Kişisel verilerin korunmasına ilişkin yükümlülükler, haklar ve ihlali halinde uygulanacak yaptırımlar aslında ilk kez KVKK ile düzenlenmiş değildir. 2005 yılında yürürlüğe giren 5237 sayılı Türk Ceza Kanunu (“TCK”) m.135 ve devamında[i] kişisel verilere ilişkin hükümlere yer verilmiştir. 2010 yılında gerçekleşen referandum sonucunda Anayasa’ya eklenen 20. maddenin 3. fıkrasıyla[ii] ise anayasal bir hak olarak kişisel verilerin korunması kabul edilmiştir. Gerek ülkemizin de taraf olduğu 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” gerekse de TCK ve Anayasa hükümlerinden ve uygulamadan doğan ihtiyaç doğrultusunda da son zamanlarda sıkça konuşulan KVKK yürürlüğe girmiştir. Özellikle Veri Sorumluları Sicil Bilgi Sitemi (“VERBİS”) kaydı için öngörülen son tarih yaklaştıkça, pandemiden ve beraberinde getirdiği sorunlardan fırsat bulabilen veri sorumluları için KVKK yeniden gündem haline gelmiştir. Bu gündemin haliyle veri sorumluları için pek çok soru işaretini ve maalesef yanılgıyı da beraberinde getirdiği gözlemlenmektedir. Bu nedenle bu yazı içeriğinde uygulamada veri sorumluları tarafından VERBİS kayıt ve bildirim yükümlülüğüne ilişkin olarak ilk anda düşülen yanılgılara değinilecektir.

Veri sorumluları tarafından düşülen ilk yanılgı; VERBİS kayıt ve bildirim yükümlülüğünün KVKK’dan doğan tek yükümlülük olarak algılanmasıdır. Kurum tarafından sürdürülen tüm farkındalık çalışmalarına karşın yeni bir düzenleme olması sebebiyle pek çok veri sorumlusu, KVKK ile öngörülen yükümlülüklerin içeriği hakkında yeterince bilgi sahibi değildir. Her ne kadar bir kısım maddeler için yayımından altı ay sonra yürürlük kazanacağı belirtilmiş olmakla birlikte 2016 yılında yayımlanarak yürürlüğe girmiş olsa da pek çok veri sorumlusu tarafından KVKK, sadece VERBİS kayıt ve bildirim yükümlülüğü olarak değerlendirilmektedir. Bu nedenle VERBİS kayıt ve bildirim yükümlülüğünden istisna olan veri sorumluları, KVKK’ya tabi olmadıklarını düşünmektedir. Oysa KVKK hükümleri bu konuda açıktır. Kurum tarafından yayımlanan pek çok rehber içeriğinde de bu hükümler vurgulanmakta ve VERBİS’e kayıt ve bildirim yükümlülüğünden istisna olsa bile veri sorumlusu tanımına giren her tüzel ve gerçek kişinin KVKK’dan doğan diğer yükümlülükleri yerine getirmek zorunda olduğu belirtilmektedir. Bu kapsamda sicile bildirimden istisna tutulan veri sorumları da, KVKK’nın yayımından itibaren iki yıl içinde yani; 07.04.2018 tarihine kadar, mevcut veriler için uyum sürecini tamamlamış olmalı ve mevzuattan doğan VERBİS kayıt ve bildirim hariç tüm yükümlülükleri yerine getirmelidir.

VERBİS’e kayıt ve bildirim yükümlülüğü olan veri sorumluları ise ilk ve en ivedi yükümlülüklerinin VERBİS’e kayıt ve bildirim olduğu konusunda yaygın bir kanaate sahiptir. Oysa bu büyük bir yanılgıdır. VERBİS’e kayıt ve bildirim, KVKK’ya uyuma ilişkin yürütülecek sürecin ilk değil en son adımıdır. Elbette bu aşamada VERBİS kayıt ve bildirim yükümlülüğü için öngörülen son tarihler de gözetilmelidir. Bununla birlikte veri sorumlusu tarafından VERBİS’e yapılacak bildirimin içeriği dikkate alındığında da bu yükümlülüğün uyum sürecindeki son adım olduğu görülebilecektir. VERBİS’e kayıt ve bildirim yükümlülüğü; kategorilere göre işlenen verilerin, işleme amaçlarının, aktarım yapılan alıcıların, saklama sürelerinin, kişi gruplarının, yabancı ülkelere yapılan aktarımların ve veri güvenliğine ilişkin olarak alınan tedbirlerin, Kurum gözetiminde tutulan ilgili sicile bildirilmesinden ibarettir. Dolayısıyla öncelikle işlenen veriler, işleme amaçları, aktarım yapılacak alıcılar ve verileri saklama süreleri hukuka uygun olarak tespit edilmeli ve KVKK’da öngörülen veri güvenliğine ilişkin idari ve teknik tedbirler alınmalı, nihayetinde mevcut duruma göre VERBİS’e bildirim yükümlülüğü yerine getirilmelidir.

