Yapılan araştırmalara göre şirketlerin çalışanlarına tahsis ettiği iş telefonlarında, çalışanların yatak odalarına kıyasla daha fazla kişisel verinin yer aldığını biliyor muydunuz? Pek tabi telefonun en azından icat edilme amacına uygun olarak iletişim kurma yeterliliğiyle sınırlı ve bağlı kalmadığını biliyoruz. Graham Bell, 19. yy son çeyreğinde icat ettiği büyük kutunun zamanla bu denli gündelik hayatın içerisinde yer alıp iletişim kurma yeterliliğinin ötesinde farklı çok türden amacın gerçekleştirilmesinde etkin olacağını öngörmüş müydü bilinmez fakat inovasyon çağı olarak adlandırılan bu dönemde bilişim teknolojilerinin hayatımızdaki her şey üzerinde hakim olduğunu görüyoruz. Bilgiye sahip olmanın bir anlamda güce sahip olmakla özdeşleştirildiği günümüzde “Data is the New Oil” söyleminin, değişimi betimleyen doğru bir slogan olduğu kabul edilebilir. Çağımızın yeni petrolu bilgi ve “ne kadar çok bilgiye sahipsen o kadar güçlü ve kıymetlisin” sözünün doğru olduğu su götürmez bir gerçek. Bilginin ve konumuz dahilinde kişisel verinin önemi arttıkça gerek ulusal gerek uluslararası anlamda kişisel veri güvenliğinin temin edilmesi, veri kayıt koşulları ve usullerinin belirlenmesi, veri paylaşımına ve veri erişimine ilişkin sınırlamaların belirlenmesi amacıyla birtakım düzenlemelerin yapılması zorunlu hale geldi
Kişisel veri güvenliğini temin etmeye yönelik uluslararası düzenlemeler incelendiğinde bu sürecin, 3 Eylül 1953 yılında yürürlüğe giren “İnsan Hakları ve Özgürlüklerin Korunmasına İlişkin Avrupa Sözleşmesine” dayandığını görmekteyiz. Günümüz teknolojik gelişmeleri göz önünde bulundurulduğunda, ciddi anlamda kişisel veri kavramının tasnif ve tasvir edilmesi ile veri güvenliğine ilişkin yükümlülüklerin belirlenmesi zaruriyeti hasıl oldu. Bugün hala birçok ulusal mevzuatın oluşturulmasında mihenk taşı niteliğinde olan 24 Ekim 1995 tarihli Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunmasına Hakkındaki 95/46/EC Sayılı Direktif ile modern normatif sistemlere uyumlu bir düzenleme yürürlüğe girdi.
Her ne kadar 2018 yılında yürürlüğe giren GDPR (General Data Protection Regulation), 95/46/EC sayılı direktifi ilga etse de dünya üzerinde kişisel verilerin korunmasına ilişkin ulusal mevzuatların oluşturulmasında hatta doğrudan iktibas edilmesinde 95/46/EC sayılı direktif yadsınamaz değeri olan bir düzenlemeydi. Kişisel verilerin öneminden ve veri güvenliğinin temin edilmesi gereken tedbirlerin sağlanmasına yönelik uluslararası mevzuatların geçmişinden bahsettikten sonra kendi mevzuatımızda yer alan kişisel verilerin korunmasına ilişkin yükümlülüklerden de bahsetmemiz yerinde olacaktır.
Kişisel Verilerin Korunması Kanunu dahilinde veri sorumlularının gerçekleştirmesi gerektiğine dair yükümlülükler arasında en fazla bilineni hiç şüphesiz Veri Sorumluları Bilgi Sicil Sistemi’ne (VERBİS) kayıt yükümlülüğü. Kişisel Verileri Koruma Kurumu tarafından yayınlanan 23/06/2020 tarihli ve 2020/482 sayılı kararı ile veri sorumlularının sahip oldukları statüye göre VERBİS’e kayıt için belirlenen son tarihler değişti. Düzenleme neticesinde belirlenen son kayıt tarihlerine yaklaşırken Kanun’da belirlenen yükümlülüklerden ve güncel değişikliklerden bahsetmek istiyorum.
Kişisel Verilerin Korunması Kanunu Nedir?
