KVKK cezalarına maruz kalmamak için neler yapmalısınız?

Bilgi İletişim Güvenliği Uyum Baş Denetçisi Cenk E. Tezel, özellikle sigorta acenteleri için Kişisel Verileri Koruma Kanunu’nu (KVKK) ‘hap’ şeklinde, anlaşılır bir dille sigortamnews okuyucuları için kaleme aldı.

23.05.2025 - 09:13 Yayınlanma

23.05.2025 - 11:27 Güncelleme

2 Paylaşım

13 Dk Okunma Süresi

KVKK’nın gerekli şartlarını yerine getirmediğinizde 13 milyon lirayı aşan cezalarla karşı karşıya kalabileceğinizi biliyor musunuz?

Peki, KVKK cezalarına maruz kalmamak için neler yapmalısınız?

Bilgi İletişim Güvenliği Uyum Baş Denetçisi Cenk E. Tezel’in ‘Sigorta Sektöründe Kişisel Veriler ve Bizden Beklenenler’ başlıklı makalesi şöyle:

6698 Sayılı Kişisel Verileri Koruma Kanunu 07/07/2016 tarihinde yayınlandı. Kurumlar için bir uyum süresi tanımlandı ve bazı maddeleri yayından 6 ay sonra geri kalan kısmı ise yayın tarihinde yürürlüğe girdi.

Yasa ile kurulan Kişisel Verileri Koruma Kurumu da geçen zaman içinde pek çok rehber, genelge, vb., yayınlayarak ve aldığı kararlarla her bir maddenin uygulama esaslarını daha net tanımlamaya devam etti. Geçen zaman içinde bu rehberler de yenilendi. Süreç içinde yaşananlar, kişisel verilerle ilgili kayda geçen olayla ve teknolojik gelişmeler sonucunda rehberler de yenilenmeye devam ediyor. Aşağıda bu maddeler ve ilgili mevzuatta yer alan kurallar ile bizim bunlardan ne anlamamız gerektiği kısaca yer alıyor.

Yasa ve ekleri; sigorta şirketleri, bayiler, acenteler de dahil olmak üzere sektörde yer alan tüm gerçek ve tüzel işletmeleri kapsamaktadır. Bunun anlamı ise aşağıda yazılı olan kural ve detaylara sektörün tüm aktörlerinin uyması şarttır.

Kendi kendinize “Yapmazsak ne olur?” diye soruyor olabilirsiniz. Bu durumda yapılması gerekenlerin son maddesine bakarak başlamanızda fayda var. İdari para cezaları bölümünden. Bir diğer not olarak: 2021 yılından beri VERBİS kaydını yapmayan yükümlü işletmelere para cezaları kesilmeye başlandı. Gerisi aşağıda:

YASA BİZDEN NE İSTİYOR?

Kapsam

‘Biz KVKK’ya tabi değiliz’ deme şansınız yok. Eğer kişisel veri işliyorsanız, kanunun maddelerinde yazılan uygulamaları gerçekleştirmek zorundasınız.

Kişisel veri nedir?

Kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir.

Kişisel Veri İşlemek Ne Anlama Gelir?

Verinin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, Kişisel verinin işlenmesidir.

Anlamı: Öyle aklınıza esen veya ‘bir gün lazım olur’ dediğiniz her kişisel veriyi işleyemezsiniz. ‘Biz bir şey yapmıyoruz, öyle duruyor’ diyemezsiniz. Saklamak da işlemektir.

Genel İlkeler

Kişisel veriyi ancak kanunun ön gördüğü şekilde işleyebilirsiniz. Bir kişisel veriyi edinmiş olmanız onu istediğiniz gibi kullanabileceğiniz veya işleyebileceğiniz anlamına gelmez.

Ayrıca bir kişisel veriyi toplamak için kanunda belirtilen şartlardan birinin gerçekleşmiş olması gerekir. Aksi takdirde o kişisel verinin işlenmesi kanuna aykırıdır ve cezaya tabidir.

