Kişisel Verilerin Korunması

ÖNEMLİ!

Kişisel verilerin korunması ile ilgili önemli bir tarih güncellemesi getirildi. Buna göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek veya tüzel kişi veri sorumluları ile yurt dışında yaşayan yerleşik gerçek veya tüzel kişi veri sorumluları için VERBİS’e son kayıt tarihi 30.06.2020;  yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli veri işleme olan gerçek veya tüzel kişi veri sorumluları için en son VERBİS kayıt tarihi 30.09.2019; kamu kurum ve kuruluşu veri sorumluları için en son kayıt tarih 30.12.2020’dir.

Kişisel Verilerin Korunması

Yapılan Anayasa değişikliği ile Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” şeklinde bir fıkra eklenerek, kişisel verilerin korunması açıkça anayasal güvence altına alınmıştır.

Kişisel Verilerin Korunması Kanunu

Anayasadaki değişikliğin ardından 6698 sayılı Kişisel Verilerin Korunması Kanunu, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir. Metnin devamında zaman zaman kanun KVKK şeklinde anılacaktır.

Kişisel Verilerin Korunması, Amacı ve Kanun Kapsamındaki Kişiler

Günümüzde teknolojinin ve modern çağın gerektirdiği ölçüde bilgiye ulaşmak oldukça kolaylaşmış ve bu durum bazı sıkıntıları da beraberinde getirmiştir. Kişisel verilerin çağdaş standartlarda gerçek veya tüzel kişiler tarafından işlenmesi ile bu sıkıntıları bertaraf etmek amaçlanmış ve kişisel hak ve özgürlüklerinin korunması, kişi mahremiyetinin sağlanması hedeflenmiştir.

Kişisel verilerin güvenliği, kişisel verilerin gizliliği, kişinin aleyhinde meydana gelebilecek sonuçların oluşmasında oldukça dikkat edilmesi gereken hususlardır. Zira kişisel veri aktarımı ile kişisel verilerin çalınması; sisteme kişisel verileri işleme ile kişi bilgilerine kolaylıkla istenilen yerde ve zamanda erişim sağlanması ve bunun kişiyi rahatsız edici boyutlara ulaşması yasal düzenleme yapılmasını zorunlu hale getirmiştir.

Anayasa ve kanun, kişisel verileri işlenen gerçek kişiden bahsetmiştir. Dolayısıyla kişisel verilerin korunması tüzel kişiler için değil yalnızca gerçek kişiler için güvence altına alınmıştır.

Ancak kişisel verilerin işlenmesi hem gerçek kişiler he de tüzel kişiler tarafından yapılmaktadır. Bu halde veri işleyen gerçek kişilerin yanında özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması düşünülmüştür.

KVKK Kapsamında Olmayan Tam İstisna Halleri

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi hallerinde, işbu Kişisel Verilerin Korunması Kanunu’nun uygulanmayacağı açıkça düzenlenmiştir. Ayrıca kısmi istisna hallerine de kanunda yer verilmiştir.

KVKK Kapsamında Olmayan Tam İstisna Halleri

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Yukarıda belirtilen hallerde kanun kapsamında aşağıda belirtilen haller yalnızca belirli Kanun hükümlerinden istisna tutulmakta olup, bunun dışında kalan Kanun hükümlerine ise tabidirler. Kanunun amacına ve temel ilkelerine uygun ve orantılı olma şartıyla Kanunda veri sorumlusunun aydınlatma yükümlülüğünün düzenlendiği 10. madde, zararın giderilmesini talep etme hakkı hariç olmak üzere ilgili kişinin haklarının düzenlendiği 11. madde ve Veri Sorumluları Siciline kayıt yükümlülüğünün düzenlendiği 16. madde hükümleri, belirtilen faaliyet alanları ile sınırlı olmak üzere uygulanmamaktadır. Bu kapsamda, Kanunun amacına ve temel ilkelerine uygun ve orantılı olma şartı ile muaf tutulmuşlardır.

