Web Siteniz KVKK'ya Uygun mu - Cezai Şartlar Nelerdir
KVKK (Kişisel Verilerin Korunması Kanunu) yasasına uygun bir web sitesi oluşturmak için dikkat edilmesi gereken başlıca noktalar şunlardır:
-
Aydınlatma Metni: Ziyaretçilerin kişisel verilerinin hangi amaçlarla toplandığını, işlendiğini ve saklandığını açıklayan bir aydınlatma metni hazırlanmalıdır. Bu metin, kullanıcıların kolayca erişebileceği bir yerde (genellikle ana sayfanın alt kısmında) bulunmalıdır.
-
Açık Rıza: Kişisel verilerin işlenebilmesi için kullanıcılardan açık rıza alınmalıdır. Bu, genellikle bir onay kutusu aracılığıyla yapılır. Kullanıcı, verilerinin hangi amaçlarla işleneceğini bilerek bu kutuyu işaretlemelidir.
-
Çerez Politikası (Cookie Policy): Web sitesinde kullanılan çerezlerin türleri, ne amaçla kullanıldıkları ve nasıl kontrol edilebileceği konusunda kullanıcıya bilgi veren bir çerez politikası bulunmalıdır. Ayrıca, kullanıcıların çerezleri reddetme seçeneği de sunulmalıdır.
-
Veri İşleme Politikası: Kişisel verilerin toplanması, işlenmesi ve saklanması ile ilgili prosedürlerin detaylandırıldığı bir politika oluşturulmalıdır. Bu politika, şirketin KVKK'ya uygunluğunu gösterir.
-
Veri Güvenliği Tedbirleri: Kullanıcıların kişisel verilerini korumak için uygun teknik ve idari tedbirler alınmalıdır. Bu, SSL sertifikası kullanımı, güçlü parola politikaları ve erişim kontrolleri gibi önlemleri içerebilir.
-
Veri Sahibi Hakları: Kullanıcılara, kişisel verileri üzerinde sahip oldukları haklar (erişim, düzeltme, silme vb.) konusunda bilgi verilmelidir. Bu hakları nasıl kullanabilecekleri hakkında da yönergeler sağlanmalıdır.
-
Veri Sorumlusu İletişim Bilgileri: Kişisel verilerin korunmasından sorumlu kişi veya departmanın iletişim bilgileri web sitesinde yer almalıdır. Bu, kullanıcıların veri ile ilgili sorularını veya taleplerini iletebilmeleri için gereklidir.
-
Veri İşleyenlerle İlgili Bilgiler: Eğer web sitesi, üçüncü taraflarla (örneğin, hosting hizmeti sağlayıcıları, pazarlama ajansları) veri paylaşıyorsa, bu taraflarla yapılan sözleşmelerin KVKK'ya uygunluğu sağlanmalı ve bu bilgi kullanıcılara bildirilmelidir.
-
Kişisel Veri Envanteri: Web sitesinde hangi tür kişisel verilerin toplandığı, ne amaçla toplandığı, nasıl saklandığı ve kimlerle paylaşıldığı gibi bilgileri içeren bir envanter oluşturulmalıdır.
Bu adımları uygulayarak, web sitenizin KVKK yasasına uygun hale gelmesini sağlayabilirsiniz. Ayrıca, periyodik olarak bu politikaları ve uygulamaları gözden geçirip güncellemek önemlidir.
Hangi web sitesi sahipleri kvkk yasasına dahildir?
KVKK (Kişisel Verilerin Korunması Kanunu) yasasına tabi olan web sitesi sahipleri, kişisel veri işleyen tüm gerçek ve tüzel kişilerden oluşur. Bu kapsamda, aşağıdaki durumlarda web sitesi sahipleri KVKK'ya tabidir:
-
Ticari Web Siteleri: E-ticaret siteleri, hizmet sağlayıcıları, online mağazalar gibi kişisel veri toplayan ve işleyen tüm ticari web siteleri KVKK'ya dahildir. Bu siteler, müşterilerden isim, adres, e-posta gibi kişisel veriler topladıkları için KVKK'ya uygun hareket etmek zorundadır.
-
Üyelik Sistemine Sahip Siteler: Forumlar, sosyal medya platformları, haber siteleri, bloglar ve diğer üyelik sistemiyle çalışan siteler, kullanıcılarından kişisel veri topladıkları için KVKK'ya dahildir.
