Kişisel Verilerin Korunması Hukuku Kapsamında Temel Bilgilendirme ve Uyumluluk Süreci

Abone Ol

Teknolojinin gelişmesi ile birlikte günümüzde kişilerin verileri, mal veya hizmet sunanlar arasında farklı platformlar aracılığı ile işlenebilmekte ve aktarılabilmektedir. Bu verilerin işlenmesi yahut aktarılması bazı kolaylıklar ve avantajlar sağlasa da, verilerin istismar edilme riski de gündeme gelmektedir. Bu nedenle, kişisel verileri korumak için hukuki bir altyapının oluşturulması bir zaruret haline gelmiştir.

Kişisel veri kavramının ne olduğu henüz tam olarak belirlenemeyip, hangi verilerin kişisel veri kapsamına alınacağı açık olmamakla birlikte; belirli ya da belirlenebilir nitelikteki, bir kişiye ilişkin her türlü bilginin kişisel veri olduğu kabul edilmektedir. Birey hakkında belirleyici olan yahut bireyi belirlemeye yarayan herhangi bir bilgi, o bireyin kişisel verisi haline gelmektedir. Bu tanım, hem ulusal hem de uluslararası mevzuatta genel olarak kabul edilmiştir.

Kişisel veri kavramı ilk ortaya çıktığı vakitlerde sadece kişinin adı, adresi, mesleği gibi bilgileri “kişisel veri” olarak kabul edilmiştir. Ancak gelişen teknoloji ve bireyin toplumdaki konumunun da değişiklik göstermesi ile; bireyin medeni durumu, cinsel tercihleri, hastalıkları ve benzeri bilgileri de “kişisel veri” kapsamına girmiş ve hukuki olarak korunması gerektiği kanaatine varılmıştır. Bu kapsamda, kişisel verinin tanımı ve sınırları değişkenlik göstermiş ve toplumsal gelişimler neticesinde de kanaatimizce bu değişkenliği devam edecektir.

Verilerin korunması, hukuk ve hukuki yaptırımlar çerçevesinde gerçekleşeceğinden; bu koruma bir “hak” kapsamında tartışılmış ve “kişisel verilerin korunması hakkı” kavramı ortaya çıkmıştır. Bu kavram ise, 2016 yılında yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile tamamen güvence altına alınmıştır.

Kişisel verilerin korunması hakkı, özel hayatın gizliliği açısından; kişinin onur ve şahsiyetinin korunması ile kişiliğini serbestçe geliştirebilmesi için, bireyin temel hak ve özgürlüklerini, kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. 2010 yılında yapılan değişiklik sonucunda, Anayasanın 20. maddesine eklenen fıkra ile kişisel verilerin korunması Anayasal güvence altına alınmış ve kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği hükme bağlanmıştır.

Kişisel Verilerin Korunması Kanunu ile kişisel verilerin işlenmesinin bir disiplin altına alınması hedeflenmiştir. Kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı yahut kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır. Bu amaçla, kişisel verilerin işlenmesine ilişkin denetim mekanizmaları oluşturularak, bu verilerin hukuka aykırı olarak işlenmesini engellenmektedir. Kanun, kişisel verilerin işlenmesini sınırlamamakta; aksine bu hak ile veri temelli ekonomi arasında denge sağlamak için kişisel verilerin işlenmesine ilişkin usul ve esasları düzenlemektedir. Bu sebeple kanun için, sınırlayıcı olduğu hakkında yorum yapılması yanlış bir değerlendirme olacaktır.

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla, otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır.

Gerek kamu, gerek ise özel kurum ve kuruluşlar; bir görevin yerine getirilmesi veya bir hizmetin yapılması bağlamında kişisel veri niteliğindeki bilgileri, gelişen teknoloji ile birlikte uzun süredir toplamakta ve depolamaktadırlar. Bu durum, bazen kanunlardan dolayı gerçekleşmekte, bazen kişilerin rızasına veya bir sözleşmeye dayanmakta, bazen de yapılan işlemin niteliğine bağlı olarak ortaya çıkmaktadır. Belirtmekte fayda var ki, kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir. Sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin toplanması gerekmektedir. Bu gerekliliğin sonucu olarak kişisel verilerin her aşamada özenle korunması gerekmektedir. Bu korumanın önemi, son yıllarda ülkemizde ve dünyada yeterince kavranmış; kurallar ve yaptırımlar belirlenmeye başlanmıştır.