Kişisel Veri Nedir?

Kişisel veri kavramının sınırlandırılabilir bir tanımı bulunmamaktadır. Bir kişisel veriden söz edebilmek için bazı belirleyici durumlar vardır. Buna göre bir gerçek kişiyi belirli veya belirlenebilir kılan her türlü bilgi kişisel veridir. Örneğin, kişinin adı soyadı, yaşı, telefon numarası, araç plakası, pasaport numarası, özgeçmişi, resmi, parmak izi, ses kaydı, sağlık bilgileri, hobileri, e-posta adresi vb. tüm bilgileri kişisel veri olarak tanımlanmaktadır. Takma isim dahi kişinin tanımlanmasında ve belirlenmesine tek başına yeterli ise kişisel veri kapsamında korunması gerekli verilerdendir.

Özel Nitelikli Kişisel Veri

Kanun koyucu bazı kişisel verilerin 3.kişiler tarafından öğrenilmesinin daha ağır sonuçlara yol açabileceği düşüncesinden yola çıkarak işbu verinin daha çok korunmasını ve bunlar için kişisel veri ihlali halinde uygulanacak cezalarla güvence altına alınmasını sağlamıştır. Bunlar sınırlı sayıda olup genişletilemez.

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler kanun tarafından özel nitelikli veri olarak tanımlanmıştır.

İşbu verilerin işlenmesi için ilgili kişinin açık rıza vermesi gereklidir. Ancak kanun açık rıza aranmasında bazı ayrımlara gitmiştir.

• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
• Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Kişisel Verilerin Korunması Kapsamında Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik ya da herhangi bir veri kayıt sisteminin parçası olmak şartıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden tanzim edilmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, tasniflendirilmesi ya da kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

Örneğin bir bilginin flaş bellekte saklanması da ilgili veri ile hiçbir işlem yapılmamış olsa da veri işleme faaliyeti olarak nitelendirilmektedir.

Kişisel verilerin avukat yardımı ile işlenmesi idari ve cezai yaptırımlarla karşılaşma ihtimalini azaltacak veya ortadan kaldıracaktır. Dolayısıyla kişisel verilerin korunması avukat veya hukukçu desteği ile daha temelli bir zemine oturtulacak ve önleyici hukukun uygulanması ile hakların zarar görmesinin önüne geçilebilecektir.

Kişisel Verilerin İşlenmesi Şartları

Kişisel veri işleme için bazı şartlar öngörülmüştür. Kişisel verilerin korunması amacıyla verilerin hukuka uygun işlenebilmesi kanunun 5. Maddesinde belirtilen şartlardan en az birinin gerçekleşmesine bağlı tutulmuştur. Buna göre;

Açık Rıza :

Öncesinde bilgilendirilmiş, hiçbir baskı kurulmaksızın tamamen özgür irade ile işlenecek veriyle sınırlı olmak kaydıyla kişinin açık rızası alınmalıdır. Kişisel verilerin açık rıza ile ve yine kişisel verilerin bilgilendirme yapılarak alınması gerekmektedir. KVVK açık rıza alınmasını veri sahibini korumak amacıyla zorunlu kılmıştır.

Kanunlarda Açıkça Öngörülmesi :

Kişisel verilerin işlenmesi ile ilgili kanunda açıkça bir düzenleme olması halinde kişisel verinin işlenmesi mümkündür. Örneğin Bankacılık Kanunu m. 42 uyarınca bankalar nezdinde tutulan müşteri bilgilerinin işlenmesi kanunda açıkça düzenlendiği için hukuka uygun bir veri işleme faaliyetidir.

Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayacak Durumda Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin Ya Da Bir Başkasının Hayatı Veya Beden
Bütünlüğünün Korunması İçin Zorunlu Olması :

Örneğin kaçırılan ve kendisinden haber alınamayan bir kişinin yerinin tespiti için cep telefonu sinyallerinin elde edilmesi veya araç plakasından kamera kayıtlarının çıkarılması gibi veri işleme faaliyeti hukuka uygundur. Zira bu halde kişinin rızasının var olduğu düşünülmelidir.

Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması :

Buna göre kişisel veri işleme faaliyetinin sözleşmesel çerçeve dâhilinde ve yalnızca sözleşmenin tarafları arasında olması amaçlanmalıdır. Örneğin satıcı firmanın alıcının adresini kargo şirketiyle paylaşması bu duruma örnek gösterilebilir.

Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması :

İşverenin işçisine maaş ödemesi yapabilmesi için işçinin banka hesap bilgisini işlemesi zorunlu olduğundan bu halde bir kişisel verinin ihlali söz konusu olmayacaktır.

İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması :

Buna göre kişinin kendisine ait bilgiyi herkesin görebileceği bir ortama sunmasında rızasının varlığından söz edilebilecektir. Ancak burada da dikkat edilmesi gerekli husus kişinin bu bilgiyi alenileştirme amacına aykırı olmamak kaydı ile verinin işlenmesidir. Örneğin bir avukatın kartvizitini vermiş olduğu müvekkili avukatı hukuki danışmanlık harici bir sebeple avukata reklam vs. amaçlarla mesaj atamaz veya telefonla arayamaz.

Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması :

Kişilere bir hakkın tesis edilmesi, kullandırılması veya ilgili kişilerin haklarının korunması için ihtiyaç duyulması halinde veri sorumluları tarafından kişisel veri işlenebilecektir. Vasi tayin edilen kişinin kısıtlı ile ilgili kamu kurum ve kuruluşlarında işlem yapması için onun bilgilerini işlemesi örnek olarak gösterilebilir.

Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlemenin Zorunlu Olması :

Bunun yapılabilmesi kişinin temel hak ve özgürlüklerine zarar verme şartı getirilmiştir. Bu halde aşağıdaki hususların birlikte gerçekleşmesi önem arz etmektedir:

• Menfaatin veri sorumlusuna ait olması
• Menfaatin meşruluğu
• Veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında dengenin varlığı

Kişisel Verilerin İşlenmesinde Temel İlkeler

Kişisel verileri işleme işleminin hukuka uygun halde olabilmesi için bir çerçeve çizilmiş, buna bağlı olarak birtakım ilkelerle kişisel verilerin korunması amaçlanmıştır. Buna göre;

• Hukuka ve dürüstlük kurallarına uygunluk
• Doğruluk ve güncellik
• Belirli, açık ve meşru amaçlar için işlenmek
• İşlendikleri amaçla bağlantılık, sınırlılık ve ölçülülük
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme kişisel verilerin işlenmesinde uyulması zorunlu ilkelerdir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kişisel Verilerin Koruması Kanunu’nun 7. maddesi “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükmünü haizdir. Bu kanun hükmüne göre usulüne uygun şekilde işlenen verilerin, işlenmeyi gerektiren sebeplerin ortaya çıkmasıyla veri sorumlusu tarafından veya ilgili kişinin talebi ile silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Örneğin market alışverişi ile dâhil olunacak çekiliş işlemleri için verilen kimlik bilgileri ile telefon bilgileri çekiliş sonrasında veri sorumlusu tarafından derhal silinmeli ve yok edilmelidir.

Kanun maddesinde de belirtildiği üzere Kişisel Verileri Koruma Kurulunca hazırlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği” 28.10.2017 tarihli Resmi Gazete’de yayımlanarak 01.01.2018 tarihinde yürürlüğe girmiştir. Yine bu anlamda kurum tarafından hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’ne bu adresten ulaşım sağlayabilirsiniz.

Kişisel verinin silinmesi, yukarıda da bahsettiğimiz şekilde çekiliş sonrası çekilişe katılım sağlayan kişilere ait kişisel verilerin bir daha erişilemez hale getirilmesi şeklinde gerçekleşebilecektir.

