a scale

KİŞİSEL VERİLERİN KORUNMASI KANUNU VE KİŞİSEL VERİ DANIŞMANLIĞI

Bilgisayar Üzerinde Bir Kilit

Kişisel Veri Nedir?

6698 Sayılı Kişisel Verilerin Korunması Kanunu'na göre; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir. Bu tanımlamaya göre; özel nitelikli olsun veya olmasın, gerçek kişileri işaret eden ve bu kişileri belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir. Bununla birlikte, kişisel veri kavramı, kanun koyucu tarafından genel nitelikli kişisel veriler ile özel nitelikli kişisel veriler ayrı tutulmuştur. Örneğin; isim, soyisim, yaş, cinsiyet gibi ulaşılması daha kolay olan veriler genel kişisel verileri oluştururken iken, sağlık, din, siyasi görüş gibi ulaşılması zor ve herkes tarafından bilinmesi mümkün olmayan veriler özel nitelikli kişisel verileri oluşturmaktadır.

Kişisel Verilerin Korunması Kanunu Nedir?

Avrupa genelinde uzun yıllar tartışıldıktan sonra yasal bir zemine oturtulmuş olan kişisel veri kavramı ve bu verilerin işlenmesine yönelik tedbirler, ülkemizde de düzenlenmesi zorunlu hale gelen hususlardan olmuştur. Bunun sebebi, teknolojinin hızla gelişip ilerlemesi ile birlikte, gerek fiziki gerek sanal ortamlar üzerinden birçok kişisel verinin, şirketler tarafından yoğun ve kontrolsüz bir şekilde işlenmesinin ve ticari amaçlarla kullanılmasının meydana getirdiği sorunlardır. Bu sorunları önlemek ve yaptırıma tabi tutmak amacı ile ülkemizde çalışmalara başlanılmıştır. Bu çalışmalar sonucunda; Kişisel Verilerin Korunması Kanunu, 24/03/2016 tarihinde kabul edilmiş ve 07/04/2016 tarihinde yürürlüğe girmiştir.

KVKK m. 1 uyarınca: ''Bu kanunun amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.'' Denilmektedir. Söz konusu tanımlamadan anlaşıldığı üzere; bu kanun ile kişisel verilerin işlenmesi, keyfiyetten uzaklaştırılarak, sıkı şartlara, denetimlere ve yaptırımlara tabi tutulmuştur. Nitekim, yalnızca kişisel verilerin işlenmesi değil, bu verilerin yurtiçi ve yurtdışı aktarımı, saklanması, güvenliği ve ortadan kaldırılması da KVKK kapsamında güvence altına alınmaktadır.

Kişisel Verilerin İşlenmesi Nedir?

KVKK m. 3 tanımlamasına göre; kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Bu tanımlamadan anlaşılacağı üzere, kişisel verilerin ilk defa elde edilmesi, değiştirilmesi, aktarılması, saklanması, kategorize edilmesi, ulaşılabilir hale getirilmesi gibi veri üzerinde gerçekleştirilen her yeni işlem, veri işleme faaliyetidir. Bu kapsamda, kişisel verilerin otomatik veya otomatik olmayan yollardan elde edilmesi mümkündür. Kişisel verilerin otomatik yollardan işlenmesi, verilerin insan yardımı olmadan teknik sistemler aracılığı ile işlenmesini ifade etmektedir. Günümüzde yapay zeka sistemleri ile birçok kişisel veri otomatik olarak toplanmakta ve depolanmaktadır. Örneğin, online bir alışveriş sitesi, kişinin daha önceki satın alımlarından yola çıkarak oluşturduğu algoritma ile müşterisine kişisel alışveriş önerileri sunabilmektedir. Bu tarz kişiselleştirilmiş pazarlama yöntemleri günümüzde sıklıkla kullanılmaktadır. Bu sistemler, otomatik veya kısmen otomatik yollarla sağlanmaktadır. Bununla birlikte, bir işletmenin kendi personel kayıtlarını ve özlük dosyalarını oluşturması, bir güzellik merkezinin müşterilerin iletişim ve hizmet bilgilerini saklaması, bir muhasebecinin müşterisinin mali kayıtlarını vergi dairesine bildirmesi gibi işlemler, kişisel verilerin otomatik olmayan yollardan kaydedilmesi, saklanması ve aktarılmasına örnek olarak verilebilir.

Kişisel Verilerin İşlenmesinin Şartları Nelerdir?

Genel ve özel nitelikteki kişisel verilerin işlenmesi; ancak kanunda öngörülen ilkeler kapsamında mümkün olabilmektedir. Buna göre, kişisel veri işlenmesi işleminin öncelikle hukuka ve dürüstlük kurallarına uygun olması gerekmektedir. Örneğin, özel hayatın gizliliğini ihlal suçunu teşkil edebilecek nitelikteki kişisel verilerin işlenmesi hiçbir şekilde mümkün değildir. Bununla birlikte, ilgilinin rızası alınmadan veya ilgilinin yanıltılması yoluyla elde edilmiş kişisel verilerin işlenmesi de dürüstlük kurallarına uygun olmadığından işlenemeyecektir. Bununla birlikte kanunun aradığı diğer şartlar; işlenen verilerin gerçek, güncel, açık, belirlenebilir, amacına uygun olmasıdır. Söz konusu veriler, ilgilinin açık rızası dahilinde ve işlenme amacına uygun olarak işlenebilirler. KVKK m. 5/2 kapsamında sayılan istisnai hallerde ise açık rıza şartı aranmayacaktır. Kişisel verilerin, işlenme amacının son bulmasından sonra ise re'sen veya ilgilinin talebi üzerine silinmesi veya anonimleştirilmesi gerekmektedir.

