GİRİŞ
Bilindiği gibi, 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) ile yaş, cinsiyet, medeni hal, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası gibi kişisel verilerin işlenmesi, kullanımı ve korunmasıyla ilgili yeni bir döneme girilmiştir. Hazırlık aşaması, toplumsal farkındalık ve kurumların intibakı açısından öngörülen geçiş süreci tamamlanmış, gerçek ve tüzel kişilerin sorumluluk süreci başlamıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleriyle uyacakları usul ve esasları belirlemektir. Kişi mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamdadır.
Yasal düzenleme; kişisel verilerin sınırsız biçimde ve gelişi güzel toplanmasını, yetkisiz kişilerin erişimine açılmasını, ifşasını, amaç dışı ya da kötüye kullanımını engelleyebilmek için hayata geçirilmiştir.
Bu Makale'nin PDF formatına ulaşmak için tıklayınız
KİŞİSEL VERİLERİN KORUNMASI KANUNU KİMLERİ KAPSAMAKTADIR?
Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamıştır. Öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.
Dolayısıyla 6698 sayılı Kanun, şirketlere ve kamu kurumlarına önemli sorumluluklar yüklemektedir.
Kanun özetle; kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen veri sorumlularının tespitini ve bu veri sorumlularının Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kaydolmasını zorunlu kılmaktadır. Böylece kişisel verileri toplayan ve işleyen kişi ve kurumların kayıt altına alınmasını ve gerektiğinde hesap verebilir olmalarını hedeflemektedir.
6698 sayılı KVKK ile pek çok yeni kavram ve tanım mevzuatımıza girmiştir. Öncelikle bunlara sırayla bakmak gerekmektedir.
VERİ SORUMLUSU KİMDİR?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.
Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Veri sorumlusunun tespiti için; kişisel verilerin işlenmesi ve işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle saklanacağı, ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi hususlara kimin karar verdiği dikkate alınır.
Burada belirtilmesi gereken diğer bir husus ise, eğer veri işleme faaliyeti bir tüzel kişilik tarafından gerçekleştiriliyorsa, veri sorumlusu tüzel kişinin kendisidir. Tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler Kanunun uygulanması bakımından veri sorumlusu sayılmazlar. Veri sorumlusunun tüzel kişi olması halinde, veri sorumlusu yükümlülüğü ilgili tüzel kişilik üzerinde doğacaktır. Bu yükümlülük tüzel kişiliği temsile yetkili organlar veya kişiler eliyle yerine getirilecektir.
Tüzel kişiliği temsile yetkili olan organ veya kişiler, tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler. Bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmaz ve ilgili gerçek kişilerin de veri sorumlusu olarak tanımlanmasını sağlamaz.
VERİ SORUMLUSU TÜZEL KİŞİLİK MİDİR?
Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır.
Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir.
Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu olması mümkün değildir. Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı veri sorumlusu olması mümkündür.
VERİ İŞLEYEN KİMDİR?
Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır.
Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.
Veri işleyenin faaliyetleri, veri işlemenin daha çok teknik kısımları ile sınırlıdır. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir.
Kanunda, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusu esas alınmaktadır. Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir. Buna göre, veri işleyenin veri sorumlusunun talimatlarını yerine getirdiği açıktır.
VERİ İŞLEYEN İLE VERİ SORUMLUSUNUN FARKI NEDİR?
Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir.
Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.
Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir.
Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir.
Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır:
- Kişisel verilerin toplanması ve toplama yöntemi,
- Toplanacak kişisel veri türleri,
- Toplanan verilerin hangi amaçlarla kullanılacağı,
- Hangi bireylerin kişisel verilerinin toplanacağı,
- Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
- Verilerin ne kadar süreyle saklanacağı.
Bununla birlikte veri sorumlusu, yapacağı kişisel “veri işleme sözleşmesi” ile aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri işleyene bırakabilir:
- Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
- Kişisel verilerin hangi yöntemle saklanacağı,
- Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
- Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
- Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
- Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri.
Vurgulamak gerekirse; veri sorumlusu ifadesiyle, bir şirket içerisinde veri işleme faaliyetlerinden sorumlu bir kimse kastedilmemektedir. Veri sorumlusu bizatihi tüzel kişiliğin kendisidir.
KİŞİSEL VERİLERİN İŞLENMESİNDE HANGİ HUSUSLARA DİKKAT EDİLMELİDİR?
Kişisel verilerin işlenmesinde genel ilkeler şunlardır:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
VERİ SORUMLUSUNUN YÜKÜMLÜLÜĞÜ NELERDİR?
Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemekle görevlidir. Yine verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Ayrıca, veri sorumlusu, kurum ve kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır. Veri sorumluları öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri görevden ayrılmalarından sonra da devam eder.
Öte yandan, veri sorumluları için düzenlenen sır saklama yükümlülüğü Kanunda ile veri işleyenler için de getirilmiştir. Veri sorumlusunun bir diğer yükümlülüğü ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde de veri sorumlusunun bu durumu Kişisel Verileri Koruma Kuruluna bildirme yükümlülüğüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan eder.
6698 sayılı KVKK’nın getirdiği en önemli yükümlülüklerden biri de kişisel veriyi işleyenlerin, veriyi işlemeden önce Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolmasıdır.
VERBİS NEDİR?
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), veri sorumlularının kaydedildiği, Kişisel Verileri Koruma Kurulu’nun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir.
Bir diğer ifade ile veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir.
Kanun, veri sorumlularının Kurulun gözetiminde Başkanlık tarafından tutulacak Veri Sorumluları Siciline kaydolmalarını zorunlu kılmaktadır.
Bu nedenle verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.
Veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir.