Ulusal olarak kişisel verileri koruma hedefimiz ve çalışmalarımız sonucunda yürürlüğe giren kanun dışında, Avrupa Konseyi tarafından; tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme” 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır. Bu sözleşme ve hazırlanma tarihi de, kişisel verilerin aslında çok uzun zamandır varlığının kabul edildiğini ve bu verilerin korunması gerektiğinin farkındalığının mevcut olduğunu gösterir niteliktedir.

Bahsi geçen bu sözleşme, 17 Mart 2016 tarihinde ve 29656 sayılı olarak Resmî Gazete’de yayımlanarak, iç hukuka dâhil edilmiştir. 108 sayılı Sözleşmenin 4. maddesi çerçevesinde, iç hukukta kişisel verilerin korunmasına yönelik yasal düzenleme yapılması gerekli hale gelmiştir. Nitekim, Anayasa Mahkemesinin 9 Nisan 2014 tarihli ve 2013/122 Esas, 2014/74 Karar sayılı kararında da; “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı [...]” amaçladığı tespit edilerek, “kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler” sebebiyle kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya muhtaç olduğu ifade edilmiştir.

2010 yılında yapılan Anayasa değişikliği ile Anayasa’nın özel hayatın gizliliğini düzenleyen 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” fıkrası eklenerek, kişisel verilerin korunması açıkça anayasal güvence altına alınmıştır.

Temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasa’nın kişinin hak ve ödevlerine ilişkin bölümünde yer almaktadır. Bununla birlikte, tüm hak ve özgürlüklerde olduğu gibi, kişisel verilerin korunmasına ilişkin hak da Anayasa’da çizilen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Buna göre, kişisel verilerin korunmasına ilişkin 20. maddede tanınan her bir hakkın uygulanması ve diğer haklar lehine sınırlanmasına ilişkin düzenlemeler ancak kanun yoluyla gerçekleştirilebilir.

Avrupa Birliği’ne uyum kapsamında hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısı, 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiştir. Söz konusu metin, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir

Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır. Bu kapsamda, Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda, verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır

Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur. Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Ancak, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.

Aşağıda belirtilen durumlarda Kanun hükümleri uygulanmayacaktır;

- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,

- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,

- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kural olarak aşağıda belirtilen haller yalnızca belirli Kanun hükümlerinden istisna tutulmakta olup, bunun dışında kalan Kanun hükümlerine ise tabidirler. Kanunun amacına ve temel ilkelerine uygun ve orantılı olma şartıyla, Kanunda veri sorumlusunun aydınlatma yükümlülüğünün düzenlendiği 10. madde, zararın giderilmesini talep etme hakkı hariç olmak üzere ilgili kişinin haklarının düzenlendiği 11. madde ve Veri Sorumluları Siciline kayıt yükümlülüğünün düzenlendiği 16. madde hükümleri, belirtilen faaliyet alanları ile sınırlı olmak üzere uygulanmamaktadır.

Bu kapsamda, Kanunun amacına ve temel ilkelerine uygun ve orantılı olma şartı ile bazı hükümlerden muaf tutulan haller şunlardır;

- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. Kişisel verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır.

Başka bir deyiş ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış; idari, teknik ve hukuki önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin saklanması, toplanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.

Bu hakkın kullanımı için düzenlenen kanunda birtakım sıfat ve tanımlara yer verilmiştir. Bu tanımlara ek olarak yükümlülükler de getirilmiştir. Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Ayrıca, veri sorumlusu, kurum ve kuruluşunda; Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır. Veri sorumluları öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri görevden ayrılmalarından sonra da devam eder. Öte yandan, veri sorumluları için düzenlenen sır saklama yükümlülüğü Kanunda, veri işleyenler için de getirilmiştir. Veri sorumlusunun bir diğer yükümlülüğü ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde de veri sorumlusunun bu durumu Kurula bildirme yükümlülüğüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan eder.

Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi durumunda, veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesinin; verilere hukuka aykırı olarak erişilmesinin önlemesini ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınması hususunda bu kişilerle birlikte müşterek olarak sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır.

Veri Sorumluları Sicili, veri sorumlularının kaydedildiği, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir.

Kanunun Geçici 1. maddesinde, Kanunun yürürlüğe girmesi akabinde veri sorumlularınca yerine getirilecek hususlar belirlenmiştir. Anılan maddenin 2. fıkrasında, “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır. Bu kapsamda öncelikle Kişisel Verileri Koruma Kurulu’nca kayıt yükümlülüğü için bir başlangıç tarihinin belirlenmesi gerekmektedir. Söz konusu tarihin Kurul tarafından belirlenerek ilan edilmesiyle Veri Sorumluları Siciline kayıt yükümlülüğü başlayacaktır. Veri Sorumluları Siciline kayıt yükümlülüğü olan veri sorumluları, kişisel veri işleme faaliyetine başlamadan önce Sicile kayıt olmak zorundadır. Öte yandan, anılan maddenin 5. fıkrasında “Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilir.” hükmü yer almaktadır. Buna göre, veri sorumlusunun bir kamu kurumu olması halinde, Kanunun uygulanmasıyla ilgili iletişim sağlamak üzere üst düzey bir yönetici belirlenmesi Kuruma bildirilmesi gerekmektedir.

Kanunun 28. maddesinde sayılan hallere ilave olarak, işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurul tarafından belirlenecek objektif kriterler göz önüne alınmak suretiyle, Sicile kayıt zorunluluğuna Kurul tarafından istisna getirilebilir.

Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine (md. 135-140) atıf yapılmak suretiyle düzenlenmiştir. Ayrıca, kişisel verileri yok etmeyenlerin ise Türk Ceza Kanununun 138. maddesine göre cezalandırılacağı hüküm altına alınmıştır.

Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir. Bu kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır. İdari yaptırımlara Kurul tarafından karar verilir ve verilen yaptırım kararlarına karşı yargı yolu açıktır.

Kanunun Geçici 1. maddesinin 3. fıkrasında, hâlihazırda işlenmiş kişisel verilerin durumu düzenlenmiştir. Buna göre, Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin; Kanunun yayımı tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hâle getirilmesi gerekmektedir. Bu süreç içerisinde, Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhâl silinir, yok edilir veya anonim hâle getirilir.

Kişisel verileri koruma amacıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu getirilmiştir. 7 Nisan 2016 tarihinde, veri sorumlularının yükümlülükleri belirlenerek, zorunlu hale getirilmiştir. Uyum süreci kapsamında, veri sorumlularının hukuka uygun veri işleme, Verbis Kayıt, "Veri Sorumluları Sicil Bilgi Sistemine" bağlı olarak " Saklama ve İmha Politikası" ile "Kişisel Veri İşleme Envanteri" hazırlama ve gerekli tedbirleri almak gibi yükümlülükler bulunmaktadır.

KVKK Uyum Süreci ile, 2016 yılından beri, kurumların, şirketlerin ve kuruluşların, yasal mevzuata uymayanlara cezai işlemler yapıldığı bir kanundur. Cezalar, kuruluşların genelini kapsayan bir kanundur.

KVKK Uyum Süreci kapsamında şirketlerin yapması gereken birtakım işlemler mevcuttur. Kişisel verilerin korunması hukukuna göre, şirketlerin yapması gerekenler, maddeler halinde aşağıda sayılmıştır.

1. Veri envanterinin oluşturulması,

2. Kurumsal politika ve prosedürlerin oluşturulması (Veri işleme ve saklama politikası, imha politikası, bilgi güvenliği politikası, özel nitelikli veri politikası vs.)