Bu noktada bir kısım veri sorumluları tarafından düşülen bir başka yanılgı da; sicile bildirim sırasında işlenen verilerin doğrudan beyan edileceğinin düşünülmesidir. Ancak ne VERBİS bildirimi sırasında ne de envanter hazırlanırken hiçbir şekilde işlenen verilerin içerik olarak doğrudan beyan edilmesi söz konusu değildir. Bir örnekle somutlaştırmak gerekirse; VERBİS’e kayıt ve bildirim yükümlülüğü olan bir veri sorumlusu, bünyesinde istihdam edilen personelin kimlik bilgilerini işlemektedir. Bu kanundan doğan bir zorunluluktur. Bu halde veri sorumlusu VERBİS’e bildirimde bulunurken; veri kategorisi başlığı altında “kimlik” ve kişi grubu olarak “çalışan” bölümlerini seçerek yükümlülüğünü yerine getirecektir. Başka bir deyişle bir kısım veri sorumluları tarafından düşünüldüğünün aksine örneğimizden hareketle, çalışanın isim ve soyisim gibi kimlik bilgilerinin içerik olarak paylaşılması söz konusu değildir.

Son olarak yine uygulamada bazı veri sorumluları tarafından VERBİS’e kayıt olunmakla yükümlülüğün sona erdiği düşünülmektedir. Hatta bazı veri sorumluları tarafından sadece kayıt başvuru formu iletildiği ancak bildirim yükümlülüğünün yerine getirilmediği Kurum tarafından gözlemlendiği için ve ilgili karar içeriğinde belirtilen diğer nedenlerle de VERBİS kayıt ve bildirim yükümlülüğünün son günü ertelenmiştir.[iii]

Sonuç Yerine;

VERBİS kayıt ve bildirim yükümlülüğünün ihlali halinde idari para cezası uygulanacağı KVKK’nın 18. maddesiyle düzenlenmiştir.[iv] İdari para cezasına ilişkin öngörülen alt ve üst sınırın her yıl yeniden değerleme oranında artırılacağı da nazara alındığında; VERBİS kayıt ve bildirim yükümlülüğünün ihlali halinde uygulanacak idari para cezasının alt sınırı dahi orta ve küçük ölçekli işletmeler için ciddi bir yaptırım olarak karşımıza çıkmaktadır. Kurum tarafından yayımlanan rehberler içeriğinde de VERBİS kayıt ve bildirim yükümlülüğünü ihlal eden veri sorumlularının, Kurum tarafından tespit olunarak haklarında işlem tesis edileceği belirtilmektedir.[v] Bununla birlikte öngörülen bu yükümlülük yerine getirilirken asıl amacın mevzuata uyumun sağlanması olduğu da gözden kaçırılmamalıdır. Aksi halde salt idari para cezasından kaçınmak için bildirimler gerçekleştirildiğinde bu bildirimlerin aranan içeriği karşılamadığı Kurum tarafından kolaylıkla tespit edilebilmektedir. Veri sorumluları tarafından KVKK’dan doğan yükümlülükler bir bütün olarak ve her daim gözetilmeli ve bu yönde bir kurumsal bilinç oluşturulmalıdır. VERBİS aracılığıyla da bu yükümlülüklerin yerine getirildiği bilgisi güncel olarak kamunun erişimine sunulmalıdır.

Av. İrem Elyürek

--------------------------------------

[i] Kişisel verilerin kaydedilmesi

Madde 135- (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.

Verileri hukuka aykırı olarak verme veya ele geçirme

Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

(2) (Ek:17/10/2019-7188/17 md.) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.

Nitelikli haller

Madde 137- (1) Yukarıdaki maddelerde tanımlanan suçların;

a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,

b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

İşlenmesi halinde, verilecek ceza yarı oranında artırılır.

Verileri yok etmeme

Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.(5)

(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

[ii] (Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.

[iii] https://www.kvkk.gov.tr/Icerik/6631/Veri-Sorumlulari-Siciline-Kayit-Yukumlulugune-Iliskin-Kurulca-Belirlenen-Tarihler-Hakkinda-2019-387-Sayili-Kurul-Karar-Ozeti

[iv] KVKK M.18 (ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

[v] 6698 Sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar, KVKK Yayınları, No. 31, Nisan 2020, Ankara, syf. 63, (Çevrimiçi) (https://kvkk.gov.tr/SharedFolderServer/CMSFiles/ca752cda-c3df-4645-8d5e-e2a507e63200.pdf)