Kişisel verilerin yok edilmesi hususuna,  ses kaydı olan bir kişinin ses kaydının muhafaza edildiği harici bellek aygıtının parçalanması veya yakılması örnek olarak gösterilebilecektir.

Kişisel verilerin anonim hale getirilmesi ise, giyim sektöründeki bir firmanın mağazasından alışveriş yapan müşteri bilgilerinden faydalanmak suretiyle genel anlamda bir istatistik bilgiye ulaşması şeklinde örneklendirilebilir. Müşteri bilgileri kişiye zarar vermeyecek bir boyuta taşınmış olacak ve istatistiki veri haline dönüşecektir.

Kişisel Verileri Koruma Kanunu’nda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Veri Sorumlusunun Aydınlatma Yükümlülüğünün Kapsamı

KVKK, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta, bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:

• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• 11. maddede sayılan diğer hakları.

Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu veya faaliyetin Kanundaki diğer bir şart kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Dolayısıyla, ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.

Aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir şekil şartına bağlı tutulmamıştır. Ancak aydınlatma yapılırken belli konulara dikkat edilmelidir. Şöyle ki;

• İlgili kişiye yapılacak aydınlatma(bildirim) sade ve anlaşılır düzeyde olmalıdır.
• Veri işlemenin amacının meşru, sınırları belirlenmiş olduğu açık ve doğru bir şekilde ilgili kişiye aktarılmalıdır.
• Aydınlatma metni belirsiz ve teknik terimlerden arındırılmış ve anlaşılır olmalıdır.
• Aydınlatma metinlerinde yanlış, hatalı veya eksik bilgi bulunmamalıdır.
• Aydınlatma mümkün olan her şekilde(e-posta, mail, sms vs.) ilgili kişiye yapılmalıdır.
• Veri işleme şartları gerçekleşmiş dahi olsa yine de aydınlatma yapılmalıdır.
• Veri sorumlusu ilgili kişiyi aydınlattığını ispat etmekle yükümlüdür. KVVK aydınlatma metni imzalatılmasını zorunlu kılmamıştır. Ancak sözlü olarak yapılacak aydınlatma ispat yapılabilmesi açısından sakıncalı sonuçlar doğurabilecektir.

Kişisel Verileri Koruma Kurulu’nun hazırlamış olduğu “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi” ne yine bu adresten ulaşım sağlayabilirsiniz.

İlgili Kişinin Hakları

KVKK 11. madde çerçevesinde herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

1. Kişisel verilerinin işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
6. Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
7. Maddenin (d) ve (e) bentlerinde belirtilen düzeltme, silme ve yok etme talepleri doğrultusunda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Kişisel verinin korunması için ilgili kişi tarafından izlenecek yol; ilgili kişinin öncelikle veri sorumlusuna işbu kanun maddesinde belirtilen talebini iletmesidir. Talebi alan veri sorumlusu en kısa sürede ve en geç 30 gün içerisinde ilgili kişiye cevap vermesi gerekmektedir. Başvurunun reddedilmesi veya ilgili kişiye yetersiz gelmesi halinde ilgili kişi 30 gün içinde; hiç cevap verilmemesi halinde ise 60 gün içerisinde Kurula şikâyet yoluna gidilebilecektir.  İlgili kişinin veri sorumlusuna başvurmaksızın doğrudan Kişisel Verileri Koruma Kurulu’na şikâyet yoluna gitmesi mümkün değildir.

Veri Sorumlusuna Başvuru

İlgili kişiler veri sorumlusuna yazılı olarak veya “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”de düzenlenen ve Kurulca belirlenen yöntemlerden biri ile başvuru yapabilir. Veri sorumlusu cevabını ilgili kişiye yazılı veya elektronik ortamda bildirir.

Veri sorumlusu başvuruda yer alan talepleri,  niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Buna göre, ilgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar başvuru ücreti alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası başvuru ücreti alınabilir.

