KVKK UYUMUNUZ TAMAMLANDI MI?

Kişisel verilerin korunması; AB uyum süreci çerçevesinde ülkemizde de benimsenmekte olan bir anlayış olup ilgili kanun ve alt düzenlemelerin yayınlanmasıyla birlikte pek çok gerçek ve tüzel kişiyi ilgilendiren bir konu haline gelmiştir. Bu bülten, özellikle şirketlere pek çok yükümlülük getiren yasal düzenlemeler hakkında genel bir çerçevede bilgi verme amacıyla hazırlanmıştır.

Kişisel Verilerin Korunmasına İlişkin Mevzuat Düzenlemeleri

2010 tarihli Anayasa değişiklikleriyle birlikte Türkiye’de hayatımıza giren kişisel verilerin korunması kavramı; 6698 sayılı Kişisel Verilerin Korunması Kanun’un (“Kanun”) 07.04.2016 tarihinde yürürlüğe girmesiyle birlikte somut bir hale gelmeye başlamıştır. Kanun ile birlikte Kişisel Verilerin Korunması Kurumu’na (“Kurum”) verilen yetki çerçevesinde bu hususu düzenleyen alt düzenlemeler de Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.

Kişisel Verilerin Korunması Kurumu

Kişisel Verilerin Korunması Kurumu, kişisel verilerin korunmasına ilişkin hususlarda oldukça geniş yetkilerle donatılmış bir kamu tüzel kişiliğidir. Kurum, idari ve mali açıdan özerk olup faaliyet alanları çerçevesinde hiçbir makam ve merciden emir, talimat ve tavsiye alamaması itibariyle bağımsız bir niteliktedir.

Kurum’un faaliyet alanları çerçevesinde yönetmelik, tebliğ gibi alt düzenlemeleri yapma; yönetmeliğin yorumlanması esnasında oluşabilecek tereddütleri giderme, ilke kararları yayınlama ve gerektiğinde idari para cezası uygulama gibi yetkileri bulunmaktadır. Dolayısıyla “Türkiye’de kişisel verilerin korunması sürecinin patronu” olarak ifade edebileceğimiz kurumun faaliyetleri, mevzuat kapsamında sorumlulukları bulunan gerçek ve tüzel kişilikler için oldukça önemlidir.

Kilit Kavramlar

KİŞİSEL VERİ

Kişisel veri bir gerçek kişiye ait, o kişi ile ilişkili ya da ilişkilendirilebilir her türlü veridir. Bu itibarla kişisel veri kavramının oldukça geniş bir çerçevede değerlendirilmesi gerekmektedir. Kişinin adı, fotoğrafı, iletişim bilgileri, adresi, tuttuğu takım, internet kullanım alışkanlıkları, alışveriş tercihleri gibi pek çok kavram kişisel veri niteliğindedir.

KİŞİSEL VERİLERİN İŞLENMESİ

Kanun’da oldukça teknik bir şekilde ifade edilmiş olan kişisel verilerin işlenmesi kavramı basitçe kişisel veriler üzerinde gerçekleştirilen her türlü işlem olarak özetlenebilir. Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, üçüncü kişilere iletilmesi, bu verilerin analizlere konu edilmesi, değiştirilmesi, imha edilmesi, anonimleştirmesi gibi işlemler kişisel veri işlemeye örneklerdir. Bir şirketin önüne bir kişisel veri geldiğinde onun hâlihazırda işlenmekte olan bir veri olduğunu ve çoktan “veri işleme” faaliyetinin gerçekleştiğini söylemek mümkündür.

VERİ SORUMLUSU

Kişisel verilerin işlenmesi faaliyetinin patronu olarak nitelendirebileceğimiz veri sorumlusu; veri işlemenin amaç ve araçlarını belirleyen; veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek ya da tüzel kişidir. Tüzel kişiliklerde veri sorumlusu doğrudan tüzel kişiliğin kendisidir.

VERİ İŞLEYEN

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek ya da tüzel kişidir.