Sicile ilişkin usul ve esaslar ise Veri Sorumluları Sicili Hakkında Yönetmelikte belirlenmiştir.
Veri Sorumluları Sicili, Kanun kapsamında kamuya açık olarak tutulmak zorundadır. Kamuya açıklık kavramı, isteyen kişinin sicil üzerinde inceleme yapabilmesi anlamına gelmektedir. Kamuya açıklık ilkesi, kişisel verilerin korunması açısından önemlidir. Zira veri sorumlularının kamu tarafından bilinebilir olması, ilgili kişilerin hak ihlallerine karşı daha etkili şekilde mücadele etmesine imkân verecektir.
Kural olarak, tüm veri sorumlularının Veri Sorumluları Siciline kaydolmaları gerekmektedir.
Söz konusu kayıt işleminin, veri işleme faaliyetlerine başlamadan önce tamamlanması gerekir. Bununla birlikte, Kanunun 28. maddesinin 2. fıkrasında sayılan hallerde, Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. madde hükümleri uygulanmayacaktır. Ayrıca Kurula, Sicile kayıt zorunluluğuna istisna getirme yetkisi verilmiştir.
VERBİS’E KAYIT NASIL YAPILACAK?
Veri Sorumluları Siciline kayıt olmak için başvuru, aşağıdaki bilgileri içeren bir bildirim ile yapılacaktır. Söz konusu bilgiler şunlardır:
- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
- Kişisel verilerin hangi amaçla işleneceği,
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Kişisel veri güvenliğine ilişkin alınan tedbirler,
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
Yukarıda listelenen bilgilerde herhangi bir değişiklik olması halinde, söz konusu değişikliklerin derhal Kuruma bildirilmesi gerekmektedir. Böylelikle, Sicilin güncelliğinin sağlanması hedeflenmiştir.
VERBİS’e kayıt bu link üzerinden gerçekleştirilecektir: https://verbis.kvkk.gov.tr/
VERBİS’E KAYIT NE ZAMANA KADAR YAPILMALIDIR?
Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt olunması gereken tarihi belirleme yetkisi, Kişisel Verileri Koruma Kurulu’na verilmiştir. Bu çerçevede; “yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi” veri sorumluların VERBİS’e kayıt olmaları için daha önce 30.09.2019 olarak belirlenen süre, Kurul tarafından 31.12.2019 tarihine kadar uzatılmıştır.
Buna göre VERBİS’e kayıt için son tarihler şöyledir;
| Kişisel Verilerin Korunması Kanunu Kapsam | Kayıt Yükümlülüğü Başlangıç Tarihi | Kayıt İçin Son Tarih |
| Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 Milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları | 01.10.2018 | 31.12.2019 |
| Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları | 01.10.2018 | 31.12.2019 |
| Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 Milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları | 01.10.2019 | 31.03.2020 |
| Kamu kurum ve kuruluşu veri sorumluları | 01.04.2019 | 30.06.2020 |
AYDINLATMA YÜKÜMLÜLÜĞÜ NEDİR?
6698 sayılı Kişisel Verilerin Korunması Kanununun 10. maddesi ile veri sorumluları için kişisel verisini işlediği ilgili kişileri aydınlatma yükümlülüğü getirilmiştir. Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir hak olarak karşımıza çıkmaktadır.
İşlenen kişisel verilerle ilgili bilgilendirmeyi ifade etmekte olan aydınlatma yükümlülüğü, kişisel veri işlemenin hukuka uygun şekilde yerine getirilmesi için olmazsa olmaz bir şarttır. Aydınlatma yükümlülüğünün yerine getirilebilmesi için, kişisel verileri işlenen kişiler, asgari olarak Kanunun 10. maddesinde sayılan şartlar hakkında bilgilendirilmelidir. Söz konusu aydınlatma yükümlülüğü yerine getirilirken Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğe uyulmalıdır.
KVKK’DAKİ YÜKÜMLÜLÜKLERİN İHLALİ DURUMUNDA NASIL BİR CEZA ÖNGÖRÜLÜYOR?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 17. Maddesinde şu hüküm yer almaktadır.
“MADDE 17- (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. (2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.”
Aynı Kanun’un 18. Maddesi ise şöyledir:
“MADDE 18- (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.”
Dolayısıyla Kişisel Verilerin Korunması Kanunu’nu hükümlerine aykırı hareket edenler için oldukça ağır cezalar öngörülmüştür. Bu cezalar, Kanuna aykırı fiile göre 6 aydan 4 yıla kadar hapis cezası olabileceği gibi 5 bin TL’den 1 Milyon TL’ye kadar para cezası verilebilmesi de mümkündür.
VERBİS’E KAYIT İÇİN BELEDİYE ŞİRKETLERİ AÇISINDAN İSTİSNA SÖZ KONUSU MUDUR?
Bilindiği gibi 696 sayılı KHK kapsamında kurulan şirketlerle birlikte belediye şirketlerinin sayısı yaklaşık 900 civarındadır. Büyük çoğunluğu itibariyle yüzde 100’ü belediyeler ait bu şirketlerin hukuki statüsüne ilişkin zaman zaman tartışma yaşansa da Yargıtay içtihatları doğrultusunda özel hukuk tüzel kişiliğine sahip özel şirket statüsünde oldukları kabul edilmektedir.
Dolayısıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun öngördüğü sorumluluklar açısından belediye şirketlerinin, özel şirketlerin tabi olduğu hükümlere tabi olduğunu değerlendiriyoruz. Buna göre çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan belediye şirketlerinin VERBİS’e kayıt yükümlülüğünü, 31.12.2019 tarihine kadar yerine getirmeleri gerekmektedir.