Bir örnek olarak, TCKN ancak KVKK tarafından yayınlanmış olan TÜRKİYE CUMHURİYETİ KİMLİK NUMARALARININ İŞLENMESİ HAKKINDA REHBER’de tanımlanan durumlarda işlenebilir. Bu kapsam çok geniş olsa da dışına çıkılması suç oluşturur.

Anlamı: Kişisel veriyi ancak alındığı amaçla kullanabilirsiniz. Karşı taraf kendi iradesiyle, siz istemeden verse bile amacı dışında kullanamazsınız.

Kişisel Verilerin İşlenme Şartları

Yasanın öngördüğü, kanun metninde de yer alan, haller dışında bir kişinin kişisel verisi onun rızası olmadan işlenemez.

Bu verileri işleyebilmek için o kişinin mutlaka açık rızasını almak zorundasınızdır. Bu rızanın alındığını ispatla yükümlü olan da veriyi işleyendir.

Anlamı: Yasal olarak işlemek zorunda olduğunuz haller ve kanundaki diğer zorunluluklar dışında rıza almadığınız hiçbir kişisel veriyi işleyemezsiniz. Rıza aldığınızı, ne zaman aldığınızı, ne için aldığınızı ispat etmek zorundasınız.

Özel Nitelikli Kişisel Veriler

Kanunda madde madde tanımlanmış olan yandaki veriler özel nitelikli kişisel verilerdir.

Bu veriler; ancak kanunda tanımlanan özel şartların oluşması halinde işlenebilir. Aksi takdirde işlenmesi (bulundurmak dahil) yasaktır.

Özel nitelikli kişisel verileri işlerken kurulun belirlediği özel güvenlik önlemlerinin de alınması şarttır.

Bilgi sınıflaması yapılan işyerlerinde özel nitelikli kişisel verilerin en tüksek korumaya sahip gizlilik sınıfında tanımlanması esastır.

Bu konuda çok sık yapılan bir hata da özel nitelikli olmayan kişisel verinin bu kategoriye giren veri olarak tanımlanmasıdır.

Örneğin; uyruk yerine etnik kimlik veya ırk kullanılması veya kıyafet bedeni ile ilgili bilginin kılık kıyafet bilgisi olarak tanımlanması gibi. Bunları düzeltmemek kanunen zor durumda kalmaya neden olur.

Anlamı: Özel nitelikli kişisel veriyi kanunun tanımladığı haller dışında işleyemezsiniz. Bu durumda bile en yüksek gizlilik standartlarını uygulamak zorundasınız.

Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi

Bir kişisel veriyi edinmeniz onu ilelebet saklayabileceğiniz anlamına gelmez. Doğru şartlar ve kanuni zorunluluklar ortaya çıktığında bu bilginin güvenli ve (mümkün olduğunca) geri döndürülemez yöntemlerle yok edilmesi gerekir.

Verinin silinmesi yok etme değildir. Bu konuda ilgili yönetmeliğe ve KVKK’nın ilgili rehberine başvurulabilir.

Anlamı: Bulundurulma amacı ortadan kalkan kişisel veri doğru yöntemlerle imha edilmelidir. Saklama süresi dolan veri imha edilmelidir. Bilmemesi gerekenle mecburen paylaşılıyorsa mutlaka maskelenmelidir.

Kişisel Verilerin Aktarılması

5. maddede belirtilen şartlardan birisi gerçekleşmemişse kişisel verinin aktarılabilmesi için mutlaka açık rıza alınması şarttır.

Açık rızanın alınmasında dikkat edilmesi gereken konular Açık Rıza Rehberi’nde tanımlanmıştır.

Buna göre;

Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:

• Belirli bir konuya ilişkin olması,

• Rızanın bilgilendirmeye dayanması,

• Özgür iradeyle açıklanması.

Yani rızanın alınmasından önce mutlaka bu konuda bir aydınlatma yapılmış olması, bu aydınlatmada rıza istenen konunun ve yöntemlerin net olarak tanımlı olması ve bir zorlamaya dayanmaması gerekir. Aydınlatma yapılmadan rıza alınamaz. Daha sonra da görüleceği gibi aydınlatma yapıldığını ispat etmek yapanın yükümlülüğüdür. Ayrıca bir imza ile rıza alınıyorsa sadece olumlu değil olumsuz seçenek de yer almalıdır. Ayrıca kişilere rıza vermedikleri için hizmet vermeme gibi bir zorlamaya girilemez.

