bilanço degeri  olan işletmeler için zorunlu olarak 30.06.2020 tarihine kadar zorunlu kayıt yapılmalıdır. Veri sorumlusunun kayıt yapmaması veya usulune uygun kayıt yapılmamasının kireterlere göre değişmekle birlikte yetmiş beş bin (75.000) tl ile bir milyon (1.000.000) tl arasında  idari para cezası uygulanabilecektir.

KVKK  uygulama kanunu her ne kadar ülkemizde son yıllarda çok gundeme gelmiş olsa ve kuralları oluşturulmuş olsa dahi AB – GDPR (General Data Protection regulation), USA  – The Privacy Act, UK – Personal information management adları altında dunyada oldukca fazla ülkelerde uygulanmaktadir.

Kanunun adı Kişisel verileri konuma kanunu (KVKK) olarak yer alsada, aslında bu bilgilerin sahibi gercek kişileri koruma altına almaktadir.

KVKK kapsamına giren tüm işletmeler Veri sorumlusu sifati ile tum verilerin iş amaçlı toplama zorunlulugundan, tasnifinden ve bu verilerin saklanma ve silinmesinden 1. Derece sorumludur. Bu kişisel verileri usulune uygun polikalar gelistirerek uygulanması da Veri sorumlulugu kapsamındadir. İletmeler veri sorumlulugunu devredemezlar ama her işletme için bir kontak kişisi atayarak KVK Kurumu ve işletme arasındaki iletişimi bir kişi üzerinden sağlayabilirler.

Veri Sorumlusu çeşitli nedenler ile toplamiş oldugu kişisel bilgiler için Açık riza alma zorunluluğu bulunmaktadir.

Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. Açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir.

Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:

  • Belirli bir konuya ilişkin olması,
  • Rızanın bilgilendirmeye dayanması,
  • Özgür iradeyle açıklanması.

Açik rizanın mutlaka belirlibir konu veya konular için net birsekilde belirtilerek alınması esası şarttır ve hukuken geçerli olmaktadir. Yani genel amaclı (her türlü very işleme faaliyeti vb.) alınan açık rizalar gecersizdir. 

Kanun genel olarak 7 ana baslık altında VERBİS sistemine veri girisini ve sınıflandırmasını kapsamaktadir.

  1. Kategoriler : Bu bölümde işletme içerisinde işlenen verilerin katagorilere ayrılarak gruplandırılması gereklidir.
  2. Amaçlar: Kategorilere ayrılmiş ve gruplandırılımışolan her bir kişisel bilginin hangi amaçlar için alındıgının amaçlarını tanımlanabilecegi bölümdür.
  3. Alıcılar :  Kişisel bilgileri iş süreçlerini takiı edebilmek için kim veya kimlerarasında paylasıldgının grup bazında tanımlanmasıdır.
  4. Süreler : Kişisel verilerin işletme içerisndeki saklanma süreleri.
  5. Kişi grupları :  Kişisel verilerin hangi grup veya kişiler bazında sahip olma durumlarını açıklayan bölüm.
  6. Yabanci ülkeler: Yukarda kategoriler sekmesinde belirtilmiş olan bu  kişisel very bilgilerinin yurt dışına aktarılip aktarilmadıgının belirtilmesi.
  7. Güvenlik: Yukardaki tüm süreçleri ve kişisel verileri saklamak, güvenli  bir şekilde kullanılmasını sağlamak ve  3.nolu maddede belirtilmişolan saklama süreleridolan verilerin imha veya anonimleştirme süreçlerinin gerek Bilgisayar sistemleri uyumluluğu ve gerekse prosedur olarak raporlanması süreçlerini kapsayan bölumdür.

KVKK süreçlerinin yönetimi genel anlamda iki ana meslek grubu tarafından yürütülmektedir. Hukuki konuları Avukatlar ve bu hukuki süreçlerin işletme içerisnde bilgi güvenliğini sağlamak ve yönetmek için ise BİlgiSistem uzmanları.

Yukardaki tüm süreçlerin tamamlanarak VERBİS (Veri Sorumluları sicil bilgi sistemi) sistemine girilmesi tüm Veri Sorumlusunun sorumlulugunu bitirmemekte, 6 aydan daha uzun olmamak şartı ile surekli olarak güvenlik,bilgi toplama, eğitim,  acik rica bildirimi gibi KVKK kapsamındaki süreçlerin kontrol edilerek raporlanması gereklidir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Araç çubuğuna atla