2010 yılında 5982 sayılı Kanunla Anayasanın 20. maddesine ilave olarak ‘‘Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.’’ hükmünün getirilmesiyle kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alınmıştır. Düzenleme neticesinde, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanırken; aynı zamanda kişisel verilerin korunmasına ilişkin usul ve esasların düzenleneceği bir mevzuatın oluşturulması adına çalışmalara başlanması kaçınılmaz olmuştur. Nitekim kişisel veri güvenliğinin ulusal mevzuat dahilinde düzenlenmesine yönelik ihtiyaç artmış ve veri güvenliğine ilişkin tedbirlerin belirlenmesi, veri işleme faaliyetlerinin sürdürülmesindeki şekil ve esasların belirlenmesi, veri sorumlularının yükümlülüklerinin belirlenmesi, kanunun amir hükümlerinin ihlali neticesinde uygulanacak olan müeyyideler 07/04/2016 tarihinde Resmi Gazete'de yayınlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu ile düzenlenmiştir.
Kişisel Verilerin Korunması Kanunu’nun amacı: ‘Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.’ hükmüne havi 1. maddede düzenlenmiştir. Hükümde de görüldüğü üzere gerçek ve tüzel kişilere ilişkin yapılan düzenlemeler neticesinde veri sorumlusu sıfatına haiz tüzel kişiler, Kişisel Verilerin Korunması Kanunu çerçevesinde gerek şirket tüzel kişiliği kapsamında sürdürülen faaliyetler gerek şirket çalışanlarının Kişisel Verilerin Korunması Kanunu kapsamında belirlenen sorumluluklarını içeren birtakım yükümlülükler altına girmişlerdir.
Veri Sorumlusu ve Kişisel Veri İlişkisi
Yükümlülüklerin uygulanmasında muhatabın belirlenmesini sağlamak amacıyla veri sorumlusu kavramının kanuni lafzıyla birlikte değerlendirilmesi uygun olacaktır. Kişisel Verilerin Korunması Kanunu’nun tanımlar başlıklı 3. maddesinin (ı) bendinde: ‘‘Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.’’ şeklinde tanımlanmıştır. Hükümde açık bir şekilde görüldüğü gibi veri sorumlusu kavramı veri işleme faaliyetleri dahilinde son derece geniş bir kavramdır. Öyle ki yalnızca tüzel kişiler için tanımlanmış bir kavram değildir. Veri işleme faaliyetleri sürdüren, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu kişi bir gerçek kişiyse veri sorumlusu sıfatına haiz olacaktır.
Veri Sorumlularının Tabi Olduğu Yükümlülükleri
Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu tüzel kişiler hakkında;
- Kişisel verilerin işlenmesinde belirtilen genel şartlar ile kişisel veri/özel nitelikli kişisel veri işlenme şartlarına uyma yükümlülükleri,
- Yurt içi ve yurt dışı veri paylaşımına ilişkin düzenlemelerden doğan yükümlülükler,
- Aydınlatma yükümlülüğü,
- Veri güvenliğinin tesis edilmesinden doğan yükümlülükler,
- Veri ilgilisi tarafından yapılan başvuruları yanıtlama yükümlülüğü,
- Gerekli koşulları sağlaması dahilinde veri sorumluları siciline (VERBİS) kayıt yükümlülüğü,
gibi yükümlülükler getirilmiştir.