Özellikle bu kurala göre kurulmuş web siteleri kanuna aykırıdır ve cezaya açıktır.

Anlamı: Kişisel veriyi kanuni zorunluluk haricinde başkalarıyla paylaşmadan önce rıza almak zorundasınız. Rıza almadığınız veriyi paylaşamazsınız.

Kişisel Verilerin Yurt Dışına Aktarılması

Özetle;

Kişisel veriler herhangi bir nedenle yurtdışına aktarılacaksa bu konuda aydınlatma yapılmalı ve bu aktarım için ayrıca rıza alınmalıdır.

Genel işleme rızası ile yurtdışına aktarım rızası mutlaka birbirinden ayrılmalıdır. Yani 2 rıza alınmalıdır. Microsoft, Google, Amazon, iCloud gibi hizmetleri kullanan veri işleyiciler verileri yurtdışında depolandığı için bu rızayı almak zorundadır.

Anlamı: Yurtdışındaki veri merkezlerini kullanmak da verinin yurtdışına transferi kapsamına girer. Bunun rızası ayrıca alınmalı ve saklanmalıdır.

Veri Sorumlusunun Aydınlatma Yükümlülüğü

Kişisel veri işleyen tüm kurum ve kuruluşlar, rıza almalarını gerektirmeyen şartlarda bile, kişisel verilerin nasıl işlendiği ve bu konuda ilgili kişilerin haklarının ne olduğu konusunda aydınlatma yapmak zorundadır.

Aydınlatma rehberinde de belirtildiği gibi bu aydınlatmanın yapıldığının ispatı veriyi işleyene aittir. İlgili kişi istemese bile yapılmak zorundadır.

Aydınlatma yükümlülüğü ve açık rıza ayrı konular olduğu için tek onay veya imza ile ikisi birden yerine getirilmiş olmaz.

Müşteriler, çalışanlar, tedarikçiler, vb.’a ait farklı kişisel veriler farklı amaçlar ve yöntemlerle işlendiği için her biri için ayrı bir aydınlatma metni hazırlanması şarttır.

Tüm ilgili kişiler için bir ‘çarşaf’ aydınlatma hazırlanması kanuni değildir.

Kamera görüntüleri de kişisel veri olduğu için bu alınan görüntüler için de aydınlatma yapılmalıdır. Özellikle de halka açık alanları çeken kameralar mevcutsa bunların aldığı görüntüler ile ilgili aydınlatma uygun yerlerde ve şekilde mevcut olmalıdır.

Aydınlatma metinlerinin örneklerine de Aydınlatma Yükümlülüğü ile ilgili rehberde yer almaktadır.

Aydınlatma yükümlülüğünün yerine getirilmemesi yasanın 18. Maddesine göre idari para cezasına tabi bir durumdur.

Anlamı: Rıza almak her durumda geçerli olmayabilir ama her durumda aydınlatmak zorundasınız. Ver her ilgiliyi kendi şartlarına göre aydınlatmak zorundasınız. ‘Ben ortaya söylerim, herkes kendine lazım olanı anlasın’ diyemezsiniz. Ayrıca birilerini aydınlattığınızı da ispat etmek zorundasınız.

Ayrıca veriyi doğrudan siz almamışsanız, size aktarılmışsa bile ilk fırsatta bu aydınlatmayı yapmanız şarttır.

İlgili Kişinin Hakları

Kişisel verisini işlediğimiz kişi (ilgili kişi) bu verileri kullanmamız için rıza verdiği için ilelebet bu verileri istediğimiz gibi kullanamayız.

İlgili kişi kişisel verilerinin işlenip işlenmediğini, kimlerle paylaşıldığını öğrenme, verilerini sildirme, değiştirme, anonim hale getirme bunların paylaşıldığı kişiler tarafından da yapılmasını isteme hakkına sahiptir.

Ayrıca daha önce verdiği herhangi bir rızayı geri çekme hakkı da vardır.

Son olarak; eğer kişisel verilerin işlenmesi sırasında bir kusur oluşmuşsa bu durumdan doğan zararın giderilmesini isteyebilir.