-
Çerez Kullanan Web Siteleri: Kullanıcı davranışlarını izlemek ve kişiselleştirilmiş içerik sunmak için çerezler kullanan tüm web siteleri, çerezler aracılığıyla toplanan verilerin KVKK kapsamında değerlendirilmesi gerektiğinden, KVKK'ya tabidir.
-
Kişisel Veri Toplayan Siteler: İletişim formu, bülten kaydı, anket gibi araçlarla kişisel veri toplayan web siteleri de KVKK'ya dahildir. Bu tür siteler, kullanıcıların adını, e-posta adresini, telefon numarasını vb. topladığı için KVKK kurallarına uymalıdır.
-
Kamu Kurumlarına Ait Web Siteleri: Kamu kurumlarına ait web siteleri de vatandaşlardan topladıkları kişisel veriler dolayısıyla KVKK'ya tabidir.
-
Kâr Amacı Gütmeyen Kuruluşlar: Dernekler, vakıflar, sivil toplum kuruluşları gibi kâr amacı gütmeyen kuruluşların web siteleri de üyelerinden, bağışçılarından veya gönüllülerinden kişisel veri topluyorsa KVKK'ya tabidir.
KVKK, kişisel veri işleyen herkes için geçerli olduğundan, kişisel verileri işleyen herhangi bir web sitesi sahibi bu yasaya tabi kabul edilir ve yasanın gereklerine uygun hareket etmek zorundadır. Bu, hem Türkiye'de faaliyet gösteren hem de Türkiye'deki kullanıcıların verilerini işleyen yabancı web sitelerini de kapsar.
Kişisel veri sayılan şeyler nelerdir?
KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında "kişisel veri" olarak kabul edilen bilgiler, bir kişiyi doğrudan ya da dolaylı olarak tanımlayabilen her türlü veri olarak tanımlanır. Bu kapsamda kişisel veri sayılan şeyler şunlardır:
1. Kimlik Bilgileri:
- Ad, soyad
- TC kimlik numarası
- Doğum tarihi ve yeri
- Anne adı, baba adı
- Pasaport numarası
- Sürücü belgesi bilgileri
2. İletişim Bilgileri:
- Adres
- E-posta adresi
- Telefon numarası
- IP adresi
3. Fiziksel Özellikler:
- Fotoğraf
- Parmak izi
- Göz rengi, saç rengi
- Boy, kilo
4. Finansal Bilgiler:
- Banka hesap numarası
- Kredi kartı bilgileri
- Maaş bilgileri
- Vergi numarası
- Borç ve ödeme bilgileri
5. Sağlık Bilgileri:
- Kan grubu
- Sağlık raporları
- Engellilik durumu
- Medikal kayıtlar
- Genetik veriler
6. Eğitim ve Mesleki Bilgiler:
- Diploma bilgileri
- Sertifikalar
- Çalıştığı yer ve pozisyon
- Meslek kodları
- Akademik geçmiş
7. Hukuki Bilgiler:
- Mahkeme kararları
- Adli sicil kaydı
- Avukat bilgileri
8. Biyometrik Veriler:
- Parmak izi
- Retina taraması
- Yüz tanıma verileri
- Ses kayıtları (tanımlayıcı olarak kullanıldığında)
9. Genetik Veriler:
- DNA analiz sonuçları
10. Dijital ve İnternet Kullanım Verileri:
- IP adresi
- Çerez verileri
- Cihaz kimliği
- İnternet tarama geçmişi
- Sosyal medya hesap bilgileri
11. Aile ve Sosyal Bilgiler:
- Evlilik durumu
- Çocuk sayısı
- Aile bireylerine ilişkin bilgiler
12. Görsel ve İşitsel Kayıtlar:
- Ses kayıtları
- Video kayıtları
- Güvenlik kamerası görüntüleri
Bu veriler, bir kişiyi doğrudan veya dolaylı olarak tanımlayabilecek kapasitede olduğundan, KVKK kapsamında "kişisel veri" olarak kabul edilir ve bu verilerin işlenmesi, saklanması ve paylaşılması özel kurallara tabidir. Kişisel verilerin korunması, bireylerin mahremiyetinin ve temel haklarının korunması açısından büyük önem taşır.
Neler kişisel veri sayılmaz?
KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında "kişisel veri" olarak sayılmayan bilgiler genellikle kişiyi doğrudan veya dolaylı olarak tanımlamayan, anonimleştirilmiş veya genel nitelikteki verilerdir. Kişisel veri sayılmayan bazı örnekler şunlardır:
-
Anonimleştirilmiş Veriler: Kişiyi tanımlama imkanı kalmayacak şekilde anonimleştirilmiş bilgiler, kişisel veri sayılmaz. Örneğin, bir grup insanın yaş ortalamasını vermek.
