Soru ve cevaplarla 'Kişisel Verileri Koruma Kanunu' (KVKK)

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye yani bir şahsa ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması yani somut ve belirli bir şahsı tanımlaması, işaret etmesi  gerekmektedir.

Konuyu biraz açarsak;

Bu tanımlamayı şu şekilde daha da anlaşılır bir biçimde açıklayabiliriz;

Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.

Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.

Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin yani bir şahsın; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.

KVKK (Kişisel Verileri Koruma Kanunu) Amacı ve Tarihçesi Nedir?

Günümüzde bireylere ilişkin çeşitli veriler gelişen teknolojinin ve dijital dünyanın da etkisiyle her gün farklı platformlarda kolaylıkla işlenebilmekte, paylaşılmakta ve aktarılabilmektedir.

Bu verilerin işlenmesi kişiler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar ve avantajlar sağlasa da verilerin istismar edilme riskini de beraberinde getirmektedir.

Bu nedenle, kişisel verileri koruyabilmek adına hukuki bir altyapının oluşturulması da zorunluluk haline gelmektedir. Kişisel verilerin korunmasının özünde kişiliğin korunması yer almaktadır.

Bu açıdan bakıldığında, kişisel verilerin korunması hakkı, özel hayatın gizliliği hakkının özel bir biçimi olarak kişinin onur ve şahsiyetinin korunması ile kişiliğini serbestçe geliştirebilmesi için bireyin temel hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır.

2010 yılında yapılan değişiklik sonucunda Anayasanın 20 nci maddesine eklenen fıkra ile kişisel verilerin korunması Anayasal güvence altına alınmış ve kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği hükme bağlanmıştır. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir.

Kanunla, kişisel verilerin işlenmesi disiplin altına alınarak sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

Bu amaçla, kişisel verilerin işlenmesine ilişkin denetim mekanizmaları oluşturularak, bu verilerin hukuka aykırı olarak işlenmesinin engellenmesi hedeflenmektedir.

Kanun kişisel verilerin işlenmesini sınırlamamakta, tam tersine veri temelli ekonomide daha rekabetçi bir noktada olabilmek adına kişisel verilerin işlenmesine ilişkin usul ve esasları düzenlemektedir.

Kişisel Verilerin Korunması Kanunu kimleri kapsamaktadır?

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek kişiler yanı şahıslar ve tüzel kişiler yani şirketler ve kamu, belediye gibi birimler hakkında uygulanmaktadır.

Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamıştır. Kanunun tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir.

Kişisel Verilere İlişkin Suçlar ve Cezai Yaptırımlar konusunda, Kişisel Verilerin Korunması Kanunu nasıl bir düzenleme öngörmektedir?

Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine (md. 135-140) atıf yapılmak suretiyle düzenlenmiştir.

Ayrıca, kişisel verileri yok etmeyenlerin ise Türk Ceza Kanununun 138. maddesine göre cezalandırılacağı hüküm altına alınmıştır.

Kişisel Verilerin Koruması Kanununda hangi konulara ilişkin idari yaptırımlar öngörülmüştür?

Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir.

 Bu kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır.

Kurul kimler hakkında 'İdari Yaptırım Kararı' verebilir?

İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. Kabahat kapsamında sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

'Kişisel Verilerin İşlenme Şartları' nelerdir?

Kanunlarda açıkça öngörülmesi, fiili imkânsızlık, sözleşmenin kurulması ve ifası için gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması

Bu Kanunun yürürlüğe girdiğinden toplumun haberi var mı ? Duyurular yeterli mi?

Esasen Kanun 2016 Nisan ayından bu yana yürürlükte ve uygulanmaktadır. Kanuna aykırılık nedeniyle avukat, eczane, varlık şirketleri,hastaneler, holdingler ve hatta facebook gibi pek çok meslek grubu ve şirket bu nedenle bu zamana kadar yukarıda belirtildiği gibi idari olarak para cezası ile cezalandırılmıştır.

Ancak yine, Kanun kapsamında oluşturulan Kişisel Verileri Koruma Kurumu ve değerli Başkanı Sayın Prof. Faruk Bilir Hocamızın olağanüstü çaba ve emeğine rağmen henüz toplumsal olarak bilinirlik ve duyarlılık tam olarak oluşmamıştır.

Maalesef, bu tarz şeylerde millet olarak ancak kendimiz, iş,akraba,eş ,dost,arkadaş çevremizden birilerinin cezalandırıldığını görmemiz ve duymamız halinde durumun ciddiyetinin farkına varmak gibi bir özelliğimiz var.

Burada kamuoyunda doğru bilinen iki yanlışı da özellikle belirtmek gerekir.

Kanuna ve Kişisel Verileri Koruma Kurumunun Kararlarına göre, 50 ve daha fazla kişi çalıştıran gerçek ya da tüzel kişiler veya yıllık bilançosu 25 milyon TL olan gerçek ya da tüzel kişiler Kişisel Verileri Koruma Kurumu’nun Verbis denilen Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicil Bilgi Sistemi ne 31.12.2019 tarihine kadar kayıt olmak zorundalar.

Ancak maalesef kamuoyunda şöyle bir yanlış anlaşılma olmuş durumda;

Sanki 50 kişiden az kişi çalıştıran gerçek ve tüzel kişiler bu kanuna tabi değişmiş ya da 50 kişiden fazla kişi çalıştıranlar ise Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicil Bilgi Sistemi’ne (Verbis)  kayıt oldukları takdirde kanun çerçevesinde tüm sorumluluklarından kurtulmuşlar gibi yanlış bir algı oluşmuştur.

İşin doğrusu, Tüm gerçek ya da tüzel kişiler, kamu ya da özel sektör Kişisel Veri Alan,işleyen herkes bu kanuna tabidir. Kanun, 50 veya daha fazla kişi çalıştıranlara ekstra olarakKişisel Verileri Koruma Kurumu Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olmak zarureti getirmiştir.

STK(Sivil Toplum Örgütleri) de Kişisel Verileri Koruma Kanunu'na tabi midir?

KVKK ve ilgili ikincil mevzuat kapsamına giren çalışmalar yapan STK’ların, mevzuat çerçevesinde bazı hukuki sorumlulukları bulunmaktadır. Bu sorumlulukların gereği yapılmadığı takdirde, itibarlarının ve prestijlerinin zedelenmesinin yanı sıra, STK’lara 15.000 TL’den 1.000.000 TL’ye kadar idari para cezası kesilebilir ve yöneticilerine de 1 yıldan 3 yıla kadar hapis cezası verilebilir.

STK’ların KVKK’nın 10. maddesine göre aydınlatma yükümlülüğü bulunmaktadır. Aydınlatma yükümlülüğü, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından veri sahiplerine bilgi verilmesidir.

Bunun yanında, STK’ların topladıkları ve işledikleri kişisel verilerle ilgili olarak aldığı idari ve teknik tedbirlere de yer veren bir veri imha politikası hazırlamalıdır. STK’lar idari tedbir olarak kişisel veri envanteri de hazırlamayı dikkate almalıdırlar.

Kurum'un 2 Nisan 2018 tarih ve 2018/32 sayılı kararı uyarınca dernek ve vakıf gibi sivil toplum örgütleri Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğünden istisna tutulduğunu da belirtelim.

OGÜNhaber