İthalat İşlemlerinde KVKK ve Veri Güvenliği
İthalat İşlemlerinde KVKK ve Veri Güvenliği
İçindekiler
- KVKK ve İthalat İşlemleri
- İthalat Sürecinde Kişisel Veri İşleme
- Veri İşleme Şartları ve İstisnalar
- Uluslararası Veri Transferi ve Thalizmanlık Kararı
- İthalatçıların KVKK Yükümlülükleri
- Veri İhlali Bildirimi ve Yaptırımlar
- Veri Güvenliği İçin Alınması Gereken Önlemler
- Sıkça Sorulan Sorular
KVKK ve İthalat İşlemleri
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 2016 yılında yürürlüğe girmiş olup, kişisel verilerin işlenmesine ilişkin usul ve esasları düzenlemektedir. İthalat işlemlerinde, tedarikçi iletişim bilgileri, çalışan verileri, finansal veriler ve müşteri bilgileri gibi çeşitli kişisel veriler işlenmektedir. Bu nedenle ithalatçı firmaların KVKK uyum sağlaması yasal bir zorunluluktur.
İthalat süreçlerinde işlenen kişisel veriler arasında tedarikçi firma yetkililerinin adı, soyadı ve iletişim bilgileri, gümrük müşaviri personel verileri, banka hesap bilgileri, lojistik firması temsilcilerinin kimlik bilgileri ve üçüncü taraf denetim personeli verileri yer almaktadır. Bu verilerin KVKK'ya uygun olarak işlenmesi, firmaların hukuki güvenliğini sağlamaktadır. Daha fazla bilgi için Veri Güvenliği ve Siber Güvenlik sayfamızı inceleyebilirsiniz.
KVKK kapsamında kişisel veriler, ayarlanmış veriler (ad, soyad, TC kimlik no) ve özgülük arz eden veriler (ırk, etnik köken, sağlık, biyometrik) olarak iki kategoriye ayrılmaktadır. İthalat süreçlerinde genellikle ayarlanmış veriler işlenmekte olup, özel nitelikli veri işleme durumunda daha sıkı tedbirler alınması gerekmektedir.
İthalat Sürecinde Kişisel Veri İşleme
Hangi Veriler Kişisel Veri Sayılır?
- Tedarikçi Bilgileri: Firma yetkilisinin adı, soyadı, telefon, e-posta, unvan
- Finansal Veriler: Banka hesap numaraları, IBAN, ödeme geçmişi, kredi notu
- Lojistik Verileri: Kargo takip bilgileri, teslimat adresi, alıcı/verici kimlik bilgileri
- Çalışan Verileri: Gümrük müşaviri, depo personeli, sürücü bilgileri
- Üçüncü Taraf Verileri: Denetim şirketi personel verileri, sigorta temsilcisi bilgileri
Veri İşleme Amaçları
- Sözleşme İfası: İthalat sözleşmesinin kurulması ve ifası için veri işleme
- Hukuki Yükümlülük: Gümrük mevzuatı, vergi düzenlemeleri ve dış ticaret mevzuatı uyumu
- Meşru Menfaat: Tedarikçi değerlendirme, risk analizi, ticari istihbarat
- Açık Rıza: Pazarlama iletişimi, referans kontrolü, ticari işbirliği teklifi
Veri İşleme Şartları ve İstisnalar
KVKK'nın 5. maddesi uyarınca kişisel veri işleme şartları şunlardır:
- İlgilinin Açık Rızası: Veri sahibinin bilgilendirilerek ve serbest iradesiyle onay vermesi
- Kanunlarda Açıkça Öngörülme: Gümrük Kanunu, Vergi Usul Kanunu gibi kanunlarla zorunlu kılınması
- Sözleşmenin Kurulması ve İfası: İthalat sözleşmesinin ifası için zorunlu olması
- Hukuki Yükümlülük: Yasal düzenlemelerle yükümlü olunması
- Verinin Sahibi tarafından Açıklanmış Olması: Veri sahibi tarafından alenileştirilmiş olması
- Bir Hakkın Tesisi veya Korunması: Hukuki hakların kullanılması veya korunması için zorunlu olması
- Meşru Menfaat: Veri sorumlusunun meşru menfaati için zorunlu olması
İthalat işlemlerinde en sık kullanılan veri işleme şartları sözleşmesinin ifası, hukuki yükümlülük ve meşru menfaat şartlarıdır. Özellikle gümrük beyannamesi kapsamında tedarikçi bilgilerinin işlenmesi, 4458 sayılı Gümrük Kanunu gereği hukuki bir yükümlülüktür.
Uluslararası Veri Transferi ve Thalizmanlık Kararı
İthalat işlemleri doğası gereği uluslararası veri transferini içermektedir. Tedarikçi bilgileri, ödeme verileri ve sözleşme detayları yabancı ülkelere aktarılmaktadır. KVKK'nın 9. maddesi, kişisel verilerin yabancı ülkelere aktarılmasını düzenlemektedir.
- Aktarım Şartları: Veri sahibinin açık rızası, aktarılacak ülkenin yeterli koruma sağlaması, aktarımın sözleşme ifası için zorunlu olması, hukuki yükümlülük veya açık rıza
- Yeterli Koruma: Avrupa Birliği Kararları, standart sözleşme maddeleri, bağlayıcı kurumsal kurallar
- Özel Önlemler: Veri şifreleme, erişim kontrolü, aktarım log kaydı, gizlilik sözleşmesi
Avrupa Birliği veri koruma mevzuatı (GDPR) ile uyumlu işlemler için ek tedbirler alınması gerekmektedir. Özellikle AB menşeli tedarikçilerle çalışırken, GDPR'ın veri minimizasyonu ve amaç sınırlaması ilkelerine uyum sağlanmalıdır.