3. Gizlilik sözleşmeleri, taahhütnameler (çalışan, müşteri, tedarikçi vs.),

4. Aydınlatma metni (çalışanlar ve 3. Kişiler için),

5. Açık rıza alınması(çalışan, müşteri, tedarikçi vs.),

6. Risk analizi yapılması,

7. Farkındalık eğitimi,

8. VERBİS kaydının yapılması.

Kişisel Verileri Koruma Kurumu (KVKK), yürürlüğe girdikten sonra kişisel verileri işleyen gerçek ve tüzel kişilere yönelik birtakım yükümlülükler getirilmiştir. Bu yükümlülüklerin en önemlisi kısa adı VERBİS olan “Veri Sorumluları Sicil Bilgi Sistemi” olmuştur. Yasa hükümlerine göre, kişisel verileri işleyen gerçek ve tüzel kişiler, kişisel veri işlemeye başlamadan önce VERBİS’e kayıt olmak zorundadır. Buna göre ilgili gerçek ve tüzel kişiler, veri işleme faaliyetleriyle ilgili bilgileri kategorik olarak VERBİS sistemine beyan etmek zorundadır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. Maddesine göre VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt zorunludur. Yasa, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan VERBİS sistemine gerçek ve tüzel kişilerin veri işleme faaliyetine başlamadan önce kayıt zorunluluğu getirmiştir. Bu zorunlulukların neler olduğu ayrıca KVKK’da ve Veri Sorumluları Hakkında Yönetmelik’te belirlenmiştir. Bu yönetmelikte tanımlanmış istisnalar dışında gerçek ve tüzel kişilerin usule uygun biçimde eksiksiz olarak sisteme kayıtlarını yapmaları zorunludur.

Kişisel Verileri Koruma Kanunu (KVKK) ile Veri Sorumluları Sicili Hakkında Yönetmelik (VERBİS) gerçek ve tüzel kişilerin sicil kaydının nasıl yapılacağını düzenlemiştir. Kişisel Verileri Koruma Kurumunun (KVKK) internet sitesi olan www.kvkk.gov.tr aracılığıyla giriş yapılır. Ekrana gelen sayfada yer alan VERBİS butonuna tıklanır ve ilgili alanlar doldurularak VERBİS’e kayıt olunur. Yurtdışında yerleşik gerçek veya tüzel kişi veri sorumlularının öncelikle “veri sorumlusu temsilcisi” ataması ve bu atamaya ilişkin onaylı belgeyi ıslak imzalı şekilde Kişisel Verileri Koruma Kurumu’na iletmesi gerekmektedir. Kanun ve yönetmeliğe göre, atanacak veri sorumlusu temsilcisi Türkiye’de yerleşik bir tüzel kişi veya Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olmalıdır. Atanan veri sorumlusu temsilcisi tarafından, veri sorumlusu adına VERBİS ana sayfada yer alan “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yapması gerekir. İlgili alanlar doldurularak PDF formatında başvuru formu sistemden oluşturulur. Oluşturulan formun çıktısı alınarak ıslak imzalı belge şeklinde KVKK Kurumu’nun posta adresine posta yoluyla iletilir veya varsa kayıtlı elektronik posta (KEP) adresi üzerinden PDF formatındaki dosya eklenerek Kurum’un KEP adresine iletilir. Kurum tarafından yapılan değerlendirme sonucunda, başvuru formunda belirtilen elektronik posta adresine “kullanıcı adı” ve “parola” gönderilir. Veri sorumlusu temsilcisi tarafından “Veri Sorumlusu Yönetici Girişi” butonu aracılığıyla giriş yapıldıktan sonra Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi irtibat kişisi” olarak atanır. Veri sorumlusu temsilcisi, irtibat kişisi olarak veri sorumlusu temsilcisi bünyesinde çalışan bir kişiyi atayabileceği gibi bünyesi dışında bir kişiyi de atayabilir. Atanan irtibat kişisi tarafından VERBİS ana sayfada yer alan “Sicile Kayıt” butonu aracılığıyla giriş yapılır ve gelen ekranlara bilgi girişi yapılarak kayıt işlemi sonuçlanır.

6698 Sayılı Kişisel Verilerin Korunması Kanunu’na göre, kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen tüm gerçek ve tüzel kişiler VERBİS sistemine kayıt olmakla yükümlüdür. Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesinde, “Veri Sorumluları Siciline” kayıt zorunluluğuna bazı istisnalar getirilmiştir. Buna göre;

- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler

- Noterler

- Siyasi partiler

- Avukatlar

- Gümrük müşavirleri

- Arabulucular

- Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler

- Dernekler, vakıflardan ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler

- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur.