Veri Sorumluları Sicil Kayıt Yükümlülüğü
Kişisel Verileri Koruma Kanunu’nun 16. maddesinin 2. fıkrasında: ‘‘Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.” hükmü ve geçici 1.maddeye göre: ‘‘Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” şeklinde yükümlülükler getirilmiştir. İlgili veri sorumluları için VERBİS’e kayıt son tarihleri güncel haliyle şu şekildedir:
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin son tarihi |
30.09.2020 |
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin son tarihi |
31.03.2021 |
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin son tarihi |
31.03.2021 |
Kişisel Verilerin Korunması Kanunu VERBİS’ten İbaret Değildir
Kanun’un veri sorumluları için belirlediği ödevler üzerinde oluşan en büyük yanılgılardan biri, veri sorumlularının yalnızca VERBİS' e kayıt yükümlülüğüyle mükellef olduğudur. VERBİS yükümlülüğü tüm veri sorumluları üzerinde belirlenen bir yükümlü olmamakla birlikte; VERBİS kaydı, kayıt zorunluluğu bulunan veri sorumlularının Kanun dahilinde gerçekleştirmek zorunda oldukları yükümlülüklerden yalnızca bir kısmına ilişkindir. Kişisel Verileri Koruma Kurumu’nun 28/05/2020 tarihli ve 2020/429 sayılı karar özetinde VERBİS yükümlüsü olmayan avukata Kanun’da hükmedilen veri gizliliğine ilişkin yükümlülüklerini ihlal etmesi nedeniyle 125.000,00 TL idari para cezası uygulanmasına karar verilmiştir. Yine benzer şekilde Kişisel Verileri Koruma Kurumu tarafından ilan edilen 07/11/2019 tarihli 2019/332 sayılı karar özetinde veri sorumlusu doktor hakkında Kanun hükümlerine aykırı davranması nedeniyle 50.000,00 TL idari para cezası uygulanmasına hükmedilmiştir. Kanunda veri sorumlusu tüzel kişiler için gerçekleştirilmesi zorunlu yükümlülükler olarak belirlenen aydınlatma yükümlülüğü veri işleme şartlarının ve veri güvenliğinin temini, bilgilendirmeye, gizliliğe ilişkin taahhütlerin, prosedürlerin kişisel veri işleme ve veri imha politikalarının oluşturulması gibi yükümlülükler Veri Sicili Bilgi Sitemine kayıt yükümlülüğü olsun olmasın tüm veri sorumlularınca yerine getirilmesi gerekmektedir.
Kişisel Verilerin Korunması Kanunu’na ilişkin bir diğer yanılgı da Kanun hükümlerinin henüz yürürlüğe girmediği, Kanun’un VERBİS’e son kayıt tarihi olan 30 Eylül 2020 tarihine kadar talik olduğu kanaatinin oluşmasıdır. Halbuki 07/04/2020 tarihinde resmi gazetede yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun geçici 1. Maddesinin (3) numaralı fıkrasında: ‘‘Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir.’’ hükmü düzenlenmiştir. Yani veri sorumluları hakkında Kanun tarafından düzenlenen yükümlülüklerin yerine getirilmesi hazırlık süreci aslında 7 Nisan 2018 tarihinde sona ermiştir. VERBİS yükümlülüğü aranmaksızın veri işleme faaliyeti sürdüren veri sorumluları hakkında Kanun’da belirtilen cezai müeyyidelerin uygulanması açısından bir engel bulunmamaktadır. Halihazırda bahse konu yükümlülükleri yerine getirmeyen veri sorumlularının tamamı cezai yaptırımlara muhatap kalabilecek bir durumdadır.
Kanun’da Belirtilen Adli ve İdari Yaptırımlar
Kanunda suçlar ve kabahatler başlıklı 5. bölümde kişisel verilerin korunmasına yönelik belirlenen tedbirlerin ihlali neticesinde veri sorumlusu ve veri işleyen kişiler hakkında yürütülecek olan idari ve cezai müeyyideler düzenlenmiştir. Suçlar başlıklı 17. madde:
(1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.
(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
şeklinde düzenlenmiştir. Görüldüğü üzere 5237 sayılı Türk Ceza Kanunu’nun amir hükümlerine atıfta bulunulmuş sair suçlar dahilinde şirket çalışanları hakkında 1 yıldan 4 yıla kadar hapis cezasına hükmedilebileceği belirtilmiştir. Bununla birlikte TCK’nın 140. maddesindeki düzenleme ile tüzel kişi veri sorumlusu hakkında ayrıca güvenlik tedbirlerine hükmolunacağı düzenlenmiştir
Kişisel Verilerin Korunması Kanunu’nun 18. madedesinde düzenlenen idari para cezaları da 2020 yılı itibariyle şu şekildedir:
İHLALE KONU YÜKÜMLÜLÜK |
YAPTIRIMLAR |
AYDINLATMA YÜKÜMLÜLÜĞÜNÜ YERİNE GETİRMEME |
9.013,00 TL - 180.264,00 TL |
VERİ GÜVENLİĞİ YÜKÜMLÜLÜĞÜNÜ YERİNE GETİRMEME |
27.040,00 TL - 1.802.636,00 TL |
KURUL KARARLARINI YERİNE GETİRMEME |
45.066,00 TL - 1,802,636,00 TL |
VERBİS KAYIT/BİLDİRİM YÜKÜMLÜLÜĞÜNE AYKIRILIK |
36.053,00 TL - 1,802,636,00 TL |
Görüldüğü üzere Kişisel Verilerin Korunması Kanunu’nda hükmolunan yükümlülüklerin veri sorumlusu tüzel kişi tarafından yerine getirilmemesinin karşılığı olarak, oldukça yüksek meblağlarda idari para cezalarına uygulanabilecektir. İdari para cezası mahiyetindeki yaptırımların uygulanmasında veri sorumlusunun almış olduğu teknik ve idari tedbirlere uygunluk, Kanun ve Kişisel Verileri Koruma Kurumu tarafından tebliğ edilen hükümlere uygunluğun ne derecede temin edilmeye çalışıldığı göz önünde bulundurulacaktır.
