KİŞİSEL VERİLERİ KORUNMASI NEDİR VE KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA KİMLER YÜKÜMLÜDÜR?
Kişisel verileri koruma misyonundan başlayalım. Neden böyle bir ihtiyaç oluştu, Kişisel Verileri Koruma Kanunu nedir, Kanun’un amacı nedir, sizce bu düzenleme amaca ulaşmak için yeterli midir?
Kişisel Verilerin Korunmasına ihtiyaç birçok sistem açığından dolayı olmuştur. Gerek günlük hayatımızda gerek internet platformları üzerinden kişisel verilerimizi sorgulamadan, düşünmeden, kötü niyetli kişilerin rahatça ulaşabileceği açıklıkta paylaştık. Bunların yanında kişilerin saklı tuttuğu, paylaşılmasında rızalarının bulunmadığı kimlik bilgileri, gelir durumları, iletişim bilgileri hatta kimi zaman dışlanmalarına, ayrıştırıcı muameleler görmelerine sebep olacak veriler haberleri olmadan, hukuka aykırı şekilde işlendi. Bu bakımdan özellikle gerçek kişi kişilerin yaşamış olduğu ciddi mağduriyetler vuku bulmuştu. Yani; Kişisel verilerin korunması kanunundan önce gerek kamu gerekse özel kurum ve kuruluşlar, kendi menfaatlerini gözetirken; verisini işledikleri ilgili kişilerin özel hayatın gizliliği hakkı başta olmak üzere haklarını ve menfaatlerini zedeleyebilecek birden fazla bilgiyi kendi sistemlerine kayıt edebilmekte ve bu bilgileri 3. şahıslar ile veri sahibinin bilgisi olmaksızın paylaşılabilmekteydi. Kanunla birlikte bunun önüne geçilmek ve verisi işlenen gerçek kişiler korunmak istenmiştir. Kanunun amacı cezalandırmak olmayıp farkındalık oluşturmak ve verilerimizin güvenliğini sağlamaktır. Kanun çok yeni olduğu için henüz uygulamada şu sonucu aldık veya tüm hedeflerimize ulaştık diyemeyiz. Fakat KVK Kurumunun kanunun uygulanması için yayınladığı tavsiye ve cezai kararları ile uygulamaya yönelik hazırladığı rehberleri, KVKK hakkında gerçek ve tüzel kişilerin daha bilinçli bir duruma gelmesinde çokça katkıda bulunduğunu, gerçek ve tüzel kişilerin de bir an önce kanuna uyum süreçlerini tamamlayabilmek için emek verdiklerini söyleyebiliriz.
Kanunun kişilerden ziyade kurumları kapsayan yükümlülüklere yer verdiğini söyleyebilir miyiz?Kurumlar kişisel verilerinin korunması için hangi yükümlülükleri yerine getirmeliler, neler yapmalılar?
Kişisel veri dediğimiz şey gerçek kişilere ilişkin kimliği belirli ya da belirlenebilir kılan her türlü bilgi anlamına gelmektedir. Veri sorumlusu dediğimiz kişiler; her türlü veri hakkında bu verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir. Bu açıdan KVK Kanunu’na baktığımızda Kanundaki düzenlemelere göre hem gerçek kişiler hem de tüzel kişiler veri sorumlusu sıfatı ile yükümlü olsa da hayatın olağan akışı içerisinde değerlendirdiğimizde tabi ki şirket/kurumların işledikleri veriler çok çok daha fazla olduğundan asıl olarak sorumluluklar ve denetimler bu kişiler üzerinde doğacaktır diyebiliriz. Fakat bu durum tabi ki gerçek kişilerin kanun kapsamında sorumlu olmadığı anlamına da gelmeyecektir. Veri sorumlusu, kişisel verileri işlerken öncelikle işleme faaliyetini dayandıracağı işleme şartını tespit etmelidir. Özel nitelikli kişisel veri dediğimiz; kişilerin öğrenilmesi halinde ayrımcı muameleye maruz kalmasına veya mağduriyetine sebep olacak verilerin işlenmesi halinde kanunda belirlenen işlenme şartlarının bulunmasına özen göstermeli ve Kurulun belirlediği önlemleri alarak verileri koruması, muhafaza etmesi gerekmektedir. Veri sorumlusu verileri işleme şartının ortadan kalması haline verileri imha etmeli, kişisel veri sahibi yani ilgili kişiye Kanun kapsamındaki haklarını bildirmeli, bu haklarına ilişkin başvurularını değerlendirip cevap vermeli ve en önemlisi veri işleme faaliyetinden önce aydınlatma yükümlülüğünü ve açık rıza yükümlülüğünü yerine getirmelidir. Ayrıca Kanun kapsamındaki bütün veri sorumluları kişisel verilerin; hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Öte yandan kurumsal güvenlik açısından önemli bir faktör olan çalışanların; kişisel verilerin işlenmesi, korunması, muhafaza edilmesi gibi hususlarda eğitilmesi, İK süreçlerinin Kanun kapsamında yeniden düzenlenmesi, şirket içi ve şirket dışı tüm sözleşmelerin KVKK kapsamında revizesi son derece önem arz etmekte olup Veri sorumlularının kanundaki şartları sağlamaları halinde bir de VERBİS’e yani Veri Sorumluları Sicil’ine kayıt yükümlülükleri bulunmaktadır.
