Kişisel Verilerin Korunması Kanunu (KVKK)
Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin mahremiyetinin korunmasını sağlamak amacıyla 2010 yılında anayasal bir güvence altında düzenlenmiştir. Bu kanun, herhangi bir bireye ait bilgilerin, verilerin çeşitli yollarla elde edilmesi, kaydedilmesi, depolanması, korunması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması ve erişilebilir hale getirilmesi gibi işlemleri kapsar. Bu işlemleri gerçekleştiren her kurum, kuruluş ve işletme KVKK’ya tabidir.
Ancak, yurttaşların kişisel verilerin korunmasına ilişkin hakları konusunda yeterli bilinçlenme sağlanamadığı için bu konuda denetimler sınırlı kalmaktadır. KVKK hakkında uzman hukukçular, bilişim çağının gereklilikleri doğrultusunda bu düzenlemenin yapıldığını vurgularken, toplumların küresel yaşam tarzında bireylerin mahremiyetinin önemine dikkat çekmektedir. Hukukçular, birçok kurum ve işletmenin veri ve özel nitelikli veri işlediklerinin farkında olmadığını ve KVKK’nın kendilerine de uygulandığını bilmediklerini ifade etmektedir.
İşletmelerin Yükümlülükleri
Av. Elif Pak, kanun kapsamının kişisel verinin ne olduğu ve nasıl korunması gerektiği üzerine odaklandığını belirterek şunları ekliyor: “Günümüzde birçok işletme, kişisel veri işlemediklerini düşünmektedir. Ancak bir gerçek kişiye ait herhangi bir veriyi belirli bir kayıt altında tutan tüm işletmeler kişisel veri işliyor kabul edilmektedir. Veri işlemek; kaydetmek, saklamak, paylaşmak, kullanmak ve imha etmek gibi çeşitli durumları kapsamaktadır. İşletmeler, işledikleri tüm verileri korumakla yükümlüdür. KVKK’nın amacı, veri işlemenin kişinin bilgisi ve gerekli durumlarda onayı ile yapılmasını sağlamaktır. Ayrıca, kişinin verisinin nasıl saklanacağı, ne zaman silineceği ve bu verilerin yalnızca yetkili kişilerde kalmasının sağlanması yani verilerin gizliliğinin korunması da önemlidir.”
Aydınlatma Yükümlülüğü
Av. Mehtap Güler, işletmelerin çalışanlarının ya da hizmet aldıkları gerçek kişilerin verilerini kanunda belirtilen istisnalarla açık rıza almadan işleyebileceklerini açıklıyor: “Ancak burada dikkat edilmesi gereken önemli bir nokta vardır; herhangi bir kişisel verinin kanun gereği işlenmesinde izne gerek olmaması, o veriyi işlemek için aydınlatma yükümlülüğünü ortadan kaldırmaz. Yani, kanunun izin verdiği veriyi işleyebiliriz ama yine de veri sahibi, örneğin işçiye, ‘Kanun bana bu veriyi işlemek için yetki verdi ve ben bu yetkiyle bu veriyi sadece bu iş ile sınırlı olmak üzere işliyorum’ şeklinde bilgi vermelidir. Örneğin, bir işveren kanun gereği işçinin TC kimlik numarasını, banka bilgilerini ve SGK rapor bilgilerini saklamak zorundadır. Bu durumda işçiyi, hangi bilgiyi, hangi amaçla ve ne kadar süre saklayacağı konusunda aydınlatmakla yükümlüdür. Ayrıca, kanun gereği tutulması gerekli olmayan veriler ise ancak açık rıza ile kayıt altına alınabilir ve verilen açık rıza her zaman geri alınabilir.
İşletmeler, veri işleyen çalışanlarına özel nitelikli olmayan kişisel verilerin ve özel nitelikli kişisel verilerin ne olduğu, önemi ve gizliliğin önemi hakkında eğitimler vermelidir. İşveren tarafından verilen yetkinin çalışanlar tarafından kötüye kullanılması durumunda işletmenin sorumlu olacağı, Kurul tarafından kabul edilmiştir. Bu noktada verilen eğitimler ve sözleşme hükümleri taraflar için koruyucu olacaktır. Çünkü imzalanacak sözleşmeler, sadece çalışanı değil, kurumu da korumayı amaçlar.”
Özel Nitelikli Veriler
Kişisel verilerin korunmasının özel hayatın gizliliği kapsamında değerlendirilmesi gerektiğini belirten Av. Hanife Betül Çakır Ayan, “Banko, gişe, masa gibi birden fazla kişinin yakın temasla kişisel veri paylaştığı yerlerde işletmelerin özel olarak dikkat ve koruma yükümlülüğü vardır. Örneğin, bir web sitesine girdiğinizde sizden alınan kimlik bilgisi kişisel verinizdir ve bu veriyi işleyen site yönetimi bu bilgileri korumakla yükümlüdür. Kısacası, devlet nezdinde açık bir yurttaş haline gelmememiz gerekiyor. Unutulmaması gereken bir başka önemli nokta da; kişisel veriler bir sohbet konusu değildir.
- Özel Nitelikli Veriler: Kanunun tanımına göre özel nitelikli kişisel veriler, tek tek sayılarak belirlenmiş olup, bunlar arasında; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler bulunmaktadır.
Özel nitelikli kişisel veriler, yalnızca yukarıda belirtilenlerle sınırlıdır ve genişletilmesi mümkün değildir. Bu bağlamda, özellikle doktorlar, psikiyatristler, diş hekimleri, sağlık verisi işleyen psikologlar, diyetisyenler ve güzellik merkezleri gibi birçok sektör özel nitelikli verileri işlemektedir.
