Kişisel Verilerin Korunması

Kişisel Verilerin Korunması

Kişisel Verilerin Korunması

Kanunun Amacı ve Kapsamı

6698 sayılı Kişisel Verilerin Korunması Kanunu 07 Nisan 2016 tarihli 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Yasa metninde kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olarak ifade edilmiştir.

Yasanın kapsamı ise, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler olarak belirlenmiştir. Yani, gerçek kişilere ait kişisel veriler yasa kapsamında değerlendirilirken, tüzel kişilere ait kişisel veriler ise yasa kapsamında sayılmamıştır. Keza yasanın 3. maddesi kişisel veriyi tanımlarken "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" tabirini kullanmıştır.

Öte yandan her ne kadar tüzel kişilere ait bilgiler yasada kişisel veri olarak tanımlanmamış olsa da, tüzel kişiler de veri sorumlusu ve veriyi işleyen olarak yasanın kapsamı içine alınmıştır. Öyle ki, “kişisel veriyi işleme” tabiri yasada veri ile ilgili yapılacak neredeyse tüm işlemleri kapsayacak şekilde geniş kapsamlı olarak açıklanmıştır. Keza veri işleme; verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Her ne kadar kişisel verinin işlenmesi tabiri, kendi içinde veri ile ilgili yapılacak her işlemi kapsasa da, veri sahibinden yasanın aradığı şartlara uygun şekilde açık rıza beyanları alınırken, öncelikle hangi nitelikteki kişisel veriler için, hangi işleme işlemi adına (elde etme/aktarma/açıklama vb.) ve hangi amaçla rıza alındığının rıza metninde açıkça belirtilmesi gerekir.

Veri Sorumlusu-Veri İşleyen Ayrımı

Buna mukabil tüzel kişileri de yasanın kapsamına alan “veri sorumlusu” ve “veri işleyen” tabirleri esasen aynı noktaya işaret etmez. Veri sorumlusu yasada “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmışken, veri işleyen içinse “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” tanımı kullanılmıştır.

Öte yandan herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olarak da kabul edilebilir. Mesela, bir avukatlık bürosu kendi çalışanları ile ilgili tuttuğu veriler bakımından “veri sorumlusu” sayılırken, müvekkilleri olan şirketlere ilişkin tuttuğu veriler bakımındansa “veri işleyen” olarak kabul edilecektir.

Dolayısı ile veri sorumlusu, gerçek kişilerden kişisel verileri toplayan, bunların toplanmasına yani elde edilmesine dair yöntemleri, verileri işleme amaçlarını belirleyen esas gerçek ya da tüzel kişidir.

Veri işleyen ise, veri sorumlusunun yapısının dışında olan ancak veri sorumlusunun verdiği talimatlar çerçevesinde verileri işleyen gerçek ya da tüzel kişi olarak kabul edilmektedir. Yani veri işleyen ile veri sorumlusu arasındaki ilişki bir iş ya da hizmet ilişkisi olabilir. Taraflar arasındaki bu sözleşmesel ilişki nedeni ile veri işleyen, veri sorumlusundan elde ettiği 3. kişilere ait kişisel verileri yine veri sorumlusunun belirlediği kurallar ve talimatlar uyarınca işlemektedir.

Tüzel kişilerde veri sorumlusu, tüzel kişinin bir organı, ortağı ya da müdürü değil tüzel kişinin bizzat kendisidir. Dolayısı ile yasada ve bağlı yönetmeliklerde veri sorumlusuna yüklenilen tüm hukuki sorumluluklar ve ödevler bizzat tüzel kişisinin kendisi üzerinde hüküm ifade etmektedir.

Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz.

Türkiye’de yerleşik olan veri sorumluları ile Türkiye’de yerleşik olmayan veri sorumluları adına veri sorumlusu temsilcileri, Sicile kayıt sırasında Kurum ile iletişimi sağlamak üzere belirledikleri irtibat kişisine ait bilgileri Sicile işlerler. Ancak irtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir.

Veri Sorumluları Sicili (VERBİS) ve İstisnalar

Veri sorumlusu olmanın getirdiği temel yükümlülükler arasında verilerin elde edilmesi ile verilerin işlenmesine ilişkin amaç ve kuralların belirlenmesinin yanı sıra Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan Veri Sorumluları Siciline (VERBİS) kaydolma zorunluluğu da yer almaktadır.

Kural olarak, kişisel verileri işleyen tüm gerçek ve tüzel kişiler veri işlemeye başlamadan önce VERBİS’e kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. Bu yetki Kurul’a 6698 sayılı KVKK m.16/2 düzenlemesi ile verilmiş olup, Kurul bu yetki kapsamında almış olduğu kararlarla Sicile kayıt istisnalarını düzenlemektedir.

Buna göre 15.05.2018 ve 18.08.2018 tarihli Resmi Gazetelerde yayınlanan Kurul kararları ile Sicile kayıt zorunluluğundan istisna tutulanlar aşağıdaki gibidir;

  • Siyasi partiler,
  • Avukatlar,
  • Noterler,
  • Arabulucular,
  • Gümrük müşavirleri
  • Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, 
  • Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan
    yollarla kişisel veri işleyenler,
  • 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.

Ayrıca kayıt zorunluğundan istisna tutulmayanlar ise Veri Sorumluları Sicili Hakkında Yönetmeliğin 15. maddesi uyarınca bu kez aşağıdaki işleme faaliyetlerini Sicile kaydetmek ve bildirmek zorunda değillerdir;

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Yukarıda sayılan istisnalar dışında olup da Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kanunun 18/1-ç maddesi uyarınca ise 20.000,00 Türk lirasından 1.000.000,00 Türk lirasına kadar idari para cezası verilecektir.

VERBİS’e Yüklenecek Bilgiler

Buna karşın veri sorumluları, Veri Sorumluları Sicili Hakkında Yönetmeliğin 9. Maddesinde belirtilen bilgileri VERBİS’e yüklemek suretiyle sicile kayıt yükümlülüklerini yerine getirmiş sayılırlar. Sicile yüklenmesi gereken bu bilgilerin;

  • Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamaları,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı gruplarını,
  • Yabancı ülkelere aktarımı öngörülen kişisel verileri,
  • Verilerin korunması için kurum tarafından belirlenen kriterlere uygun şekilde alınan tedbirleri,
  • Kişisel veriler için mevzuatta öngörülen ve verilerin işlendikleri amaca uygun olarak belirlenecek azami muhafaza edilme süresini içermesi gerekmektedir.

Kişisel Veri Envanteri

Sicile kayıtla yükümlü olan veri sorumluları bu bilgileri sicile yüklemeden önce Kişisel Veri İşleme Envanteri” hazırlamakla yükümlüdürler. Keza Veri Sorumluları Sicili Hakkında Yönetmeliğin 5/1-ç maddesinde düzenlendiği üzere, Sicil başvurularında Sicile açıklanacak bilgiler veri sorumlusu tarafından hazırlanacak “Kişisel Veri İşleme Envanterine” dayalı olarak hazırlanır.

Veri envanteri; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.

Kayıt Yükümlülüğünün Başlangıcı

Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır. Kayıt yükümlülüğü altında bulunmayan, fakat sonradan kayıt yükümlüsü haline gelen veri sorumluları ise yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolurlar.

Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilir.

Av. Yavuz Selim Aydın