Kişisel Verilerin Korunması Hakkında Kanun
6698 Sayılı Kişisel Verilerin Korunması Kanununun 2016 yılında yürürlüğe girmesiyle birlikte, veri sorumluları ve veri işleyenlerin uyması gereken yeni kural ve yükümlülükler ortaya çıkmıştır. KVKK kapsamında yükümlülüklere uymayan kişi ve kurumlara ise çok ciddi para cezaları ve hapis cezaları öngörülmüştür.
Ne yazık ki, Türkiye'deki birçok şahıs ve şirketin bu yükümlülükleri genelde ciddiye almadıkları veya yanlış şekilde ilgili KVKK hükümlerinden istisna olduklarını düşündükleri görülmektedir. Yapılan en temel hatalardan biri ise kişi ve kurumların, Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğü olmadığından bahisle, işbu KVKK ve mevzuat hükümlerinden de istisna olduklarını düşünmeleridir.
Bu tamamen yanlış bir düşüncedir, zira VERBİS kayıt yükümlülüğü ile Kanun kapsamındaki yükümlülükler birbirinden bağımsızdır. Dolayısıyla, VERBİS kayıt yükümlülüğü şartlarını taşımayan kişi ve kurumların dahi mutlak suretle KVKK yükümlülüklerine uyması gerekmektedir.
KVKK Yükümlülüklerine Tabi Olduğunuzu Nasıl Tespit Edebilirsiniz?
KVKK ile ilgili olarak Türkiye'deki en büyük sorunlardan biri, şirketlerin ve kişilerin işbu Kanunun uygulama kapsamını bilmemeleri veya yanlış yorumlamalarıdır. Bunun en temel sebebi, kanunda sözü edilen kavramların, şirket yetkilileri tarafından iyi anlaşılmaması ve hatalı biçimde değerlendirilmesidir. Bu şekilde eksik veya hatalı bilgi sahibi şirketler de kendilerini KVKK hükümlerinden muaf zannederek, herhangi bir önlem almadan iş akışlarına aynı şekilde devam etmektedirler.
Dolayısıyla, şirketinizin veya işletmenizin KVKK'ya tabi olup olmadığını tespit edebilmeniz için, öncelikle kişisel veri, veri işleme, veri sorumlusu ve veri işleyen kavramlarının neyi ifade ettiğini bilmeniz gerekecektir.
a. Kişisel Veri KVKK'da oldukça geniş şekilde tanımlanmış olup, "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi" ifade etmektedir. Bu şekilde geniş ve ucu açık bir tanım bırakılarak, herhangi bir gerçek kişiyi herhangi bir şekilde belirlenebilir kılan her türlü veri, kişisel veri kapsamında dahil edilmiş durumdadır. Örneğin, kişinin kimlik bilgiler, adı, soyadı, doğum tarihi, telefon numarası, pasaport numarası, özgeçmişi, fotoğrafı, resimleri, geliri, harcama tercihleri, yatırımları, medeni durumu, çocuk sayısı, adresi, hobileri, telefon numarası, e-posta adresi, IP adresi, konum bilgileri ve benzeri başka pek çok bilgi, bu tanım kapsamında kişisel veri olarak değerlendirilecektir..
b. Kişisel Verilerin İşlenmesi ise KVKK'da şu şekilde tanımlanmaktadır; "kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem". Bu kapsamda, yukarıda sayılan kişisel verilerden herhangi birinin, şirket tarafından herhangi bir şekilde toplanması ve kullanılmasa dahi saklanması, kişisel veri işleme faaliyetini oluşturacaktır.
c. Veri Sorumlusu KVKK'da "kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi" olarak tanımlanmıştır. Kısaca örnekle açıklamak gerekirse; eğer Şirketiniz herhangi bir faaliyeti çerçevesinde müşterilerinin e-posta adresi, telefonu, adresi, adı ve soyadı gibi bilgilerinin herhangi birini veya bazılarını (veya başka kişisel verileri), kendi belirlediği şekilde ve ortamda veya başka bir hizmet sağlayıcısı aracılığı ile saklıyorsa, bu durumda KVKK nezdinde veri sorumlusu olarak değerlendirilecektir.
d. Veri İşleyen "veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi" ifade etmektedir. Bu anlamda örneğin, şirketin muhasebe hizmetini dışarıdan üçüncü bir kişi/şirketten alması halinde, şirketin muhasebe kayıtları bakımından ilettiği bilgileri işleyen muhasebe şirketi, veri işleyen olarak değerlendirilecekti.
e. Veri Kayıt Sistemi ise, "kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi" olarak tanımlanmıştır. Bu kapsamda, kişisel verileri saklamak/depolamak için kullanılan her türlü sistem, veri kayıt sistemi olarak değerlendirilebilir.