İşlenen tüm veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı ve bu kapsamda kullanılmalıdır. Kurul tarafından verilen bir kararda, bir spor salonuna yalnızca parmak izi okutularak girilmesi ölçülü bulunmamıştır. Çünkü parmak izi, biyometrik bir veri olup, özel nitelikli kişisel veridir. Spor salonuna girmek için bu verinin alınmasından başka seçenek sunulmaması, amaca uygun bulunmamıştır.”
Av. Fatma Yağmur Şeker Öneş, işletmelerin alması gereken idari ve teknik tedbirlerin önemine değinerek, “Alınması gerekli tedbirler, işletmelerin yapılarına ve ihtiyaçlarına göre uzman hukuk ekiplerimiz tarafından belirlenerek öncelikle idari tedbirler oluşturulmakta ve ardından özel olarak belirlenen teknik tedbirlerin uygulanması için yönlendirmeler yapılmaktadır. İşletmelerin tüm tedbirleri alması sağlanmaktadır. İdari ve teknik tedbirler, işletmelerin uyum süreci sonrasındaki yol haritalarını belirler. Tedbirlerin hukuka uygun olabilmesi için Kişisel Verileri Koruma Kurulu kararlarının ve mevzuatın güncel olmasına dikkat edilmelidir.”
VERBİS Nedir? Kimler Kayıt Olmalı?
Av. Şule Nur Erşen, kişisel veri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (VERBİS) kayıt olma zorunluluğunun bulunduğunu belirtmektedir: “Çalışan sayısı 50’den fazla olan ya da yıllık bilançosu 25 milyon TL’den fazla olan ya da ana faaliyet konusu özel nitelikli kişisel veriler olan tüm kişilerin veri sorumluları siciline kayıt yükümlülüğü vardır. İlgili süreler kapsamında sicile kayıt ve bildirim yükümlülüklerine aykırı hareket edenler hakkında Kurul tarafından 36 bin 52 TL ile 1 milyon 802 bin 640 TL arasında idari para cezası uygulanabilir. Ancak VERBİS’e kayıt yaptırılması ya da kayıt yükümlülüğünden muaf olunması, kanunda yer alan diğer yükümlülüklerin yerine getirilmeyeceği anlamına gelmemektedir.”
Yapılan düzenlemelerde Veri Sorumluları Sicili’ne kayıtla yükümlü olanlar açıkça belirtilmiştir. Örneğin, avukatlar VERBİS’e kayıttan muaf olmalarına rağmen, kanunda belirtilen tüm yükümlülüklerden sorumludurlar. Aynı şekilde, işçileri olan işverenler veya gerçek kişilerin kayıtlarını tutan herhangi bir işletme de kanun gereği sorumludur ve kaydettiği tüm verileri güvenle saklamakla yükümlüdür. Pandemi dolayısıyla Kurul tarafından uzatılan süreler, VERBİS’e kayıt için belirlenen sürelerdir. Kanuna uyum ve kişisel verileri koruma yükümlülükleri hepimiz adına başlamış ve devam etmektedir. Bu süreç, verilerin silinmesi ve imha edilmesi aşamasına kadar devam etmektedir.”
Kişisel Verilerin İhlali Durumunda Ne Yapılmalı?
Son olarak hukukçular, veri ihlaline ilişkin yapılması gerekenleri şu şekilde özetliyor: “Şikayet bildirimleri Kurul’a yapılabilir. Ancak yapılan şikayet sonucunda Kurul yalnızca ihlale sebep olan şirket ya da gerçek kişiye idari yaptırım kararı verebilir. Başvuruyu yapan ilgili kişiye, uğranılan zarar sebebiyle bir tazminat ödenmesi hususunda karar verilmemektedir. Kişisel verilerin işlemesi kapsamında kişilik haklarının ihlal edildiğini düşünen bir kişi öncelikle bu ihlale sebep olan şirket ya da gerçek kişiye yazılı olarak başvurmalı ve bu ihlalin ortadan kaldırılması, ihlal neticesinde uğranılan zararın giderilmesi gibi taleplerini iletmelidir. Eğer yapılan başvuruya yetersiz bir cevap verilirse ya da talepler reddedilirse veya 30 gün içinde hiç cevap verilmezse, o zaman Kurul’a şikayet edilebilir.”
Dolayısıyla, ilgili başvuru yapılmadan doğrudan Kurul’a şikayet yoluna gidilmesi mümkün değildir. Kurul’a yapılacak şikayet süresi ise, yapılan başvuru neticesinde verilen cevabın öğrenildiği tarihten itibaren 30 gün ve her hâlükârda başvuru tarihinden itibaren 60 gün olarak belirlenmiştir. Bu sürelerin kaçırılması, yapılan hak ihlaline ilişkin başka bir yol izlenemeyeceği anlamına gelmemektedir. Ayrıca, Kurul’a başvuru yapılmaksızın genel hükümler çerçevesinde mahkemeler nezdinde tazminat ve cezaya ilişkin taleplerin ileri sürülmesi mümkündür.
6698 sayılı kanun kapsamında getirilen yükümlere aykırı hareket edilmesi neticesinde Kurul tarafından yüksek para cezaları ile karşılaşmak mümkündür. Bu nedenle, firmanızı, ofisinizi veya muayenehanenizi kanuna uyumlu hale getirmek için KVKK konusunda uzman ve ihtisas sahibi hukukçular ile birlikte teknik bir ekipten destek alınması oldukça önemlidir. Zira, söz konusu para cezaları oldukça yüksek olabilir ve yapılacak herhangi bir ihlal, Türk Ceza Kanunu kapsamında da bazı yaptırımlarla karşı karşıya kalmanıza neden olabilir.”
News
