Kişisel Verilerin Korunması Kanunu (KVKK) Çerçevesinde Getirilen Yükümlülükler
Bilişim dünyasında yaşanan gelişmeler, kişisel verilere yetkisiz kişiler tarafından ulaşılması tehlikesini de beraberinde getirdi
Günümüz bilişim teknolojisi ile kişisel verilere küçük bir çabayla erişmek mümkün. Bunun kolaylığını fark eden girişimciler için ticari hayat artık daha hızlı, etkin ve sonuç odaklı. Peki bu durum yeteri kadar güvenli mi? Ya da şöyle sormak gerekirse kişisel verilere bu kadar kolay erişebilmek, aynı anda çok sayıda kullanıcıya ulaşılabiliyor olmak yasal mı? Özellikle sosyal medya profilleri üzerinden birçok kişisel veri alınıp satılabiliyorken tüm bu veriler nasıl korunacak? Birçok bilgi gibi kişisel verilerin de dijital dünyaya aktarımı sonrasında, verilerin dolaşım ve aktarımının kontrol altına alınması ihtiyacı ortaya çıktı. Nitekim bilişim dünyasında yaşanan gelişmeler, kişisel verilere yetkisiz kişiler tarafından ulaşılması tehlikesini doğurarak birçok temel hak ve özgürlüğün ihlali riskini de beraberinde getirdi. Bu nedenle kişilere ait verilerin elde edilmesi, kaydedilmesi, aktarılması ve korunması gibi işlemlerin belirli kurallar çerçevesinde yapılması ihtiyacı ortaya çıktı. Bu kapsamda KVKK’nın yürürlüğe girmesiyle birlikte sorumlu hâle gelen şirket yöneticilerinin de gündemi oldu.
KVKK’da kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır
KVKK MEVZUATI
Kişisel verilerin korunması hususu, Anayasa’nın 20. maddesinde yapılan düzenlemeyle güvence altına alınmıştır. 5237 Sayılı TCK’nın 135 vd. maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi suç sayılarak yaptırıma bağlanmıştır. 6698 sayılı KVKK ise 24.03.2016’da kabul edilmiş olup, 07.04.2016‘da Resmî Gazetede yayımlanarak yürürlüğe girmiştir. Ayrıca KVKK kapsamında idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur. KVKK hükümleri yürürlükte olmakla birlikte Kurum, kanunda öngörülen Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) giriş yükümlülüğü için belirli bir geçiş süresi öngörmüştür. Yapılan son değişiklikle:
– Yıllık çalışan sayısı 50’den veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumlularıyla yurt dışında yerleşik tüm veri sorumlularının VERBİS’e kayıtları için tanınan süre 30 Haziran 2020’ye
– Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularının VERBİS’e kayıtları için tanınan süre 30 Eylül 2020’ye
– Kamu kurum ve kuruluşu veri sorumlularına VERBİS’e kayıtları için tanınan süre ise 31 Aralık 2020’ye uzatılmıştır.
Ancak tekrar belirtmek gerekirse kanun hükümleri ve yaptırımlar hâlihazırda yürürlükte olup VERBİS’e kayıt dışında herhangi bir geçiş süreci söz konusu değildir.
KİŞİSEL VERİ KAVRAMI
KVKK’da kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Kişinin; adı-soyadı, doğum tarihi ve doğum yeri gibi kesin teşhisini sağlayan bilgiler bireyin; fiziksel, ekonomik ve sosyal kimliğini ifade eden somut veriler bu kapsamdadır. Ayrıca kimlik, vergi numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan bilgiler ile kişiye ait e-mail adresi, telefon numarası, resim, görüntü, ses kayıtları ve parmak izi gibi nitelikler de kişisel veri olarak değerlendirilmektedir. Kişisel verilerin işlenmesi durumu; bilgilerin tamamen veya kısmen otomatik ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, yeniden düzenlenmesi, aktarılması, devralınması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlanmıştır. KVKK’da genel nitelikli kişisel verinin yanı sıra, özel nitelikli veriler de düzenlenmiştir. Kişilerin; ırkı, siyasi düşüncesi, dini, mezhebi, dernek, vakıf ya da sendika üyeliği, sağlığı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu verilerin başkaları tarafından öğrenilmesi kişinin pozitif ya da negatif ayrımcılığa uğrayabileceği veriler olarak değerlendirilir. Bu nedenle ilgili verilerin korunması konusunda daha sıkı şartlar getirilmiştir.
Kişisel verilerin işlenmesi; bilgilerin tamamen veya kısmen otomatik ya da otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, yeniden düzenlenmesi, aktarılması gibi işlemleri ifade eder
KVKK KAPSAMINDA ŞİRKETLERE GETİRİLEN YÜKÜMLÜLÜKLER NELERDİR?
KVKK’da, veriyi koruyan ile işleyen sorumlular ayrı olarak düzenlenmiş olup, kişisel verilerin işlenmesinde yerine getirilmesi gereken yükümlülükler veri sorumlusuna yüklenmiştir. Veri sorumlusu; kişisel verilerin işlenme amaçları ile vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Veri sorumlusunun KVKK kapsamında pek çok yükümlülüğü bulunmakta olup, en önemlileri şunlardır:
– Açık Rıza Alma ve Aydınlatma Yükümlülüğü: Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, kimlere ne amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi hakkında bilgi vermek zorundadır.
– Veri Güvenliğine İlişkin Yükümlülükler: Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak amacıyla her türlü teknik ve idari tedbirleri almak zorundadır.
– İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması: Herkes, kişisel verilerinin işlenip işlenmediği ile ilgili olarak, KVKK’nın 11. Maddesindeki hakları gereğince veri sorumlusuna başvurabilir. Veri sorumlusu başvuruları cevaplamak zorundadır.
– Veri Sorumluları Siciline Kaydolma Yükümlülüğü: Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce VERBİS’e kaydolmak zorundadır.
YAPTIRIMLAR
KVKK’da düzenlenen yükümlülüklerin yerine getirilmemesi durumunda gerçek ile tüzel kişilerin karşılaşacağı adli ve idari yaptırımlar, KVKK’nın 18. maddesindeki “Kabahatler” başlığı altında düzenlenmiştir. Hapis cezasını gerektiren ihlallerde ise KVKK, Türk Ceza Kanunu’na atıf yapmaktadır. Özellikle belirtmek gerekir ki bu yaptırımların muhatabı veri sorumlusu olup, şirketlerde veri sorumlusu şirket tüzel kişiliğinin kendisidir. Dolayısıyla, KVKK kapsamında öngörülen yaptırımlar doğrudan şirket üzerinde doğacaktır. Sonuç olarak, herhangi bir yaptırımla karşılaşmamak için KVKK’nın gerekliliklerin gecikmeksizin yerine getirilmesi şirketlerin öncelikleri arasında yer almalıdır.
Elmadağ Avukatlık ve Danışmanlık Av. Dr. Ramazan Arıtürk – Av. Güniz Çiçek