Kişisel Veri Tanımı Kişisel veri; 24 Mart 2016 tarihinde Türkiye Büyük Millet Meclisi tarafından kabul edilen ve 7 Nisan 2016 Tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde, kimliği belirli ya da belirlenebilir gerçek kişilere ilişkin her türlü bilgidir. Kişisel veri tanımın netleştirilmesi açısından, işbu verilerin öncelikle gerçek kişiye özgü olduğunu belirtmek gerekir. Bu anlamda tüzel kişilere ait ticaret unvanı, adres gibi bilgiler kişisel veri niteliğinde olmamakla birlikte, bu bilgilerin gerçek kişilerle ilişkilendirilmesi halinde kişisel veri olarak nitelendirilebileceği de açıktır. Gerçek kişiye ilişkin her türlü veri olarak belirtilen kişisel veri kavramı, pek çok kimsenin aklına öncelikle gerçek kişinin kimlik bilgilerinin elde edilmesine yarayan bilgileri getirse de, ilgili kavram bunun ötesinde gerçek kişiye ilişkin kelimenin tam anlamıyla her türlü bilgiyi kapsamaktadır. Veri Sorumlusu Kavramının Kapsamı Veri sorumlusu, kişisel verilerin hangi amaçla işleneceğini ve kişisel verinin işlenme vasıtalarına ilişkin veri kayıt sisteminin kurucusu ve yöneticisi gerçek ya da tüzel kişidir. Kavramsal açıdan karşılaştırma yapıldığında, kişisel veri sadece gerçek kişiye özgü bir terim iken, kişisel verinin işlenmesinden ve işlenme sisteminden sorumlu olan kişiler ise gerçek ve tüzel kişiler olabilmektedir. Bu çerçevede kamu kurumları, özel şirketler, dernek ve vakıflar da veri sorumlusu olarak nitelendirilebilmekte olup devamında Kişisel Verilerin Korunması Kanunu kapsamında işbu veri sorumluları birtakım yükümlülüklere tabi olmaktadırlar. Üzerinde önemle durmak gerekir ki, tüzel kişilik kapsamında gerçekleştirilen veri işleme faaliyetleri sırasında meydana gelecek bir ihlale ilişkin hukuki ve cezai sorumluluk kişisel verileri işleyen tüzel kişiliğe aittir. ilgili kişisel verilerin her ne kadar tüzel kişiyi temsil ve ilzama yetkili gerçek kişiler tarafından görevlendirilen kimselerce işlendiği bilinse de, bu durum tüzel kişiliğin kanun kapsamındaki yükümlülüklerini ortadan kaldırmaz, veri sorumlusu tüzel kişilik tarafından verilen talimatlar ile kişisel verileri işleyen gerçek ya da tüzel kişilere de veri sorumlusu sıfatını vermez. Şirketlerin KVKK çerçevesinde Sorumlulukları Makalemizde bilhassa ticaret şirketleri açısından inceleme yapılmaktaysa da Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlularına dair yükümlülükler ve bunların ihlali halinde uygulanacak müeyyideler, veri sorumlusu gerçek kişiler açısından da aynı şekilde geçerli olacaktır. 6698 Sayılı Kanun ve Veri Sorumluları Sicili Hakkında Yönetmelik’te belirlenen kriterlere sahip veri sorumlusu şirketler açısından henüz kişisel veri işlenmesi öncesinde yerine getirilmesi gereken ilk yükümlülük Veri Sorumluları Sicili (VERBİS)’ne kayıt olmaktır. Veri Sorumluları Sicili; veri sorumlularının veri işleme faaliyetlerine ilişkin bilgileri beyan ettikleri sistemdir.