Kişisel Verileri Koruma Kurulu ve Şikâyet

İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde veri sorumlusuna başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Ancak yukarıda da belirttiğimiz üzere kanunda terditli bir başvuru usulü düşünülmüş, doğrudan şikâyet yolu öngörülmemiştir. Dolayısıyla başvuru yapmak zorunlu, şikâyet ise ihtiyaridir. Bunun sonucu olarak da başvurusu reddedilen ya da yetersiz gelen ilgili kişi şikâyet ile adli ve idari yargı mercilerine başvuru yapabilecektir. Böylelikle hakları ihlale uğrayan gerçek kişiler aynı zamanda tazminat davası da açabileceklerdir.

İhbar ve şikâyetlerin, işleme konulabilmesi için 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesinde belirtilen hükümlere uygun olarak Kuruma sunulması gerekmektedir.

Kurul hem şikâyet üzerine hem de re’sen inceleme yapma yetkisine sahiptir. Ancak bu yetki konusuna münhasır bir yetkidir.

Veri sorumluları Kurulun talep ettiği her türlü bilgi ve belgeyi 15 gün içerisinde Kurula iletmek zorundadır. Kişisel Verilerin Korunması Kurulu 60 günlük süre içerisinde ilgili kişiye cevap vermelidir. Bu süre içerisinde cevap verilmediği takdirde söz konusu talep reddedilmiş sayılacaktır. İşbu 60 günlük süre sonunda ilgili kişi idari yargıya başvuru hakkına sahiptir.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kişisel Verilerin Korunması Kurulu, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. Kurul gerekmesi halinde ilke kararları da alabilme yetkisini haizdir.

Veri Sorumluları Siciline Kayıt

Veri Sorumluları Sicili, veri sorumlularının kaydedildiği, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir. KVVK geçici maddesinde “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır. Buna göre Veri Sorumluları Siciline kayıt yükümlülüğü olan veri sorumluları, kişisel veri işleme faaliyetine başlamadan önce Sicile kayıt olmak zorundadır.

VERBİS nedir sorusunu son zamanlarda sıklıkla duymaktayız. Kanunun 16. maddesinin (1) numaralı fıkrası ve Veri Sorumluları Sicili Hakkında Yönetmeliğin ilgili maddeleri gereği Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) hazırlanarak kullanıma açılmıştır. İstisnalar hariç olmak üzere, kişisel verileri işlemekte olan gerçek ve tüzel kişiler VERBİS sistemine kaydolmakla yükümlüdür.

Verbis Kayıt İşlemi Gerçekleştirmesi Gerekenler

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. Ayrıca Kanunun 28. maddede kapsamındaki hallerde de veri sorumlularının sicile kayıt yükümlülüğü bulunmamaktadır.

Veri Sorumluları Siciline Kayıt Başvurusu

VERBİS sistemi ile sicile kayıt başvurusu bir bildirimle yapılır ve bu bildirim şu hususları içerir:

1. Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
2. Kişisel verilerin hangi amaçla işleneceği,
3. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
4. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
5. Yabancı ülkelere aktarımı öngörülen kişisel veriler
6. Kişisel veri güvenliğine ilişkin alınan tedbirler,
7. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre

Veri sorumluları yukarıdaki hususları içerir bir bildirim ile VERBİS’e kayıt yapılır. Bilgilerde değişiklik olması halinde bu durum derhal Kurul’a bildirilir. Yönetmeliğe göre değişikliğin meydana geldiği tarihten itibaren 7 gün içinde VERBİS üzerinden güncelleme yapılması gerekmektedir.

VERBİS En Son Kayıt Tarihleri

VERBİS’e kayıt tarihleri güncellenmiştir. Buna göre yeni belirlenen son kayıt tarihleri makale başlangıcında belirtildiği gibidir.