Özel Nitelikli Kişisel Verilerin İşlenmesinin Şarları Nelerdir?

Özel nitelikli kişisel veriler, KVKK m. 6 kapsamında sınırlı olarak sayılmıştır. Bu kapsamda, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu verilerin işlenmesi ise yukarıda açıklanan genel şartlara ek olarak açık rıza şartına bağlanmıştır. Ancak, kanunların öngördüğü istisnai durumlarda, sağlık ve cinsel hayat dışındaki kişisel verilerin açık rıza aranmaksızın işlenmesi mümkündür. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.

Özel nitelikli kişisel verilerin işlenmesinde, esas ve öncelikli olan ilgilinin açık rızasının alınması olup, açık rıza alınmaması hallerinin istisnai olduğu unutulmamalıdır. Açık rızanın alınması konusunda ise kanunda şekil şartı öngörülmemiştir. Kişisel verinin ilgilisinden yazılı, sözlü, görüntülü veya elektronik yollarla açık rıza alınması mümkündür. Örneğin, işletmelerin, müşterilerinden çağrı merkezleri aracılığı ile açık rıza alabilmesi mümkündür. Ancak, alınan açık rızanın konusu, kapsamı ve süresi gibi esaslı unsurlarının belirli ve açık olması rızanın geçerliliği açısından önem arz etmektedir.

Veri Sorumlusu ve Veri İşleyenin Farkı Nedir?

Veri sorumlusu ile veri işleyen kavramı, uygulamada sıklıkla birbirine karıştırılmaktadır. Bu nedenle, iki kavramın farkı anlamak, veri işlemenin sistematiğini anlamak için önemlidir. KVKK m. 3 tanımlamalarına göre veri sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi; veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir.

Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Bu nedenle veri sorumlusu gerçek veya tüzel kişi, hangi verilerin toplanacağına, hangi amaçla işleneceğine, ne kadar süre ile saklanacağına veya kiminle paylaşılacağına karar vermekteyken, veri işleyen gerçek veya tüzel kişi ise, veri sorumlusunun belirlediği esaslara uygun olarak ve veri sorumlusundan aldığı yetkiye dayanarak veri işlemektedir.

VERBİS Nedir?

VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolması gerekmektedir.

VERBİS'e, Türkiye'de veri işleme faaliyetinde bulunan tüm veri sorumlularının kayıt olmaları zorunludur. Kişisel Verilerin Korunması Kurulu tarafından belirlenen tarihler içerisinde, kayıt yükümlülüğünü yerine getirmeyen gerçek ve tüzel kişiler hakkında ise 20.000 TL ile 1.000.000 TL arası idari para cezası yaptırımı öngörülmüştür. Ancak; KVKK kapsamında sayılan ve Kurul tarafından yayınlanan şartları sağlayan veri sorumlularının VERBİS'e kayıt yükümlülüğü bulunmamaktadır. Bu kapsamda, VERBİS'e kayıt yükümlülüğünden muaf tutulan gerçek ve tüzel kişiler şu şekilde sıralanabilir:

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,

  2. Noterler, siyasi partiler, avukatlar, gümrük müşavirleri, arabulucular, serbest muhasebeci mali müşavirler ve yeminli mali müşavirler, dernekler, vakıflardan ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,

  3. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, istisna kapsamındadır.

KVKK Danışmanlığı ve VERBİS Danışmanlığı Nedir?

KVKK Danışmanlığı; Kişisel veri işleyen gerçek ve tüzel kişilerin, 6698 Sayılı Kanun'da belirlenen kurallara uyum sürecini yürütmek amacıyla faaliyet gösteren bir danışmanlık hizmetidir. Bu kapsamda, KVKK Danışmanları; kişisel veri işleme envanterini hazırlamak, gerekli tüm metinleri ve belgeleri tanzim etmek, kişisel verilerin muhafazası için gerekli tedbirleri belirlemek, gerekmesi halinde bilgi teknolojilerine ilişkin tüm işlemleri yapmak ya da yaptırmak, veri sorumlusuna hukuki danışmanlık yapmak, veri sorumlusu bünyesinde eğitimler düzenlemek, veri sorumlusunun KVKK bilincini artıracak faaliyetler yürütmek gibi süreçleri yürütmektedir. Bu kapsamda, veri sorumlularının VERBİS kayıt işlemlerini yapmak ve VERBİS ile ilişkili tüm süreçleri yönetmek de danışmanlığın önemli bir parçasını oluşturmaktadır.

6698 Sayılı KVKK m. 17 ve m. 18 uyarınca; kişisel verilere ilişkin suçlar bakımından TCK m. 135-104 hükümlerinin uygulanacağı, ilgili kanun hükümlerine aykırılık sonucunda ise 5.000 TL ile 1.000.000 TL arasında idari para cezası uygulanacağı belirtilmiştir. Bu kapsamda, kişisel veri işleyen gerçek ve tüzel kişiler, kanun hükümlerine aykırı davrandıkları hallerde; cezai, idari ve hukuki yaptırımlarla karşı karşıya kalacaktır. Bu nedenle, kişisel verilerin işlenmesi ve VERBİS'e kayıt sürecinin sağlıklı bir şekilde yürütülmesi için bir uzmandan destek alınmasını önermekteyiz.

Av. Nurefşan İRDEMEZ