Söz konusu mevzuatta VERBİS’e kayıt yaptırma zorunluluğu bulunan veri sorumluları;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları, Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları, Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları, Kamu kurum ve kuruluşu veri sorumluları, olarak sıralanmıştır. VERBİS’ e kayıt olma sorumluluğunu yerine getiren veri sorumlusunun, kişisel verilerin işlenmesi aşamasında ise Kişisel Verilerin Korunması Kanunu’nun Haklar ve Yükümlülükler Başlıklı Üçüncü Bölümünde yer verilen en önemli yükümlülüklerinden biri kişisel veri sahibine karşı yerine getirmekle mükellef olduğu Aydınlatma Yükümlülüğü’dür. Aydınlatma yükümlülüğü, veri sorumlusu ya da temsilcisinin kimlik bilgilerinin verilmesi ile başlamak suretiyle kişisel verilerin işlenmesinin nedeni ve nasılının kanunda açıkça belirtilmiş başlıklar altında açıklanmasından ibarettir. Aydınlatma yükümlülüğünün yerine getirildiğine ilişkin ispat yükü ise veri sorumlusuna aittir. Kanunda Veri Güvenliğine ilişkin Yükümlülükler başlığı altında yer verilen düzenlemeler, birbirinden bağımsız fakat aynı amacı barındıran aşağıdaki yükümlülükleri ifade eder. Kişisel verilerin hukuka aykırı olarak işlenmesini ve aynı zamanda işbu verilerin açıklanmasını önlemeyi içeren tedbir, veri sorumlularının görevlerinin sona ermesinden sonra da devam etmektedir. Kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğü, verilerin hukuka aykırı yollarla başka kimselerce elde edilmesi halinde veri sorumlusunun bu durumu Kişisel Verileri Koruma Kurulu’na bildirme yükümlülüğünü de içerisine almaktadır. Veri güvenliğine yönelik bir diğer sorumluluk ise kişisel verilerin muhafazasını sağlamaktan ibarettir. Veri sorumlusu ticaret şirketlerin, 6698 Sayılı kanunun yürürlüğe girmesinden önce işlemiş oldukları kişisel verileri koruma kanununa uygun hale getirmeleri, halihazırda işlemekte oldukları kişisel veriler açısından da, kanunda Kişisel Verilerin işlenmesi Başlıklı bölümde düzenlenmiş şartların gerçekleşip gerçekleşmediğinin denetimini yapmaları gerekmektedir. Veri sorumlusu, kişisel verileri hukuka uygun olarak işlemiş olsa dahi ilgili verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde bu verilerin silinip yok edilmesi yahut anonim hale getirilmesi yükümlülüğünün de bilincinde olmalıdır. VERBİS’e Kayıt Kişisel Verileri Koruma Kurulu’nun gözetiminde Kişisel Verileri Koruma Kurumu Başkanlığı’nın gözetiminde kamuya açık olarak tutulan Veri Sorumluları Sicili’ne kayıt zorunluluğu, veri sorumlusu tarafından https://www.kvkk.gov.tr/ internet sitesi üzerinden istenen bilgi girişleri yapılarak takip edilecek adımların tamamlanması ile sağlanabilecektir. Veri Sorumluları Siciline Kayıt Yükümlülüğüne ilişkin Kurulca Belirlenen Tarihler Hakkında 2019/387 Sayılı Kurul Kararı uyarınca sisteme uyum sürecindeki aksaklıklar dikkate alınmak suretiyle yukarıda belirtilen ve VERBİS’e kayıt zorunluluğu bulunan veri sorumlularının VERBİS’e kayıt yükümlülüğü başlangıç ve son tarihleri aşağıdaki şekilde ertelenmiştir. Veri Sorumluları —–Kayıt Yükümlülüğü Başlangıç Tarihi—– Kayıt Yükümlülüğü Son Tarihi
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan 01.10.2018 30.06.2020 gerçek ve tüzel kişi veri sorumluları
- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları 01.10.2018 30.06.2020
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup 01.01.2019 30.09.2020 ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları
Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 31.12.2020 Veri Sorumlusunun Yükümlülüklerinin ihlali ve Uygulanacak Müeyyideler Veri Sorumluları Sicili Hakkında Yönetmelik’in idari Yaptırım Başlıklı 17. Maddesinde veri sorumlularının, veri sorumluları siciline kayıt ve bildirim yükümlülüklerine aykırı hareket etmeleri halinde Kişisel Verilerin Korunması Kanunu Kabahatler Başlıklı 18. Maddesinin (ç) bendine yapılan yollama ile 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verileceği belirtilmiştir. Türkiye’de ilk etapta Avrupa insan Hakları Sözleşmesi, devamında Türkiye Cumhuriyeti Anayasası’nda dayanağını bulan ve son olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun kabul edilmesi ile kanunlaşma sürecini tamamlayan kişisel verilerin korunması hususu, buna ilişkin düzenlemelerin ihlalinin ceza hukuku anlamında suç kategorisine sokulması ve fiili işleyenin hürriyeti bağlayıcı cezalarla ıslah edilmesi uygulamalarıyla güvence altına alınmıştır. Kişisel verilerin hukuka aykırı olarak kaydedilmesi, hukuka aykırı olarak başkasına verilmesi, yayılması, bu verilerin ele geçirilmesi ve hatta verilerin hukuka uygun olarak kaydedilmiş olsa dahi verilerin, süreleri geçmesine rağmen yok edilmemesi eylemleri, Türk Ceza Kanunu 135 ve 140’ıncı maddeleri arasında yer verildiği üzere kişisel verilere ilişkin işlenecek suçlar açısından maddi unsur olarak kabul edilmiştir. işbu suçların ticaret şirketleri aracılığıyla işlenmesi halinde de ilgili tüzel kişilik hakkında güvenlik tedbirlerine hükmedilecektir. Mavera Hukuk Bürosu, gerek firma ve şirketlerin iç işleyişlerinde gerekse de dış ilişkilerde veri sahipleri ile veri sorumluları arasında gerçekleşecek işlemlerin şeffaf ve mevzuat doğrultusunda yürütülmesi kapsamında hukuki danışmanlık hizmeti vermektedir.’,