İthalatçıların KVKK Yükümlülükleri
İthalatçı firmaların KVKK kapsamında yerine getirmesi gereken yükümlülükler şunlardır:
- Aydınlatma Yükümlülüğü: Veri sahiplerini veri işleme amaçları, hukuki sebebi, aktarılacak taraflar ve hakları hakkında bilgilendirme
- Veri Sorumlusu Siciline Kayıt: Kişisel Verileri Koruma Kurumu'nun VERBİS sistemine kayıt olma zorunluluğu
- Veri İşleme İzni: Kişisel verilerin işlenmesinin hukuki dayanağının bulunması
- Veri Güvenliği: Teknik ve idari tedbirler alarak verilerin güvenliğini sağlama
- İhlal Bildirimi: Veri ihlali durumunda 72 saat içinde Kurul'a bildirim yapma
- Veri İmhası: İşleme amacı sona erdiğinde verilerin silinmesi, yok edilmesi veya anonimleştirilmesi
Veri İhlali Bildirimi ve Yaptırımlar
KVKK kapsamında kişisel veri ihlali durumunda 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılması zorunludur. İhlal bildirimi, ihlalin niteliği, etkilenen veri sahipleri sayısı ve olası sonuçlar hakkında bilgi içermelidir.
KVKK ihlalleri için uygulanacak idari para cezaları:
- En Hafif Ceza: Aydınlatma yükümlülüğünü yerine getirmeme: 50.000 TL - 1.000.000 TL
- Orta Seviye Ceza: Veri güvenliği tedbirlerini almama: 100.000 TL - 3.000.000 TL
- Ağır Ceza: Özel nitelikli verileri ihlal: 200.000 TL - 5.000.000 TL
- En Ağır Ceza: VERBİS'e kayıt yaptırmama: 1.000.000 TL - 7.000.000 TL
Veri Güvenliği İçin Alınması Gereken Önlemler
İthalatçı firmaların KVKK uyumlu veri güvenliği için alması gereken teknik ve idari tedbirler:
- Erişim Kontrolü: Parola politikası, çok faktörlü kimlik doğrulama, rol bazlı erişim yönetimi
- Veri Şifreleme: TLS/SSL iletişim şifrelemesi, disk şifreleme, veritabanı şifreleme
- Güvenlik Duvarı: Güvenlik duvarı, IDS/IPS sistemleri, DDoS koruması
- Yedekleme: Düzenli veri yedekleme, felaket kurtarma planı, offsite yedekleme
- Eğitim: Personel bilinçlendirme, sosyal mühendislik karşıtı eğitim, düzenli güvenlik testi
- Sözleşmeler: Tedarikçilerle gizlilik sözleşmeleri, veri işleme sözleşmeleri, NDA imzalama
Sıkça Sorulan Sorular
İthalatçının VERBİS'e kayıt zorunluluğu var mı?
Yıllık çalışan sayısı 50'den fazla veya yıllık mali tablosu 25 milyon TL'den fazla olan işletmeler ile yabancı kişisel veri işleyen tüm firmalar VERBİS'e kayıt olmalıdır. İthalatçıların yabancı tedarikçi verilerini işlemesi nedeniyle genellikle kayıt zorunluluğu bulunmaktadır.
Tedarikçi bilgilerini KVKK kapsamında nasıl paylaşabilirim?
Tedarikçi bilgileri, gümrük beyannamesi kapsamında 4458 sayılı Gümrük Kanunu gereği hukuki yükümlülük çerçevesinde işlenmekte ve paylaşılmaktadır. Sözleşme ifası ve meşru menfaat şartlarına dayanarak veri paylaşımı yapılabilir. Veri paylaşımından önce aydınlatma yükümlülüğü yerine getirilmelidir.
Yabancı ülkeye veri aktarımı yaparken nelere dikkat etmeliyim?
Aktarılacak ülkenin veri koruma düzeyini değerlendirin. AB ülkeleri için yeterli koruma kararı bulunmaktadır. Diğer ülkeler için standart sözleşme maddeleri kullanın. Veri şifreleme ve gizlilik sözleşmesi (NDA) uygulayın. Aktarım amacını sınırlayın ve veri minimizasyonu ilkesine uyun.
Veri ihlali yaşarsam ne yapmalıyım?
İhlali derhal tespit edin ve etkisini sınırlayın. 72 saat içinde KVKK Kurulu'na bildirim yapın. İhlalden etkilenen veri sahiplerini bilgilendirin. İhlal nedenini araştırın ve tedbirleri güçlendirin. Gerekirse hukuki danışmanlık alın.
KVKK ile GDPR arasındaki farklar nelerdir?
GDPR, AB ülkeleri için geçerlidir ve daha katı yaptırımlar içerir (cezalar global ciroya göre hesaplanır). KVKK, Türkiye için geçerlidir ve nispi cezalar uygular. GDPR, veri koruma görevlisi (DPO) atama zorunluluğu içerirken KVKK'da bu kural daha esnektir. İthalatçılar her iki düzenlemeye de uyum sağlamalıdır.