İLGİLİ KİŞİ

Kişisel verisi işlenen gerçek kişidir.

Kişisel Verilerin İşlenmesinde Dikkate Alınması Gerekenler

Kişisel verilerin işlenmesi yalnızca belirli koşullar ve usuller çerçevesinde gerçekleştirilmelidir. Veri sorumlusu ve veri işleyen kişisel veri işlenirken aşağıdaki ilkelere uymakla yükümlüdür:

  • Kişisel verilerin işlenmesi hukuka ve dürüstlük kurallarına uygun bir şekilde gerçekleştirilmelidir,
  • İşlenen veriler doğru ve gerektiğinde güncel olmalıdır.
  • Kişisel verilerin belirli, açık ve meşru amaçlarla işlenmesi gerekir.
  • Kişisel veriler; işleme amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmelidir.
  • Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre boyunca işlenmelidir.

Kişisel verilerin işlenmesi için aranan temel koşul açık rızanın mevcut olmasıdır. Açık bir rızanın varlığından bahsedebilmek için bu rızanın ilgili kişinin bilgilendirilmesi sonucunda, hangi işleme faaliyeti gerçekleştirilecekse o faaliyete özel olarak ve özgür irade ile verildiği söylenebilmelidir. Açık rızanın yazılı olması şart değildir ancak, açık rızanın mevcut olduğunu ispat yükü veri sorumlusuna aittir. Bu nedenle daha sonra meydana gelebilecek bir uyuşmazlıkta kolaylıkla ispata elverişli bir şekilde açık rıza alınması gerekmektedir.

Açık rızanın bulunmadığı bazı istisnai hallerde de kişisel verilerin işlenmesi mümkündür. Bunlar:

  • Kanunda kişisel verilerin işlenebileceğinin açıkça öngörüldüğü haller,
  • Rızasını açıklayamayacak durumda bulunan ya da rızasına hukuken geçerlilik tanınamayacak (örneğin bilinci kapalı ya da akıl hastası kişiler) olanların kendilerinin veya diğer kişilerin hayatının ve vücut bütünlüğünün korunması için kişisel verilerin işlendiği haller,
  • Bir sözleşmenin kurulması ya da bu sözleşmedeki hükümlerin yerine getirilmesi amacıyla; sözleşmenin taraflarının kişisel verilerinin işlenmesinin zorunlu olduğu haller,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel veri işlemenin zorunlu olduğu haller,
  • Kişisel verinin ilgili kişi tarafından alenileştirilmiş olduğu haller,
  • Bir hakkın tesisi, korunması, kullanılması veya korunması için kişisel veri işlemenin zorunlu olduğu haller,
  • İlgili kişinin temel hak ve hürriyetlerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için kişisel veri işlemenin zorunlu olduğu haller. 

Kişisel verilerin işlenmesinde “izin verilmedikçe her şeyin yasak olması” prensibinin dikkate alınması gerektiğinden açık rıza aranmaksızın veri işlenebilecek hallerin her olay bakımından titizlikle ve oldukça dar bir şekilde, bir “istisna” niteliğinde oldukları unutulmadan değerlendirilmesi gerekmektedir. Bu itibarla mümkün olan her halde ilgili kişilere bilgi verilerek açık rızalarının da alınması sağlanmalıdır.

Ne kadar kişisel veri işlenirse, kişisel verilerin korunması anlamında sorumluluk alanı o kadar genişleyeceğinden şirkette iş süreçleri yürütülürken işlenecek kişisel verilerin asgari düzeye indirilmesi faydalı olacaktır.

Özel Nitelikli Kişisel Veriler

Kanunda sayılan bazı veriler, diğer kişisel verilerden ayrı değerlendirilerek hassas niteliklerine uygun bir şekilde koruma altına alınmıştır. Bu nedenle özel nitelikli kişisel verilerin işlenmesinden mümkün oldukça kaçınılmalı ve işlendiği hallerde bu verilerin güvenli ortamlarda depolandıklarından, aktarıldıklarından ve diğer şekillerde işlendiklerinden emin olunmalıdır.