Kurul kararlarında yer alan yıllık çalışan sayısının hesaplanması için öncelikle tamamlanmış
bir yıl olması ve bu tamamlanmış yıl içerisindeki 12 aydan en az 7 sinin her birinde veri sorumlusunca
yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan prim ve muhtasar beyannamede bildirilen
çalışan sayısının dikkate alınması gerekmektedir. Ayrıca söz konusu 7 ayın aynı yıl içerisinde olmak
kaydıyla ardışık olması zorunlu değildir. Buna göre, bir veri sorumlusunun 2017 yılı içerisinde Sosyal
Güvenlik Kurumuna vermiş olduğu muhtasar ve prim hizmet beyannamelerinden en az 7 sinin her
birinde bildirmiş olduğu çalışan sayısının 50 den çok olması halinde kayıt yükümlülüğü 01.10.2018
tarihinde başlamış olacaktır.

Kurul kararlarında yer alan yıllık mali bilanço toplamının hesaplanması için öncelikle tamamlanmış
bir yıl olması ve bu tamamlanmış yıl içerisinde veri sorumlusu tarafından yetkili kamu kurumuna
yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyanname ekindeki mali tablolarda “aktif ”
ya da “pasif ” bölümde yer alan toplam rakamı esas alınmalıdır.

Kurul kararlarında yer alan ana faaliyet konusunun özel nitelikli kişisel veri işleme olup
olmadığının tespitinde, veri sorumlularının en çok katma değer ürettiği faaliyetleri veya yürüttükleri temel iş ve görevleri gereği özel nitelikli kişisel veri işlenmesi durumunun söz konusu olup olmadığı dikkate alınır. Diğer bir deyişle burada değerlendirilmesi gereken; veri sorumlularının herhangi bir faaliyeti içerisinde özel nitelikli kişisel verinin işleniyor olması değil, ana faaliyetleri kapsamında yürütmekte oldukları işlerinin konusunun özel nitelikli kişisel veri olup olmadığıdır.

Sicile Kayıt Yükümlülüğünden İstisna Veri Sorumluları

Kişisel Verileri Koruma Kurulunca bazı veri sorumluları için VERBİS’e kayıt yükümlülüğüne istisna getirilmiştir. Bunlar farklı kurul kararları ile tanzim edilmiş olup; otomatik olmayan yollarla kişisel veri işleyenler, noterle, siyasi partiler, dernekler, vakıflar, sendikalar, avukatlar, serbest muhasebeci mali müşavirler, yeminli mali müşavirler 15.05.2018 tarihli Resmi Gazete’de; gümrük müşavirleri, arabulucular, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli veri işleme olmayanlar 18.08.2018 tarihli Resmi Gazete’de yayımlanan kurul kararları ile kayıttan istisna tutulmuşlardır.

İstisna tutulmayan bütün veri sorumluları VERBİS sistemine kayıt olmak zorundadır. İşbu kayıt zorunluluğuna uymayan veri sorumluları 20 Bin TL’den 1 Milyon TL’ye kadar idari para cezasıyla karşılaşabilecektir.

Kişisel Verilere İlişkin Suçlar ve Cezai Yaptırımlar

Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine (md. 135-140) atıf yapılmak suretiyle düzenlenmiştir. Ayrıca, kişisel verileri yok etmeyenlerin ise Türk Ceza Kanununun 138. maddesine göre cezalandırılacağı hüküm altına alınmıştır. Ayrıca aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır. İdari yaptırımlara Kurul tarafından karar verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açıktır.

KVKK cezalar anlamında Türk Ceza Kanunu’nun ilgili hükümlerine atıfta bulunmuştur. KVKK avukat vasıtasıyla daha açık bir şekilde yorumlanabilecek, veri sorumlusu gerçek ve tüzel kişilere daha doğru bir şekilde aktarılabilecektir.