Veri Sorumlusu Tarafından Veri Güvenliğine İlişkin Yerine Getirilmesi Gereken İdari Tedbirler
Kişisel Verilerin Korunması Kanunu’nun 12. maddesinin birinci fıkrasında hükmolunduğu üzere veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel Verileri Koruma Kurumu tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) isimli rehberde belirtilen ilkeler ve hedefler kapsamında veri sorumlusu tarafından temin edilmesi gereken idari tedbirler aşağıdaki ‘İdari Tedbirler ’tablosunda gösterilmiştir.
İDARİ TEDBİRLER TABLOSU |
Kişisel Veri İşleme Envanteri Hazırlanması |
Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) |
Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu- Veri İşleyen Arasında |
Gizlilik Taahhütnameleri |
Kurum İçi Periyodik ve/veya Rastgele Denetimler |
Risk Analizleri |
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) |
Kurumsal İletişim (Kurul Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar |
Eğitim ve Farkındalık Faaliyetleri ( Bilgi Güvenliği ve Kanun) |
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim |
12. maddeye müstenit olarak tüm veri sorumluları tarafından tesis edilmesi gereken teknik tedbirler de aşağıdaki gibidir:
TEKNİK TEDBİRLER TABLOSU |
Siber Güvenliğin Sağlanması |
Kişisel Veri Güvenliğinin Takibi |
Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması |
Kişisel Verilerin Bulutta Depolanması |
Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakım |
Kişisel Verilerin Yedeklenmesi |
Görüldüğü üzere Kişisel Verilerin Korunması Kanunu dahilinde veri sorumlularının mükellefiyeti VERBİS yükümlülüğünden ibaret değildir. Veri sorumlularının Kanun’da hükmolunan yükümlülüklerini yerine getirmede titizlikle ve ivedilikle hareket etmesi gerekmektedir. Kişisel verilerin korunmasına ilişkin uyum sürecinde, öncelikle risklerin belirlenmesi daha sonra teknik ve idari tedbirlerin teminiyle birlikte risklerin giderilmesi uygun olacaktır.
KAYNAKÇA
Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, İstanbul 2019, s. 305-382
Doç. Dr. Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku
Kişisel Verilerin Korunması Alanında Uluslararası ve Ulusal Düzenlemeler Rehberi,
Kişisel Veri Güvenliği Rehberi (teknik ve idari tedbirler)
https://www.kvkk.gov.tr/Icerik/4183/Kisisel-Verilerin-Korunmasi-Alaninda-Uluslararasi-ve-Ulusal-Duzenlemeler
https://kvkk.gov.tr/Icerik/6750/VERBIS-E-KAYIT-SURELERININ-UZATILMASI- HYPERLINK "https://kvkk.gov.tr/Icerik/6750/VERBIS-E-KAYIT-SURELERININ-UZATILMASI-HAKKINDA-DUYURU"HAKKINDA-DUYURU
Doktor kararı için bkz. https://kvkk.gov.tr/Icerik/6624/2019-332
Avukat kararı için bkz. https://kvkk.gov.tr/Icerik/6778/2020-429
6698 sayılı kanun için bkz. www.mevzuat.gov.tr (Erişim Tarihi ve Saati: 15/08/2020- 19:26)
5237 sayılı kanun için bkz. www.mevzuat.gov.tr (Erişim Tarihi ve Saati: 14/08/2020- 14:42)