Aydınlatma metninde bu hakların nasıl kullanılabileceğinin de açıklaması yükümlülüğü olduğunu görmüştük. Ayrıca bu yöntemlerin, başvuruyu kolaylaştıracak şekilde düzenlenmesi şartı vardır. Mümkün olduğunca çok sayıda yöntemle başvurunun kanun ve rehberin öngördüğü şartlarla yapılabilmesine olanak verilmelidir.

Bu istekler için (özellikle ekstra masrafı gerektiren bir durum yoksa) ücret talep edilemez. Bu istekler 30 gün içinde cevaplanmalıdır. Yoksa KVKK şikayet hakkı doğar.

Anlamı: Kişilerin kendi verileri ve izinleri ile ilgili hakları vardır. Bu hakları kullandırmazsanız Kurul size kullandırır ve üstüne de yüklü ceza ödersiniz.

Veri Güvenliğine İlişkin Yükümlülükler

Her kurum kendi sorumluluğunda olan kişisel verinin zarar görmemesi ve yetkisiz kişilerin eline geçmemesi her türlü idari ve teknik önlemi almak zorundadır. Bunu yerine getiremeyen kurumlar bir veri ihlali durumunda para cezasına çarptırılır. Bu para cezalarının 2024 tutarları aşağıda yer alıyor.

Kurumlara KVKK tarafından kesilen cezaların çök büyük bir bölümü bu maddeden kesilmektedir.

Her türlü idari ve teknik önlem dendidiği için siber güvenlik başta olmak üzere, fiziki, İK, prosedürler dahil çok katmanlı güvenlik önlemleri şarttır.

Olanakları yeterli olan yükümlülerin bu önlemleri kurum çapında uygulayabilmek için kabul görmüş Bilgi Güvenliği yapılarını kurması (ISO 27001, ISO 27701, BİG Rehber, NIST, vb.,) yerinde olacaktır.

Ayrıca eğer bu şekilde bir kişisel veri ihlali gerçekleşmişse bu durumun da 72 saat içinde Kurul’a ve kişisel verileri ihlal edilmiş ilgili kişilere bildirilmesi gerekmektedir.

Anlamı: Kişisel verileri gerçekten korumak zorundasınız. Yeğene web sitesi yaptırıp, internetten indirilen uygulamalar kullanıp ona buna yazdırılan yazılımla iş göremezsiniz. Verileri korumak için fiziki güvenlikten eğitime, sistem izlemeden halka açık yerlerde bilgisayar/telefon kullanmaya kadar çok konuda kendinize çeki düzen vermeniz şarttır.

Tüm çalışanlarınıza düzenli olarak bilgi güvenliği ve KVKK eğitimi aldırmanız şarttır.

Veri Sorumlusuna Başvuru

İlgili kişinin kişisel verileri ile ilgili olarak başvuru yapma hakkı vardır. Bu başvurunun daha önce tarif edildiği gibi sonuçlandırılması şarttır.

Eğer başvuru zamanında veya ilgili kişinin istediği gibi sonuçlanmazsa bu durumun KVKK’na taşınma hakkı mevcuttur.

Usulüne uygun yapılan bir başvuruyu inceleyen Kurul gerekli kararı verir. Bu karara göre para cezası uygulanabilir. Kurul mevcut uygulamanın değiştirilmesi için süre verip bunu takip edebilir. Ayrıca bu cezalar ilgili kişinin tazminat hakkını yok etmez.

Daha önce de paylaşılan kurul kararı bu hususların tamamını içermektedir.

Kurulun yayınladığı tüm kararlar diğer kurumlar için de bağlayıcıdır. Her kurum uygulamalarını bu kararlarda belirtilen yöntemlere uydurmak zorundadır. Buna uymamak da cezaya tabi bir durumdur.

Anlamı: Kişisel verilerle ilgili Kurul’un önüne düşerseniz okkalı bir cezanın yanında hatalı uygulamalarınız düzeltme ve prestij kaybı gibi ekstra yüklerin de altına girersiniz. Adınız çıkarsa sahip olduğunuz ticari sözleşmeleri de kaybedebilirsiniz.