-
Genel İstatistiksel Veriler: Bir grubun toplam sayısı, ortalama yaşı gibi kimseyi bireysel olarak tanımlamayan istatistiksel veriler kişisel veri olarak değerlendirilmez.
-
Kurumsal Bilgiler: Bir şirketin adı, vergi numarası, adresi gibi sadece tüzel kişilere ait bilgiler kişisel veri sayılmaz. Bu bilgiler bir kişiyi doğrudan tanımlamadığı için KVKK kapsamında değerlendirilmez.
-
Yayınlanmış ve Kamuya Açık Bilgiler: Kişinin rızasıyla kamuya açık kaynaklarda paylaştığı, yayınlanmış bilgiler kişisel veri olarak değerlendirilmeyebilir. Ancak bu bilginin kamuya açık olması, kişisel veri olarak işlemeye izin vermeyebilir; bu nedenle dikkatli olmak gerekir.
-
Genel Tanımlayıcılar: Sadece cinsiyet, meslek grubu, şehir gibi bilgileri içeren veriler, kişiyi doğrudan tanımlamıyorsa kişisel veri sayılmaz.
KVKK kapsamında kişisel veri sayılmayan veriler, bir kişinin kimliğini belirlemek veya tanımlamak için yeterli olmayan ve anonimleştirildiğinde tanımlama gücünü yitirmiş verilerdir. Ancak bu tür verilerin bile, kişisel verilerle birleştirildiğinde veya belirli bağlamlarda kişisel veri niteliğine kavuşabileceği unutulmamalıdır.
KVKK yasasına uymama cezası nedir?
KVKK (Kişisel Verilerin Korunması Kanunu) yasasına uymayanlar için belirlenmiş çeşitli idari ve cezai yaptırımlar bulunmaktadır. Bu cezalar, ihlalin türüne ve ciddiyetine göre değişiklik gösterebilir. Aşağıda KVKK'ya uymayanlar için uygulanabilecek cezalar belirtilmiştir:
1. İdari Para Cezaları:
KVKK'ya aykırı hareket edenler için öngörülen idari para cezaları şunlardır:
-
Aydınlatma yükümlülüğüne aykırı hareket edilmesi (Kişisel verilerin işlenmesi sırasında, veri sahiplerinin bilgilendirilmemesi):
Cezası: 27.042 TL - 2.705.989 TL arası (2024 yılı itibarıyla). -
Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi (Kişisel verilerin hukuka aykırı olarak işlenmesi, erişilmesi ve muhafaza edilmemesi):
Cezası: 40.564 TL - 4.058.962 TL arası. -
Kişisel Verileri Koruma Kurulu kararlarının yerine getirilmemesi:
Cezası: 67.607 TL - 6.763.862 TL arası. -
Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi:
Cezası: 33.803 TL - 2.705.989 TL arası.
2. Cezai Sorumluluk:
KVKK ihlallerine ilişkin ceza kanunu hükümleri de uygulanabilir:
-
Kişisel Verileri Hukuka Aykırı Olarak Kaydetmek:
Türk Ceza Kanunu'na göre cezası: 1 yıldan 3 yıla kadar hapis cezası. -
Verileri Hukuka Aykırı Olarak Başkasına Vermek, Yaymak veya Ele Geçirmek:
Türk Ceza Kanunu'na göre cezası: 2 yıldan 4 yıla kadar hapis cezası. -
Yasal Süreç Sonunda İmha Edilmesi Gereken Verilerin İmha Edilmemesi:
Türk Ceza Kanunu'na göre cezası: 1 yıldan 2 yıla kadar hapis cezası.
3. Tazminat Yükümlülüğü:
KVKK ihlalleri sonucunda zarar gören kişilerin, uğradıkları zararların tazmini için veri sorumlusuna karşı tazminat davası açma hakları bulunmaktadır.
4. İtibar Kaybı:
KVKK ihlalleri, kurum ve kuruluşlar için ciddi itibar kayıplarına yol açabilir. Bu da müşteri güvenini zedeleyebilir ve iş kaybına neden olabilir.
KVKK'ya uyumlu hareket etmek, bu cezalarla karşı karşıya kalmamak için önemlidir. Bu nedenle, gerekli tüm önlemlerin alınması ve veri koruma süreçlerinin düzenli olarak denetlenmesi gerekir.