Özel nitelikli kişisel veriler ise şu şekildedir: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Kişisel Verilerin Üçüncü Kişilere ve Yurtdışına Aktarılması

Kişisel veriler yalnızca ilgili kişinin açık rızasının bulunduğu ya da açık rızanın aranmadığı istisnai hallerde üçüncü kişilere aktarılabilmektedir.

Kişisel verilerin yurtdışına aktarılması ise özel düzenlemelere tâbi olup bu düzenlemeler aşağıdaki tabloda özetlenmiştir:

Veri Sorumlusunun Yükümlülükleri

A)   ŞİRKET YÖNETİCİ VE ÇALIŞANLARININ EĞİTİMİ

Kişisel veri işleme, sürekli değişebilen ve şirketin faaliyetine paralel olarak gelişen bir süreç olduğundan çalışanların ve yöneticilerin süreç içinde yer alırken bilinçli bir şekilde hareket etmesi gerekmektedir. Bu nedenle periyodik olarak yönetici ve çalışanlar eğitilmeli ve kişisel verilerin korunmasının kurumsal kültür haline getirilmesi sağlanmalıdır.

B)   AYDINLATMA YÜKÜMLÜLÜĞÜ

Veri sorumlusu ya da yetkilendirdiği kişi; kişisel verilerin elde edilmesi sırasında ilgili kişiyi bilgilendirmekle yükümlüdür. Bu bilgilendirmede veri sorumlusunun ve varsa temsilcisinin kimlik bilgileri, kişisel verilerin işlenme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi yer almalıdır. Bunun haricinde ilgili kişinin haklarına ilişkin bilgi de aydınlatma yükümlülüğü yerine getirilirken ilgili kişiye verilmelidir.

C)   KİŞİSEL VERİLERİN MEVZUATA UYGUN İŞLENMESİ VE VERİ GÜVENLİĞİNİN SAĞLANMASI

Kişisel verilerin yukarıda yer verilen esaslar çerçevesinde işlenmesini sağlamak, hukuka aykırı veri işlemenin önlenmesini sağlamak ve olası sızıntılar için gerekli tedbirleri almak veri sorumlusunun sorumlulukları arasındadır. Fiziksel ve elektronik ortamda depolanan verilerin korunması için gerekli tedbirler alınmadığı takdirde ağır yaptırımlarla karşılaşmak söz konusu olabilecektir. Kişisel verilerin, veri sorumlusunun talimatıyla başka gerçek ya da tüzel kişilerce işlenmesi halinde yükümlülüklerin yerine getirilmesi bakımından her iki tarafın da birlikte sorumluluğu söz konusu olmaktadır.

D)  KİŞİSEL VERİ ENVANTERİNİN OLUŞTURULMASI

Veri sorumluları; kişisel veri işleme politikalarını ve stratejilerini belirlemek; aynı zamanda mevzuatta öngörülen diğer yükümlülükleri yerine getirmek adına işlemekte oldukları kişisel verilerle ilgili kişisel veri envanteri oluşturmakla yükümlüdür. Bu envanterde kişisel verilerin işlenme amaçları, ne kadar süre için işlenmekte oldukları, kişisel veri konusu kişi grupları gibi mevzuatta aranan detaylar yer almalıdır. Bu envanter oluşturulurken nelerin kişisel veri sayılacağı ve hangi birimlerde hangi verilerin işlenmekte olduğunun kesin bir şekilde tespit edilmesi, şirketin kendini kişisel veriler anlamında tanıyor olması gerekmektedir.

E)   SİCİLE KAYIT VE BİLDİRİM YÜKÜMLÜLÜĞÜ

Kurum tarafından açılacak olan VERBİS isimli sisteme belirli şartları taşıyan veri sorumlularının kaydolması zorunlu hale gelecektir. Hangi veri sorumlularının hangi süre içinde sicile kaydolması gerektiği henüz Kurum tarafından bildirilmemiştir. Ancak kişisel veri işleme envanterinin süratle hazırlanması ve sicile kayıtların başladığı ilan edildiğinde hazırlıklı bir şekilde sürecin yürütülmesi gerekmektedir.

