7 Nisan 2016’da yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nda kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korunması ve kişisel verilerin işlenmesine ilişkin hükümler tesis edilmiştir. Bu hükümler kişisel veri işleyen gerçek veya tüzel kişi veri sorumlularının, verileri hangi şartlarda nasıl işlemesi ve saklaması gerektiği ile veri sahibinin haklarının neler olduğunu düzenlemektedir.
Öncelikle kanunda geçen bazı terimlerden bahsedilecek, daha sonra da sırasıyla şirketlerin alması gereken tedbirler açıklanacaktır. Kişisel veri, kimliği belirli ya da belirlenebilir nitelikteki gerçek kişilere ilişkin her türlü bilgiyi ifade etmektedir. Bunlar kişilerin ekonomik, sosyal, fiziki, kimlik bilgileri ile ses kaydı vb. bilgileri kapsamaktadır. Kanun kapsamında bir de özel nitelikte kişisel veri kavramı öngörülmüştür. Bunlar ise kişinin ırkı, siyasi düşüncesi, felsefi inancı, dernek ya da sendika üyeliği, dini, mezhebi, sağlığı, ceza mahkumiyeti ve tedbirleri gibi öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyetine yol açabilecek nitelikteki verileri kapsamaktadır.
Kişisel verilerin işlenmesi ise verilerin tamamen veya kısmen otomatik olarak ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, aktarılması, sınıflandırılması gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. KVKK kapsamında veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Ancak tüzel kişi kanunun uygulanmasıyla ilgili iş ve işlemleri yerine getirmesi konusunda tüzel kişilik bünyesindeki bir gerçek kişiyi ya da dışarıdan bir gerçek veya tüzel kişiyi görevlendirebilir. Bu kişi veri işleyen olarak adlandırılmaktadır. Ayrıca veri sorumlusu olan tüzel kişi yetki devri ile sorumluluğunu bir gerçek kişi “veri sorumlusu yetkilisi ”ne aktarabilir. Son olarak da Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından kurum ile iletişim sağlamak amacıyla sicile kayıt esnasında bildirilen gerçek kişilerdir.
Şirketlerin KVKK’na Uyum Sürecindeki Aşamalar
1.Kişilerin Görevlendirilmesi
Şirketler öncelikle bir veri sorumlusu yetkilisi ile irtibat kişisi seçmelidirler. Bu iki göreve tek bir kişinin seçilmesinin herhangi bir mahzuru yoktur. Bu veri sorumlusu yetkilisi kendi bünyesinde bir ekip oluşturmak suretiyle görev dağılımı yapabilecektir. Oluşturulan bu birim/ekip tüm kişisel veri işleme faaliyetleri doğrultusunda envanter hazırlanması sürecinden birinci dereceden sorumlu olacaktır. Herhangi bir işleme amacı olmadığı tespit edilen veriler için ise süre geçmeksizin imha işlemi uygulanmalıdır
2. Envanter Hazırlama ve Sicile Kayıt
Şirketler bir sonraki aşama olarak bir envanter oluşturarak ellerindeki mevcut kişisel verileri kategorik bazda ayırarak detaylı analizini yapmalıdır.
Oluşturulacak envantere göre kanunun şart koştuğu metinler hazırlanmalıdır. Envanter bakımından dijital ortamda bir liste tutulmalıdır. Şirketin kendi bünyesinde çalışanlar, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer 3.kişilere ait her türlü kişisel veriye ait bilgi kategorilere ayrılarak hazırlanacak olan bu envanterin içeriğini oluşturacaktır.
Ardından veri işleyen gerçek ve tüzel kişi veri sorumlularının veri işlemeye başlamadan evvel ilgili Sicile kaydolmaları gerekmektedir. Bu kapsamda kurum tarafından Veri Sorumluları Bilgi Sistemi (“VERBİS”) hazırlanmış olup, sisteme online ortamdan erişilebilmektedir. Bu sistem sayesinde veri işleyen kişi yeni verilerin girişini kategorik olarak yapabilecektir. Başka bir deyişle VERBİS’e kişisel verisi işlenen gerçek kişilere ait veriler değil, bu verilerin üst başlıkları halinde bilgi girişi yapılacaktır. Yine önceden hazırlanmış olan envanter de bu sisteme manuel olarak girilecektir.
