Kişisel Verilerin Korunması Kanunu’nda (KVKK) kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Tanımdan da açıkça anlaşılacağı üzere kişisel veriden bahsedebilmek için gerçek bir kişiye ait bilginin söz konusu olması gerekmektedir. İsim, soyisim, iş, yaş, din, dil, ırk, siyasi görüş gibi akla gelebilecek neredeyse bütün bilgiler kişisel veri olarak nitelendirilebilir. Kişisel verilerin korunması Anayasa’da tanınmış bir hak olup bu hakkın ihlali halinde ağır yaptırımlarla karşılaşılabilmektedir. Nitekim, Kişisel Verileri Koruma Kurulu tarafından verilmiş olan idari para cezaları bu yaptırımların en büyük örneğidir. Ayrıca kişisel verileri hukuka aykırı olarak kaydetme, ele geçirme, kullanma ve yayma eylemleri de Türk Ceza Kanunu 135-136. maddeleri kapsamında suç teşkil etmekte olup bu fiillerin işlenmesi halinde hapis cezasına hükmedilecektir.
KVKK kapsamında büyük önem taşıyan ve kanuna aykırı davranılması halinde yüksek miktarda para cezalarının öngörüldüğü önemli bir konu ise Veri Sorumluları Sicili’ne (VERBİS’e) kayıt yükümlülüğüdür. Kanunun 16. madde 2. fıkrası; “kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda olduklarını” hüküm altına almıştır. Aynı madde aynı fıkranın ikinci cümlesinde ise Veri Sorumluları Sicili’ne kayıt zorunluluğuna kurul tarafından istisnaların getirilebileceği belirtilmiştir. Özet olarak, kanun hükümleri ve kurul kararları gereği istisna tutulmamış olan bütün veri sorumluları VERBİS’e kayıt olmakla yükümlüdür. Kanun kapsamında ve kurul kararları ile VERBİS’e kayıt yükümlülüğünden istisna olan veri sorumluları ise aşağıda listelenmiştir.
Öncelikle; Kişisel Verileri Koruma Kanunu kapsamında VERBİS kayıt yükümlülüğünden istisna olan veri sorumluları kanunun 28. maddesinde sayılmıştır. Kanunun 28. maddesinin 1. fıkrasında “kanun hükümlerinin uygulanmayacağı haller”; ikinci fıkrası ise “VERBİS’e kayıt yükümlülüğünü düzenleyen 16.maddenin uygulanmayacağı haller” belirtilmiştir. Dolayısıyla kanunun 28.maddesinde belirtilen hallerde veri sorumlularının, VERBİS’e kayıt yükümlülüğü bulunmamaktadır.
KVKK 28. Madde 1. Fıkra kapsamında VERBİS’e kayıt yükümlülüğünden istisna tutulan haller;
- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVKK 28. Madde 2. Fıkrası kapsamında VERBİS’e kayıt yükümlülüğünden istisna tutulan haller:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Yukarıda sayılan haller dışında KVKK 16/2 uyarınca Kişisel Verileri Koruma Kurulunun da VERBİS’e kayıt yükümlülüğüne istisna getirdiği durumlar mevcuttur. Kurul kararları ile VERBİS’e kayıt yükümlülüğünden istisna olan veri sorumluları ise şunlardır;
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
- 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler,
- Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar,
- 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler,
- 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
- Gümrük müşavirleri,
- Arabulucular,
- 01/06/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar.
Burada açıklanması gereken önemli bir husus bulunmaktadır. Kurul kararları ile VERBİS’e kayıt yükümlülüğünden istisna olan veri sorumluları da Kişisel Verilerin Korunması Kanunu’na uygun hareket etmek zorundadır. “VERBİS’e kayıt yükümlülüğünden istisna olmak” ile “kanun hükümlerinden istisna olmak” farklı kavramlar olup bu kavramlara dikkat edilmesi gerekmektedir. Ayrıca şunu önemle belirtmek gerekir ki; kurul kararları ile istisna tutulan veri sorumlularının kimler olduğunun iyi tespit edilmesi gerekmektedir. Örneğin; kurul, “Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan” veri sorumlularının sicile kayıt yükümlülüğünden istisna olduğunu belirtmiş ancak “ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” ibaresinin tam olarak ne anlama geldiğini açıklamamıştır. (Bu ibarenin hangi veri sorumlularını kapsadığı ise kurul kararları ve amaca göre yorum ilkesi ile belirlilik kazanacaktır.)
Ana faaliyet konusu kişisel veri işlemek olan veri sorumluları, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 Milyon TL’den az olsa bile VERBİS’e kaydolmakla yükümlüdür. Ana faaliyet konusu kişisel veri işlemek olan veri sorumlularına; eczaneler, diş hekimleri ve özel muayenehaneler örnek olarak gösterilebilir. Çünkü bu yerlerin ana faaliyet konusu kişilerin kimlik ve sağlık bilgilerini işlemektir. Ana faaliyet konusu kişisel veri işlemek olmayan veri sorumlularına ise inşaat, tekstil, mobilya sektöründeki şirketler örnek olarak gösterilebilir. Zira; bu iş yerlerinde işçilerin kişisel bilgileri alınmakta ve saklanmakta olsa da ana faaliyet konusu kişisel veri işlemek değildir. Bu gibi yerlerden, yıllık çalışan sayısı 50’den fazla VEYA yıllık mali bilanço toplamı 25 Milyon TL’den fazla olanlar dışındakilerin VERBİS’e kayıt yükümlüğü bulunmamaktadır. Ancak tekrar belirtmek gerekir ki; VERBİS’e kayıt yükümlülüğünden istisna olan kişi, kurum ve şirketler de kanuna uygun olarak davranmak, aydınlatma metinlerini hazırlayarak aydınlatma yükümlülüğünü yerine getirmek ve açık rıza gereken hallerde kişilerin açık rızalarını usulüne uygun olarak almak gibi KVKK kapsamındaki yükümlülüklerini yerine getirmek zorundadırlar.