F)   KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN POLİTİKA VE DİĞER DÜZENLEMELERİN YÜRÜRLÜĞE KONMASI

Veri sorumluları kişisel verilerin işlenmesini sistematik esaslara bağlamak ve kişisel verilerin korunmasını bir kurumsal anlayış haline getirmekle yükümlüdür. Bu nedenle hem veri işleme usul ve esaslarını belirleyecek politikalar yürürlüğe konmalı hem de bu politikalara uyulmaması halinde disiplin yaptırımları uygulanmalıdır.

G)   VERİ SORUMLUSU TEMSİLCİSİ VE İRTİBAT KİŞİSİ BELİRLENMESİ

Türkiye’de yerleşik olmayan veri sorumlularının veri sorumlusu temsilcisi; Türkiye’de yerleşik bulunan tüzel kişilerin ise irtibat kişisi ataması gerekmektedir. Bu kişilerin ayrıca açıldığında VERBİS sistemine de kaydedilmesi gerekecektir.

H)  İŞLENMİŞ KİŞİSEL VERİLERİN GEREKTİĞİNDE SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Kişisel verilerin yalnızca işlenme amaçlarının ve yasaların gerektirdiği ölçüde işlenmesi gerekmektedir. Artık işlenmesi için bir neden kalmayan ve veri sorumlusunun tâbi olduğu mevzuat hükümlerine göre saklanması gerekmeyen verilerin; ilgili düzenlemeler dikkate alınarak silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.

I)    DENETİM VE SÜREKLİLİK

Tüm kişisel veri işleme ve diğer yükümlülük süreçleri periyodik aralıklarla denetlenmeli ve mevzuata uygunluk bakımından sıkı bir değerlendirmeye tâbi tutulmalıdır. Kişisel verilerin korunmasına ilişkin politikaların yalnızca yürürlüğe girmeleri nedeniyle veri sorumlusunun sorumluluklarını ortadan kaldırmayacağı dikkate alınmalıdır. Veri korumaya ilişkin politikalar adeta kurumsal refleks haline getirilmelidir.

Yükümlülüklerin Yerine Getirilmemesinin Sonuçları

Kişisel verilerin korunmasına ilişkin yükümlülüklerin yerine getirilmemesi prestij kaybının yanında birtakım idari ve cezai yaptırımların uygulanmasını da gündeme getirebilmektedir.

A)   İDARİ YAPTIRIMLAR

Kurum’un aşağıdaki tabloda yer alan ihlallerin gerçekleşmesi halinde belirtilen para cezalarını uygulama yetkisi bulunmaktadır.

Fiilİdari Para Cezası
Aydınlatma yükümlülüğünün yerine getirilmemesi5.000 – 100.000 TL
Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi15.000 – 1.000.000 TL
Kişisel Verileri Koruma Kurumu kararlarının yerine getirilmemesi25.000 – 1.000.000 TL
Veri sorumluları siciline kayıt ve sicile bildirim yükümlülüğünü ihlal20.000 – 1.000.000 TL

B)   CEZAİ YAPTIRIMLAR

Türk Ceza Kanunu’nda aşağıdaki tabloda yer alan fiiller suç olarak düzenlenmiştir.

FiilTemel Cezai Yaptırım
Hukuka aykırı olarak kişisel verileri kaydetme1 – 3 yıl hapis
Verileri hukuka aykırı olarak bir başkasına verme, yayma,  ele geçirme2 – 4 yıl hapis
Kanuni sürelerin geçmiş olmasına rağmen yok etmekle yükümlü olanların verileri yok etmemesi1 – 2 yıl hapis
Burada yer alan cezalar, ilgili suçların temel hallerinin işlenmesi halinde uygulanacak cezalar olup somut olaya göre değişkenlik gösterebilir.

Av. Derya Baksı
Av. Kerem Utku Örer

MART 2018

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s