Av Ecem Doğru
Genel Bilgilendirme
Merhabalar, bu bilgilendirme videosu ile 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri kavramını, kanunun aktörlerini, ilgili kişilerin haklarını, veri sorumluları sicilini ve sicile kayıt sürelerini, kanuna aykırılık halinde karşı karşıya kalınacak idari yaptırımları açıklamaya çalışacağım.
07 Nisan 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. Veri Sorumluları Siciline Kayıt yükümlülüğü bulunan veya bulunmayan tüm veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanununa uyum göstermesi ve kişisel verilerin güvenliği konusunda gerekli olan, her türlü teknik ve idari tedbirleri alması zorunludur.
Kişisel Veri Nedir?
Kişisel Verileri Koruma Kanunu uyarınca kişisel veri “ kimliği belirli veya belirlenebilir gerçek kişiye ilişkin” her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için verinin bir gerçek kişiye ilişkin olması ve kişiyi belirli ya da belirlenebilir kılması gerekmektedir. Kişinin T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, gibi kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilgi kişisel veridir.
Özel Nitelikli Kişisel Veri Nedir?
Özel nitelikli yani hassas veriler KVKK madde 6 kapsamında sınırlı sayıda sayılan verilerdir. Bunlar, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini kapsayan kişisel verilerdir.
Özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.
Kişisel Sağlık Verisi Nedir?
Kişisel sağlık verisi, kimliği belirli veya belirlenebilir gerçek kişinin ruhsal ve fiziksel sağlığına ilişkin her türlü sağlık verisini ifade eder. Örneğin; her türlü tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar gibi veriler kişisel sağlık verileridir. Bunlar aynı zamanda özel nitelikli kişisel veridir. Dolayısıyla Kanunun 6. maddesinde düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir.
Kanunun Kapsamında Olan Kişiler Kimlerdir? Hangi Meslek Grupları, Hangi Sektörler Bu Kanundan Etkilenmektedir?
KVKK madde 2 çerçevesinde bu kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen, otomatik olan ya da otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Başka bir ifade ile kamu tüzel kişisi veya özel hukuk tüzel kişisi ayrımı yapılmaksızın tüm kurum ve kuruluşların bu kanun kapsamında olduğu görülmektedir. Özel nitelikli kişisel verilerin işlenmesinde hastaneler, fizyoterapi merkezleri, diş hekimleri, diyetisyenler, özel muayenehaneler; eğitimde kolejler, özel anaokulları hepsi kişisel veri işlemektedir. Diğer yandan oteller, seyahat acentaları ve kurumun belirlediği işletmeler bu kanun kapsamındadır.
Kanunun Aktörleri Kimlerdir?
Kanunun aktörleri, ilgili kişi, veri sorumlusu ve veri işleyendir.
KVKK madde 3 çerçevesinde, İLGİLİ KİŞİ, kişisel verisi işlenen gerçek kişi olarak tanımlanmıştır.
VERİ SORUMLUSU, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilmektedir.
Grup şirketi ve bağlı ortaklıklarda, bir gruptaki her şirket, kişisel verilerin işlenme amaçlarını kendisinin belirlediği ve veri kayıt sisteminin tutulmasından kendisinin sorumlu olduğu hallerde Kanun gereğince “veri sorumlusu” sıfatına sahiptir.
VERİ İŞLEYEN; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır.
Örneğin, veri sorumlusunun verdiği yetkiye dayanarak hareket eden;
- Çağrı merkezi hizmeti sunan çağrı merkezi şirketleri,
- Pazar araştırma şirketleri,
- Kuryeler, veri işleyendir.
Herhangi bir gerçek veya tüzel kişi yürüttüğü farklı faaliyetleri dolayısı ile aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilmektedir.
Veri Sorumlusu İle Veri İşleyenin Ayrı Kişiler Olması Halinde, Kanunun Uygulanması Bakımından Sorumluluk Rejimi Nasıldır?
Kanunun 12. maddesinin 1. fıkrası uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve muhafazasını sağlamak ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kanunun 12. maddesinin 2. Fıkrası uyarınca da kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, veri sorumlusu, söz konusu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
İlgili Kişinin Hakları
Anayasanın 20. maddesi gereğince, herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Bu doğrultuda herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına da sahiptir. Kanunun 28. Maddesinde sayılan istisnalar saklı kalmak kaydı ile dürüstlük kuralına uygun davranmak şartıyla, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme hakkı bulunmaktadır.
İlgili Kişi Kişisel Verilerine İlişkin Haklarını Nasıl İleri Sürebilir?
Kanunun 13. maddesi gereğince; ilgili kişilerin, taleplerini, öncelikle veri sorumlusuna yazılı olarak iletmeleri zorunludur. Kanunun 13. maddesi gereğince, veri sorumluları tarafından veri sahiplerinin talepleri ücretsiz olarak karşılanmalıdır. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde, veri sorumlularınca Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre ücret alınabilecektir.
İlgili kişi, Kanunun 14. maddesi gereğince haklarına ilişkin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi (veri sahibi), veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikayette bulunabilir. İlgili kişi tarafından veri sorumlusuna başvuru yolu tüketilmeden şikayet yoluna başvurulamaz.
Kanunun 15. maddesi gereğince; şikâyet üzerine Kişisel Verileri Koruma Kurulu, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kişisel Verileri Koruma Kurulu, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, bu kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilmelidir.
Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
Veri Sorumluları Sicili Nedir? Her Veri Sorumlusu Veri Sorumluları Siciline Kayıt Yaptırmak Zorunda Mıdır?
Kanunun 16. maddesi gereğince Kişisel Verileri Koruma Kurulu’nun gözetiminde, Başkanlık tarafından kamuya açık olarak “Veri Sorumluları Sicili” tutulur. Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
Veri Sorumluları Siciline Kimler Kayıt Olmalıdır?
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. Ayrıca Kanunun 28. maddesinin 2. fıkrasında belirtilen durumlarda veri sorumlularının sicile kayıt yükümlülüğü bulunmamaktadır.
Sicile Kayıt Zorunluluğuna Neden İstisna Getirilmektedir?
Kişisel verilerin işlenmesine ilişkin uyumluluk çalışmaları, veri güvenliği, süreç optimizasyonu, ekonomik fizibilite gibi birçok ayrı değerlendirmenin birlikte yapılmasını gerektiren, oldukça girift ve disiplinler arası bir çalışmadır. Bu nedenle, işlenen verinin niteliğine de bağlı olmak üzere milyonlarca veriyi elinde tutan bir holdingle, küçük bir aile işletmesinin sicile kayıt konusunda aynı yükümlüklere tabi tutulması rasyonel bir yaklaşım olmayacaktır. Diğer taraftan, kişisel verilerin korunmasına ilişkin genel esaslar konusunda tamamen aynı kurallara tabi olmaya devam edeceklerdir.
Kişisel Verilerin Veri Sorumluları Siciline Son Kayıt Tarihleri Nedir?
Yurtdışında AB üyesi her ülkenin kendi veri koruma otoritesi vardır. Bu veri koruma otoriteleri kişisel verileri koruma mevzuatlarına uyum çerçevesinde, kişisel verilerin ihlali durumunda ilgili yaptırımları uygulamaktadır. Örneğin Fransa, Google’a 50 milyona yakın idari para cezası uygulamıştır. Türkiye’de ise Kişisel Verileri Koruma Kurulu’nun yayınladığı bir süreler zinciri var ve insanlar kişisel verileri bu sürelerle birlikte tanıdı.
Bu noktada uyumların gerçekleştirilmesi için;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 30.09.2020dir,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup hastaneler, fizyoterapi merkezleri, diyetisyenler, özel muayenehaneler ve diş hekimleri gibi- ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31.03.2021,
- Kamu kurum ve kuruluşu olan veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre yine 31.03.2021 olarak belirlenmiştir.
Veri sorumluları siciline kayıt yükümlülüğü olsun olmasın tüm veri sorumluları gerekli koruma tedbirlerini almak zorundadır.
Covid19 salgını etkisiyle uzatılan kayıt süresi görünen o ki bu defa kurul tarafından uzatılmamaktadır. Kayıt yükümlülüğü olsun olmasın tüm veri sorumluları gerekli koruma tedbirlerini almak zorundadır. Bu yükümlülüklerin yerine getirilmemesi halinde kurul tarafından idari yaptırımlar uygulanacaktır.
Kanuna Aykırılık Halinde Uygulanacak Yaptırımlar
Veri sorumluları tarafından kanun kapsamında yerine getirilmesi gereken yükümlülüklerin ihlali halinde KVKK ve Türk Ceza Kanunu ağır idari ve cezai yaptırımlar öngörmüştür. Kurul tarafından verilen idari para cezaları Kabahatler Kanunu çerçevesinde uygulanmaktadır. Kurulun verebileceği 4 temel ceza vardır.
- Aydınlatma yükümlülüğünün yerine getirilmemesi halinde 9.834,00 TL – 196.686,00 TL
- Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 29.503,00.- TL – 1.966,862 TL
- Kurul tarafından verilen kararların yerine getirilmemesi halinde 49.172,00 TL – 1.966,862 TL
- Veri sorumluları siciline kayıt ve bildirim yükümlülüğünün yerine getirilmemesi halinde 39.337,00 TL – 1.966,862 TL olup; bunlar
Bu cezalar, 2021 yılı için güncellenen ceza oranlarıdır. Bu cezalar kademeli olarak değil alt ve üst limit olarak uygulanmaktadır. Kurul’un birkaç ihlalin gerçekleştiği iddiası ile birden fazla cezayı birlikte uyguladığı da görülmektedir. Bunun yanı sıra kişisel verilerin hukuka aykırı işlenmesi halinde ilgili kişilerin maddi ve manevi tazminat talebinde bulunması da mümkündür.
Kurulduğu 2017 Ocak ayından bugüne Kişisel Verileri Koruma Kuruluna (24.09.2020 itibariyle) 5307 ihbar ve şikayet gelmiş 3972 tanesi sonuçlanmıştır. Kurul toplam 30 milyon 735 bin TL idari para cezası uygulamıştır.
Sonuç
Kişisel veriler kişiyi tanımlayan özgün, hassas, çekirdek haklardan biridir ve mutlak korunması gerekir. Kişisel veriler ve özel nitelikli kişisel veriler; ulusal ve uluslararası normlar gözetilerek titiz bir çalışma ile korunmalıdır. Bu çerçevede kişisel verileri koruma uyum projesinin, idari, teknik ve hukuki tedbirlerin alanlarında uzman, akademik değerlendirme yanında kurul kararlarını yakından izleyen ve yorumlayan profesyonel ekipler tarafından yürütülmesi gerekmektedir.