Kanunun Geçici 1. maddesinin ikinci fıkrasında, VERBİS ‘e kayıt yükümlülüğünün başlama tarihleri ile ilgili karar alma ve bunu ilan etme görev ve yetkisi Kişisel Verileri Koruma Kurulu’na (“Kurul”) verilmiştir. Kurulun bu kapsamda aldığı karar uyarınca;
Sicile kayıt yükümlülüğüne aykırı hareket edenler hakkında 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası verilmektedir.
Ancak veri sorumlusunun Kanunun 28. maddesinin birinci ve ikinci fıkrasında belirtilen faaliyetleri gerçekleştirmesi halinde kanunun hükümleri uygulama alanı bulmayacak ve dolayısıyla da sicile kayıt zorunluluğu bulunmayacaktır.
Kanun’un 10. maddesi uyarınca veri sorumlusu veya yetkilendirdiği kişi kişisel verilerin elde edilmesi sırasında ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.
KVKK KAPSAMINDA İLGİLİNİN HAKLARI
KVKK işlenecek olan kişisel verileri kendisine sıkı sıkıya bağlı olan ilgili kişiye veri sorumlusuna karşı bazı haklar tanımaktadır. Buna göre ilgili kişi; verilerinin işlenip işlenmediğini öğrenme ve işlenmişse buna ilişkin bilgi alma hakkına; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme; kişisel verilerin eksik veya yanlış işlenmiş olması halinde düzeltilmesini isteme; belirli şartlarda kişisel verilerin silinmesini veya yok edilmesini isteme; istenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendi aleyhine bir sonucun ortaya çıkmasına itiraz etme; kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zararı uğraması halinde zararın giderilmesini talep etme (maddi ve manevi tazminat) ve Kurul’a şikayet yollarından birini işletebilecektir. Ancak Kurul’a şikayet öncesinde veri sorumlusuna başvurma yolunu tüketmesi zorunludur.
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
6698 sayılı kanun kapsamında Şirket tarafından, aydınlatma yükümlülüğünün yerine getirilmemesi halinde 5 bin TL’den 100 bin TL’ye kadar, veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 15 bin TL’den 1 milyon TL’ye kadar, kurul tarafından verilen kararların yerine getirilmemesi halinde 25 bin TL’den 1 milyon TL’ye kadar, VERBİS kayıt ve bildirim yükümlülüğünün yerine getirilmemesi halinde de 20 bin TL’den 1 milyon TL’ye kadar bir idari para cezasına hükmedilebilecektir.
Bunların haricinde 5237 sayılı Türk Ceza Kanunu’nda kişisel verileri hukuka aykırı olarak kaydedenlere 1 yıldan 3 yıla kadar, özel nitelikli kişisel verileri hukuka aykırı olarak işleyenlere 1,5 yıldan 4,5 yıla kadar, kişisel verileri hukuka aykırı olarak veren, yayan, ele geçirenlere 2 yıldan 4 yıla kadar, verileri silme, yok etme, anonim hale getirme yükümlülüğünü yerine getirmeyenlere ise 1 yıldan 2 yıla kadar hapis cezası verileceği düzenlenmiştir. Ayrıca bu tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
Bu yazının tüm hakları Av. İsmail Erbaş ve Av. Barış Erbaş’a ait olup, www.erbaslaw.com internet sitesinde yayınlanmıştır.
Kişisel Verilerin Korunması Kanunu (KVKK) Kapsamında Şirketleri n Uyumu ve Yükümlülükleri konu alan yazı, yazarlarının izni olmaksızın çoğaltılamaz.
Yalnızca Fikir ve Sanat Eserleri Kanununa uygun olarak makaleye atıf yapılmak suretiyle alıntı yapılabilir.
YAZAR: AV. İSMAİL ERBAŞ – AV. BARIŞ ERBAŞ