Kanunda sayılan kişi ve görevlilerin, yine kanunda sayılan kural ve zorunluluklara uymamaları halinde birtakım yaptırımlara tabi oldukları açıkça belirtilmiştir. Aşağıda, bu yükümlülüklere uyulmaması sonucu kanunda öngörülmüş yaptırımlar açıklanmaktadır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) göre;

I- KVKK Kanununda Öngörülen İdari Para Cezaları

Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kişisel Verilerin Korunması Kanununun (KVKK) 18 inci maddesinin birinci fıkrasının (ç) bendi uyarınca;

20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

İşlem

Kanun Maddesi

Ceza Tutarı

Aydınlatma Yükümlülüğünü Yerine Getirmeyenler

KVK madde

18/1-a

5.000 TL – 100.000

Veri Güvenliğine İlişkin Yükümlülükleri Yerine Getirmeyenler

KVK

madde 18/1-b

15.000 TL – 1.000.000 TL

Kurul Tarafından Verilen Kararları Yerine Getirmeyenler

KVK

 madde 18/1-c

25.000 TL – 1.000.000 TL

Veri Sorumluları Siciline Kayıt Ve Bildirim Yükümlülüğüne Aykırı Hareket Edenler

KVK

madde 18/1-ç

20.000 TL – 1.000.000 TL

II- KVKK Kanununda Öngörülen Türk Ceza Kanunundaki Cezalar

İşlem

Kanun Maddesi

Ceza Tutarı

Kişisel Verileri Hukuka Aykırı Olarak Kaydetmek

TCK

madde 135/1

Bir yıldan üç yıla kadar hapis cezası

Kişilerin Siyasi, Felsefi Veya Dini Görüşlerine, Irki Kökenlerine; Hukuka Aykırı Olarak Ahlaki Eğilimlerine, Cinsel Yaşamlarına, Sağlık Durumlarına Veya Sendikal Bağlantılarına İlişkin Kişisel Verileri Hukuka Aykırı Olarak Kaydetmek

TCK

madde 135/2

Bir yıldan üç yıla kadar hapis cezası yarı oranında artırılır.

Kişisel Verileri, Hukuka Aykırı Olarak Bir Başkasına Vermek, Yaymak Veya Ele Geçirmek

TCK

Madde 136/1

İki yıldan dört yıla kadar hapis cezası

Bu Suçlar; Kamu Görevlisi Tarafından Ve Görevinin Verdiği Yetki Kötüye Kullanılmak Suretiyle, Belli Bir Meslek Ve Sanatın Sağladığı Kolaylıktan Yararlanmak Suretiyle, İşlenirse

TCK

Madde 137/1-b

Yukarıda verilecek cezalar yarı oranında artırılır.

Kanunların Belirlediği Sürelerin Geçmiş Olmasına Karşın Verileri Sistem İçinde Yok Etmekle Yükümlü Olanların Görevlerini Yerine Getirmemesi

TCK

Madde 138/1

Bir yıldan iki yıla kadar hapis cezası

Suçun Konusunun Ceza Muhakemesi Kanunu Hükümlerine Göre Ortadan Kaldırılması veya Yok edilmesi gereken veri olması

TCK

Madde 138/2

Verilecek ceza bir kat artırılır.

Yukarıdaki tabloda da belirtildiği üzere, kişisel verilerin korunması ağır yaptırımlara bağlanarak koruma altına alınmaya çalışılmaktadır. Maddi ve cezai olarak kanunda birtakım sonuçları belirlenmiştir. Ülkemizde ve dünyada “kişisel veri” kavramı ve “kişisel verilerin korunması hukuku” son derece önem arz etmektedir. Verilerin gerekli şekilde korunabilmesi için ilgili ve sorumlu olan herkesin, yukarıda açıklamaya çalıştığımız hususlarda dikkatli olması gerekmektedir. Aksi halde ağır yaptırımlar kaçınılmaz olacaktır.

Av. Begüm GÜREL (LL.M.) & Stj. Av. Ayşenur EROĞLAN

Kaynakça:

1.) Kişisel Verilerin Korunması Hukuku / Murat Volkan Dülger

2.) KVKK ve İlgili Mevzuat (Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme)

3.) https://www.kvkk.gov.tr