KVKK'dan Kaynaklanan Yükümlülükler ve Olası Yaptırımlar
Yukarıda da açıklandığı üzere, veri sorumlusu veya veri işleyen olarak değerlendirilen tüm gerçek ve tüzel kişilerin, KVKK ile getirilmiş olan kişisel verilerin korunmasına ilişkin tüm kural ve yükümlülüklere riayet etmek zorundadır. Bunlar topluca, kişisel verilerin işlenmesine ilişkin genel şartlar olarak adlandırılabilir ve ilgili Kanun metni ile Kişisel Verileri Koruma Kurulunun (Kurul) kararlarında bunların neler olduğu açıkça ortaya konmaktadır. Bu kurallara sadık kalarak yapılan veri işleme faaliyetleri, kanuna uygun veri işleme faaliyeti olarak değerlendirilir.
Aksine, bu kurallara riayet etmeksizin, KVKK'nın belirlediği kuralların dışına çıkarak veya bunlar göz ardı edilerek yapılan veri işlemelerin kanunsuz işleme olarak değerlendirilerek, ilgili veri sorumlularına veya veri işleyenlere 1.000.000 TL'ye kadar adli para cezaları içeren farklı yaptırımlar uygulanması mümkündür.
KVKK, matbu bir idari para cezası miktarı belirlemek yerine, cezalar için alt ve üst sınırlar belirlemiş ve cezaların uygulanmasını Kurulun takdirine bırakmıştır. Söz konusu yaptırımlar KVKK madde 18'de belirlenmiştir. Ancak, ilgili maddede idari para cezaları için belirlenen alt ve üst sınırlar arasındaki makasın çok geniş tutulmuş olması, uygulamada keyfi ve fahiş idari para cezaları verilmesine sebep olmaktadır.
Kurulun kendi takdir yetkisini kullanarak vermiş olduğu idari para cezaları ile ilgili tartışmalar devam etmektedir. Geçmişte verilen bazı fahiş cezalara karşı yükümlülerin dava yoluna başvurarak cezaları iptal ettirdiği durumlar dahi mevcuttur. Bu hususa ilişkin daha detaylı açıklamalarımızı, Kişisel Verileri Koruma Kurulunun Verdiği İdari Para Cezalarına İtiraz adlı makalemizde bulabilirsiniz (ayrıca buradan da metne ulaşılabilir).
Sonuç
Hayatımıza nispeten yeni girmiş olan kişisel verilerin korunmasına ilişkin olan düzenlemeler, kanuni düzenlemelere aşina olmayanlar açısında karmaşık gözükebilir. Bu kapsamda yükümlülerin önündeki en önemli engellerin başında KVKK ve ikincil düzenlemelerin karmaşıklığı ile kanuni metinlerin yanı sıra Kurul kararlarına da ayrıca riayet edilmesinin getirdiği zorluklardır. Zira kanun metninin çok açık düzenlemelere yer vermediği durumlarda ortaya çıkan boşluklar bu Kurul kararları ile doldurulduğundan, bu kararların da güncel olarak takip edilmesi gerekmektedir.
Kişisel verilerin korunmasına ilişkin olan bu düzenlemelerin nispeten yeni olmasının bir başka sonucu ise, Kurul kararlarının kendi içinde dahi çelişebilmesi ve daha önceden ortaya çıkmamış bir husus ile ilgili yeni kararlar verilebilmesidir. Bu sebeple, yükümlülerin mevzuat ile uyum sağlamak amacıyla asgari yükümlülüklerini kısa yoldan yerine getirebilmek için kullandıkları matbu KVKK metinleri, genelde istenen sonucu vermemektedir.
Zira bu metinler matbu olarak tek bir elden ve belirli bir iş modeline yönelik hazırlanmış olduğundan, çoğu zaman eksik ve hatalı bilgiler içermekte ve dolayısıyla yükümlüleri olası yaptırımlardan korumakta başarısız olmaktadır. Bu sebeple KVKK nezdinde veri sorumlusu veya veri işleyen olarak değerlendirilen her gerçek ve tüzel kişinin, mutlaka konunun uzmanlarına danışarak yükümlülüklerini belirlemeleri tavsiye olunur.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.