VERBİS konusunu biraz detaylandırabilir miyiz?
VERBİS yani Veri Sorumluları Sicil Bilgi Sistemi; KVK Kurumunun kendi internet sitesi üzerinden erişilen, veri sorumlularının işledikleri verilere ilişkin belirli kriterlere göre yapılandırdıkları kişisel veri envanterlerinin yükledikleri ve halka açık olarak tutulan bir kayıt ve bildirim sistemini ifade etmektedir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları kural olarak zorunludur. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumlularına ilişkin kayıt süresi 31.12.2019 tarihinde sona erecektir. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumlularına ilişkin kayıt süresi 31.03.2020 tarihinde sona erecektir. Kamu kurum ve kuruluşu veri sorumlularına ilişkin kayıt süresi ise 30.06.2020 tarihinde sona erecektir. Veri sorumluları bu tarihler sona ermeden sicile kayıt olmak zorundadır aksi halde çeşitli yaptırımlarla karşılaşabileceklerdir. Kanundaki düzenlemeye göre ne gibi yaptırımlarla karşı karşıyayız, özellikle kurumların yükümlülüklerini yerine getirmemesi halinde onları bekleyen yaptırımlar neler? Röportajın başında da bahsettiğim gibi kanunun amacı cezalandırmak olmayıp farkındalık oluşturmak ve verilerimizin güvenliğini sağlamaktır. Öncelikle her kanuna uyum sağlamak ve aykırı davranmamak gerçek veya tüzel kişilerin ülkesine borcu olup tüzel kişiler için kurumsal kimliğinin saygınlığı için de son derece önemlidir. 6698 sayılı Kişisel Verilerin Korunması kanunun 18. Maddesi kapsamında alt sınırı 5 bin TL olan ve ihlalin niteliğine göre 1 milyon TL’ye kadar çıkan idari para cezaları öngörülmüş olup Türk Ceza Kanunu kapsamında; Kişisel Verileri Hukuka Aykırı Kaydetme, Özel Nitelikli Kişisel Verileri Hukuka Aykırı İşleme, Kişisel Verileri Hukuka Aykırı Verme, Yayma, Ele Geçirme ve Verileri Silme, Yok Etme Veya Anonim Hale Getirme Yükümlülüğünü Yerine Getirmeme suçlarının vuku bulması halinde 1 yıldan 4.5 yıla kadar hapis cezası söz konusu olacaktır. Tüm bunlara ek olarak verisi işlenen ilgili kişilerin de bu işleme faaliyetlerinden doğacak maddi ve manevi zararlarını veri sorumlularından talep etme hakkı bulunmaktadır.
Verilerin işlenmesi için bir ölçüt var mı? Veri işlenirken nelere dikkat ediliyor yani kanunun veriler işlenirken çizdiği sınırlar neler?
Veri sorumluları kişisel verileri işlerken Kişisel Verilerin Korunması Kanunu’nun 4. Maddesinde yer alan ilkelere uygun şekilde hareket etmelidir. Veri sorumluları, veri işleme faaliyetlerine başlamadan önce ilgili kişilerden verilerinin işlenmesine ilişkin açık rıza almakla yükümlüdür. Bununla birlikte kanun 5. Ve 6. Maddelerinde açık rıza alınmaksızın kişisel veri işlenebilecek şartları da saymıştır. Hukuka uygunluk sebepleri de dediğimiz bu şartlardan açık rıza haricinde bir şart veri işleme amacını sağlıyorsa veri işleme açık rıza almaksızın bu şarta göre gerçekleştirilebilecektir.
Son olarak kanunun yükümlülük getirdiği şirketlere kısaca ne gibi tavsiyelerde bulunursunuz?
KVKK kapsamında şirketlerin sicile kayıt yükümlüsü olup olmadıklarını en kısa sürede tespit edip kayıt yükümlüsü olmaları halinde son kayıt süreleri dolmadan sisteme kaydolmalarını öneririm. Ayrıca VERBİS Kayıt ve bildirim yükümlülüğü kanunun yüklemiş olduğu yükümlülüklerden sadece bir tanesi olduğundan; veri işleyen tüm gerçek ve tüzel kişilerin VERBİS yükümlüsü olmasalar bile bir an önce kanuna uyum süreçlerini tamamlamalarını tavsiye ederim. Bu hususta KVKK kapsamında danışmanlık hizmeti veren kuruluşlardan destek almaları uyum süreçlerini hızlandırarak ve başta sicile kayıt olmak üzere uyum süreçleri hakkında olası aksaklıkları ve riskleri minimuma indirecektir. Yapılan bu düzenlemenin ülkemiz için çok faydalı olacağını düşünüyor ve hayırlı olmasını diliyorum. Teşekkürler.