KİŞİSEL VERİLERİN KORUNMASI VE KVKK
KİŞİSEL VERİLERİN KORUNMASI VE KVKK
Kişisel Veri Kavramı
KVKK adı verilen “Kişisel Verilerin Korunması Kanunu“, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen, gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek için 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe girmiştir.
“Kişisel veri” kavramından kişinin belirlenebilir olması ve verilerin gerçek kişiyle ilişkilendirilebilmesi suretiyle; yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA’sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir.
Kişilerin KVVK Uyarınca Sahip Olduğu Haklar
Kişiler KVKK uyarınca kişisel verisinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, yedinci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, (d) ve (e) bentleri uyarınca yapılan işlemlerin (düzeltme, silme veya anonim hale getirme talepleri) kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Yukarıda anlatılan tüm hususlar incelendiğinde detaylı bilgiye uzmanlaşmış avukat ve hukukçularımızdan ulaşabilirsiniz.
Şirketler ve Kurumlar Açısından Kişisel Veriler Şirketler Açısından Önemi
Kamu ya da özel kurum ve kuruluşlar, bir hizmetin yahut ürünün piyasaya sürülebilmesi için hizmet verirler. Bunun için, uzun bir süredir kişisel veri niteliğinde olan bilgileri toplamakta, satmakta ya da paylaşmaktaydılar. Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ve uyacakları kurallar KVKK ile düzenlenmiştir. Kanunda belirtilen istisnalar haricinde kişisel veri bilgileri, ilgili kişinin açık rızası olmaksızın işlenemeyecektir. Aynı zamanda kurum ve şirketler tarafından bu bilgiler üçüncü kişilere ve de yurtdışına aktarılamayacaktır. Kişisel Verileri Koruma Kurumu ise, mevzuat dâhilinde denetleme yapma ve kanunun yürürlüğünü sağlama hususunda görev üstlenmektedir. KVKK’de düzenlenen veri sorumlusunun aydınlatma, veri güvenliği, Kurul kararlarını yerine getirilmesi ve veri sorumluları siciline kayıt yükümlülüğünü yerine getirmemesi halinde kabahatler kapsamında değerlendirilerek idari para cezası müeyyidesine tabi olacaktır. Bu müeyyideler KVKK’nin 18. maddesinde düzenlenmiş olup Veri Sorumluları;
- Aydınlatma yükümlülüğünü yerine getirmezse 5.000-TL’den 100.000-TL’ye kadar,
- Veri güvenliğine ilişkin yükümlülükleri yerine getirmezse 15.000-TL’den 1.000.000-TL’ye kadar,
- Kurul tarafından verilen kararları yerine getirmezse 25.000-TL’den 1.000.000-TL’ye kadar,
- Veri Sorumluları Sicili ’ne kayıt ve bildirim yükümlülüğünü yerine getirmezse 20.000-TL’den 1.000.000-TL’ye kadar Kurul, şirketteki veri ihlalinin boyutu doğrultusunda yukarıdaki belirlenen asgari azami sınırlar doğrultusunda idari para cezası verecektir.
KVKK’ya Bağlı Oluşan Suçlar
KVKK’nun 17. maddesinde kişisel verilerin hukuka aykırı olarak işlediği durumda şirketlerin imza yetkilileri Türk Ceza Kanunu’nun (TCK) 135 ila 140. maddeleri arasında yer alan hapis cezası yaptırımlarının uygulanacağı düzenlenmiştir. Kişisel verilere ilişkin suçlar, TCK’nın “Özel Hayata ve Hayatın Gizli Alanına İlişkin Suçlar” bölümünde ele alınmıştır.
TCK m. 135 – Hukuka aykırı olarak kişisel verileri kaydeden kimseye 6 aydan 3 yıla kadar hapis cezası verilir.
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olan kişisel verilerinin hukuka aykırı şekilde kayda alınması suçun oluşması için yeterlidir. Kişinin rızası ile kendisiyle ilgili verilerin kayda alınması suç teşkil etmemektedir. Kişisel verilerin kişilerin siyasi, felsefi, dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantıları ile ilgili olması durumunda cezanın yarı oranında arttırılacağı öngörülmüştür.
TCK m. 136 – Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.
Bu madde ile birlikte hukuka aykırı olarak kişisel verileri bir başkasına vermek, yaymak ve ele geçirmek fiilleri suç olarak nitelendirilmiştir. Yukarıdaki maddelerde tanımlanan suçlara ilişkin olarak aşağıdaki maddede bu suçların nitelikli halleri düzenlenmiştir.
TCK m. 137 –
- Kamu görevlisi tarafından ve görevinin verdiği yetkiyi kötüye kullanmak suretiyle,
- Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle
İşlenmesi halinde, verilecek ceza yarı oranında artırılır.
TCK m. 138 –
- Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verilir.
- Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması halinde verilecek ceza bir kat artırılır.
Bu maddede şikâyet usulü düzenlenmiş olup kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme fiilleri hariç bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır. Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında ise bunlara özgü güvenlik tedbirleri uygulanır.
Sonuç olarak, yukarıda anlatılan tüm hususlar incelendiğinde KVKK’nun düzenlediği usul çerçevesinde kişisel verilerin işlenmesi gerekmekte, aksi durumunda ise veri sorumlularına karşı idari ve hapis cezaları gündeme gelecektir. Detaylı bilgiye uzmanlaşmış avukat ve hukukçularımızdan ulaşabilirsiniz.
Şirketlerin VERBİS’e Kayıt Yükümlülüğü
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girmesi ve bu kanun doğrultusunda 01.01.2018 tarihinde yürürlüğe girmiş olan Veri Sorumluları Sicili Hakkında Yönetmeliği’nde (Yönetmelik) yayımlanması ile veri sorumluları için bir kısım yükümlülükler belirlenmiştir. Bu yükümlülüklerden biri de veri sorumlularının Veri Sorumluları Sicili’ne ( Sicil ) kayıt yaptırmalarıdır.
Veri Sorumluları Sicili, Veri Sorumluları Sicil Bilgi Sistemi’nde (VERBİS) tutulacaktır. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için 30.06.2020 tarihine, yurtdışında yerleşik gerçek ve tüzel kişi sorumlularına sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için 30.06.2020 tarihine, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularına sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için 30.09.2020 tarihine, kamu kurum ve kuruluşu veri sorumlularına sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için 31.12.2020 tarihine kadar VERBİS sistemine kayıt olmak zorundadır.
Sonuç olarak belirtmek gerekir ki Kanun kapsamında Kişisel Verileri Koruma Kurulu tarafından detaylı ve yoğun düzenlemeler yapılmaktadır. Kanun’a uyum için belirlenmiş olan süreler kaçırılmamalıdır aksi halde belirtilen kanun ve düzenlemeler için idari para cezaları ve hapis cezaları gündeme gelecektir. Bunun için avukata başvurulmalıdır. Detaylı bilgiye uzmanlaşmış avukat ve hukukçularımızdan ulaşabilirsiniz.
Av. Sergen Demirkoparan
Kaya Partner Hukuki Danışmanlık
Lawyers – Rechtsberatung
Istanbul – Turkey
www.kayapartner.com info@kayapartner.com