Veri Sorumlusu ve Veri İşleyen Ayrımı

Öncelikle cezai ve hukuki yaptırımlara veri sorumluları maruz kalacaklardır. Veri sorumluları gerçek veya tüzel kişi fark etmeksizin kişisel verilerin ne için, hangi amaçla ve ne şekilde işleneceği hususlarını bizzat belirleyendir. Bu kapsamda tüzel kişi veri sorumlusu şirketin kendisidir. Özel hukuk ve kamu hukuk tüzel kişisi fark etmeksizin işbu tüzel kişi veri sorumluları hukuki ve cezai kanun hükümlerine bizzat tabidir.

Şirket bünyesinde oluşturulmuş departmanların, birimlerin(İnsan Kaynakları vb.) ayrı bir tüzel kişiliği bulunmadığından veri sorumlusu olması mümkün değildir. Ancak çok sayıda şirketten oluşan bir şirket topluluğunda her bir şirketin ayrı ayrı veri sorumlusu olarak sorumluluğundan bahsedilebilecektir.  Yine alt işveren asıl işveren ilişkisinde de hem alt işveren hem asıl işverenin veri sorumlusu olarak kabulü gerekir.

Veri işleyen ise veri sorumlusu ile aralarında sözlü ya da yazılı olarak yaptıkları kişisel veri işleme sözleşmesi ile veri sorumlusunun bilgisi ve talimatı dahilinde kişisel verileri işleme faaliyetini yürütendir. Şirket çalışanları İnsan Kaynakları birimi veri işleyen olarak nitelendirilebilir. Ancak veri sorumlusunun bilgisi ve talimatı olmaksızın veri işleme faaliyetinde bulunan gerçek veya tüzel kişi, veri sorumlusu kabul edilebilecek cezai ve idari yaptırımlara maruz kalabilecektir.

Kişisel verilerin niçin toplandığı, nasıl muhafaza edileceği, verilerin kimlerle paylaşılacağı kararı veri sorumlusuna aittir. Ancak veri işleyen yalnızca karar mekanizması olan veri sorumlusunun talimatları ile bağlı kişiyi temsil etmektedir. Dolayısıyla verilerin hangi amaçla kullanılacağı, toplanacağı, paylaşılacağı hususlarında ve bunların uygulama yöntem ve metotlarını belirleme noktasında karar verme yetkisine sahip kimse veri sorumlusu olarak nitelendirilebilecektir.

Kişisel Veri Envanteri

Kişisel veri işleme envanteri hazırlama rehberi Kurul tarafından örnek olarak yayımlanmıştır. Kişisel veri işleme gerek şirket çalışanları gerekçe şirket avukatları tarafından bizatihi yapılabilmektedir. Gelinen nokta itibariyle birçok şirketin VERBİS kayıt sistemine bildirim yapabilmesi, veri işleme envanteri oluşturması ile mümkündür. Veri işleme envanteri örnekleri tek bir standartta olmayıp her bir şirketin veri giriş-çıkışı, kişisel veri paylaşımı, veri muhafazası için uyguladığı teknik ve metotların ayrı ayrı üzerinde durulması ve buna göre bir yol haritası çizilmesi gerekmektedir.

VERBİS avukat vasıtasıyla yapılacak kayıtlarla hem daha güvenilir olacaktır hem de kişisel veri hukuku alanında uzman kişilerin destek ve çabalarıyla gerçek ve tüzel kişilerin sorumlulukları hafifletilebilecek veya ortadan kaldırılabilecektir. VERBİS başvuru işlemleri son dönemde şirketler izin elzem hale gelmiştir. Şirketler kişisel veri danışmanlığı hakkında araştırma yapmaya ve kişisel veri avukatları ile iletişime geçerek yardım almaya başlamışlardır.

İşbu yazımız, tamamen bilgilendirme amaçlı olup, Karadeniz ve Samsun’da Kişisel Verilerin Korunması ile ilgili bilgi ve hukuki danışmanlık talepleriniz için randevu oluşturarak bizimle irtibata geçebilirsiniz.