Veri Sorumluları Sicili

Veri Sorumluları Sicili VERBİS’e kayıt için istisna getirilmiştir. 50 kişinin altında veya bilanço büyüklüğü 100 milyon TL’nin altında olan kurum ve kişiler (eğer ana faaliyet alanları özel nitelikli kişisel verilerin işlenmesi değilse) VERBİS kaydı yapmak zorunda değildir.

Burada dikkat edilmesi gereken ifade bilanço büyüklüğüdür. Ciro kastedilmemektedir.

‘Ana faaliyet alanı özel nitelikli kişisel veri işlemek’ tabirine muhatap olan sektörlere örnek olarak sağlık verilebilir. Yani özel muayenehanesi olan doktorlar, diş hekimleri, tıbbi ürün satıcıları da dahil çalışan sayısı ve bilanço büyüklüğünden bağımsız olarak VERBİS yükümlülüğündedir.

VERBİS’e kaydolması gereken tüm kurumlar ayrıca bir kişisel veri envanteri hazırlamakla yükümlüdür. Bu envanterin şekli ve yöntemi de ilgili rehberde tanımlanmıştır.

Anlamı: VERBİS’e kaydolmanız gerekiyorsa gecikmeden kaydolun. Kişisel veri envanteri yapın. Envanteriniz gerçekçi olsun. Hangi veriyi nerede sakladığınızı bilin.

İdari Para Cezaları

Kanun çıktığı tarihte belirlenen idari para cezaları her yıl yeniden değerleme oranında arttırılmaktadır.

2025 yılı için bu cezalar şöyledir:

Aydınlatma Yükümlülüğünü Yerine Getirmeme

68.083 TL – 1.362.021 TL

Veri Yükümlülüğü İhlali (İdari ve Teknik Tedbirler)

204.285 TL – 13.062.402 TL

Kurul Kararlarını Yerine Getirmeme

340.476 TL – 13.062.402 TL

VERBİS Kayıt ve Bildirimi Yükümlülüğü İhlali

272.380 TL – 13.062.402 TL

Alt ve üst sınırı belirlenen cezalar için Kurul şirket büyüklüğü de dahil olmak üzere değerlendirmeler yaparak karar vermektedir. Bu cezalar ihlal başınadır.

Yani aydınlatma yükümlülüğünü yerine getirmediğiniz her durum için ayrı ayrı cezalandırılırsınız.

Anlamı: Cezalar ağır, Kurul’un önüne düşünce boş geçme şansınız az. Yasayı doğru uygulayın.

Kişisel Verileri Koruma Kanunu, yayınlandığı tarihten beri kararlar, genelgeler ve rehberlerle geliştirilmektedir. Ayrıca 12 Mart 2024 günü yayınlanan torba yasa ile bazı maddelerinde değişiklik yapılmış ve bu değişiklikler de 1 Haziran 2024’de yürürlüğe girmiştir.

Bunun sonucu olarak KVKK uyumu için hem sürekli yeni mevzuata göre mevcut uygulamalar ve metinlerin güncellenmesi hem de sürekli gelişen teknoloji ve tehditler için idari ve teknik önlemlerin geliştirilmesi şarttır. Yani sadece hukuki veya siber güvenlik tarafından çözümler yeterli olmayacaktır ve idari ve ceza hukukuna muhatap olabilirsiniz.

İlgili rehberlere https://www.kvkk.gov.tr/Icerik/2030/Rehberler adresinden ulaşabilirsiniz.

Eğer mevcut durumunuzun yasanın ve ilgili mevzuatın mevcut durumuna ne kadar uyumlu olduğunu merak ediyorsanız mutlaka uzman görüşüne başvurun ve bir fark analizi yaptırın.

Eğer bu konularda desteğe ihtiyacınız varsa mutlaka konuyu çok boyutlu değerlendirecek uzmanlardan destek alın.

Cenk E. Tezel

MSc. Enformatik

Bilgi İletişim Güvenliği Uyum Baş Denetçisi (D1-D2)

D1 = Ağ ve Sistem Güvenliği

D2 = Uygulama ve Veri Güvenliği