Kişisel Verilerin Korunması Kanunu ve VERBİS’e Kayıt Yükümlülüğü

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte faaliyetleri sebebiyle kişisel veri işleyen kimseler “veri sorumlusu” olarak adlandırılırken, kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak ifade edilmiştir. KVKK kişisel verisi işlenen kişilere (ilgili kişi) çeşitli haklar tanımaktadır ve veri sorumlularına da birtakım yükümlülükler getirmektedir. Bu doğrultuda veri sorumluları için öngörülen yükümlülükler başlıca “VERBİS’e kayıt olmak”, “Kişisel Verilerin Korunması Kurulu kararlarına uymak”, “veri güvenliğini sağlamak” ve “aydınlatma yükümlülüğü” şeklinde karşımıza çıkmaktadır. Bu yükümlülüklerden VERBİS’e kayıt olma yükümlülüğü şimdilik yalnızca Kurul kararı ile belirlenmiş veri sorumluları için söz konusu olurken diğer yükümlülükler bütün veri sorumluları için geçerlidir.

Bu noktada Kişisel Verilerin Korunması Kurulu’nun 2020/482 nolu kararı kapsamında VERBİS’e kayıt olması gereken veri sorumluları belirtilmiş ve bu veri sorumlularının VERBİS’e kayıt olması için son tarihler öngörülmüştür. Kararda yer alan veri sorumluları ve kayıt yükümlülüklerinin son tarihi şu şekildedir:

Veri Sorumluları

Kayıt Yükümlülüğü Başlangıç Tarihi

Kayıt Yükümlülüğü Son Tarihi

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları

01.10.2018

30.09.2020

Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları

01.01.2019

31.03.2021

Kamu kurum ve kuruluşu veri sorumluları

01.04.2019

31.03.2021

İşbu bilgi notu da yaklaşan VERBİS’e kayıt olma yükümlülüğü vesilesiyle veri sorumlularının KVKK kapsamındaki yükümlülüklerinin nasıl yerine getirileceği ve hangi hususlara dikkat edilmesi gerektiği noktalarında bilgi sağlama amacı gütmektedir. Tablodan görüldüğü üzere, ana faaliyet konusu özel nitelikli veri işlenmesini gerektiren tüm işletmelerin VERBİS’e kayıt olması zorunlu tutulmuştur. Bu tür işletmelere örnek olarak, özel nitelikli sayılan sağlık verisi işleyen, muayenehaneler, poliklinikler, diş hekimi klinikleri, psikolog klinikleri ve diyetisyen klinikleri sayılabilecektir.  

KVKK kapsamındaki yükümlülüklerin yerine getirilmesi için VERBİS’e kayıt olunması dışında öncelikle işletme bünyesinde bir Kişisel Veri Dosyası oluşturulmalıdır. Bu Kişisel Veri Dosyası’nın içerisinde “Kişisel Veri Envanteri”, “Aydınlatma Metni”, “Açık Rıza Metni”, “Kurumsal Politikalar”, “Bilgi Güvenliği Politikası”, “Veri Saklama ve İmha Politikası” şeklindeki belgeler yer almalıdır. Ancak bu belgelerin oluşturulması yeterli değildir. Yukarıda yer alan belgelerin yanı sıra, mevcut iş sözleşmelerinin düzenlenmesi, veri sorumluları nezdinde veri işleme faaliyetlerine katılan çalışanlara gizlilik sözleşmesi imzatılması ve bu çalışanlara kişisel verilerin korunması kanunu hakkında düzenli eğitim verilmesi gerekmektedir. Diğer taraftan risk analizleri yapılarak kriz yönetimi prosedürleri oluşturulmalıdır. Son olarak ise, verilerin saklandığı kayıt ortamlarının fiziksel veya elektronik olmasına göre farklı önlemler alınmak zorundadır.

Diğer bir önemli husus ise, “özel nitelikli kişisel veri” işleyen veri sorumluları yönünden söz konusudur. Özel nitelikli kişisel veri, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir” şeklinde ifade edilmiştir. Bu hükümde sayılan özel nitelikli kişisel verileri işleyen veri sorumlularının 31 Mart 2021 tarihine kadar VERBİS’e kayıt olması zorunluluğunun yanı sıra, özel nitelikli verilere gösterilen önem sebebiyle KVKK uyarınca ilgili kişinin açık rızası olmaksızın bu verilerin işlenmesi yasaklanmıştır. Altı çizilmelidir ki, 2018/10 sayılı Kurul kararı ile özel nitelikli kişisel veri işleyen veri sorumlularının birtakım özel önemler alması ve belirli şartlara uyması zorunlu kılınmıştır. Bu kararda belirtilen önlemler ve şartlar kişisel veriler için öngörülenlerden farklı olmasa da Kurul’un KVKK ile paralel olarak özel nitelikli kişisel verilere özel önem atfettiği ve bu doğrultuda aynı işletme bünyesinde özel nitelikli veriler için diğer kişisel verilere nazaran daha etkili ve yüksek önlem alınmasını zorunlu kıldığı yorumu yapılabilecektir. Bu kapsamda, yukarıda yer alan belgelerin ve uygulamaların özel nitelikli kişisel veriler için ayrıca ve özel olarak yapılması gerektiği söylenebilecektir.

Bu noktada belirtilmelidir ki, belgeler düzenlenirken ve kişisel veriler işlenirken temel ilkelere her zaman riayet edilmelidir. Bu doğrultuda bir veri sorumlusu KVKK’dan doğan yükümlülüklerini yerine getirirken, “Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi”, “Doğru ve Gerektiğinde Güncel Olma İlkesi”, “Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi”, “İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi”, “İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi” şeklindeki ilkelere tam anlamıyla uymak durumundadır. Örneğin, diğer her unsur hukuka uygun olsa da gerektiğinden fazla kişisel veri işlenmesi sınırlı ve ölçülü olma ilkesine aykırılık teşkil edecektir. Diğer bir örnek olarak ise, hukuka uygun bir şekilde işlenmiş olsa da bir kişisel verinin gereğinden uzun bir süre muhafaza edilmesi yine bir temel ilke ihlali teşkil edecektir.

Bu yükümlülüklerin temel ilkelere uygun bir şekilde yerine getirilmesi Kişisel Verilerin Korunması Kurulu tarafından yapılacak bir denetime hazır olunması açısından önemlidir. Zira, KVKK’nın 18.maddesine göre (2021 yılı için öngörülen idari para cezası miktarları):

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.834 Türk lirasından 196.686 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.503 Türk lirasından 1.966.862 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 39.337 Türk lirasından 1.966.862 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 49.172 Türk lirasından 1.966.862 Türk lirasına kadar, idari para cezası verilir.

düzenlemesi yapılmıştır. Hiçbir yükümlülüğü yerine getirmeyen veri sorumluları için kesilecek para cezasının alt sınırı 127.846 Türk Lirası kadar olup; Kişisel Verilerin Korunması Kurulu’nun somut olayın özellikleri doğrultusunda daha yüksek bir ceza kesme ihtimali de söz konusudur.

Altı çizilmelidir ki, KVKK hangi şekilde olursa olsun kişisel veri işleyen bütün gerçek ve tüzel kişileri kapsamına almaktadır. Her ne kadar niteliği belirtilmiş veri sorumluları açısından VERBİS’e kayıt olma yükümlülüğünün son tarihi yaklaşsa da diğer yükümlülükler her zaman için söz konusudur. Bu sebeple KVKK kapsamındaki bütün gerçek ve tüzel kişilerin işletmelerini KVKK’ya uyumlu hale getirmesi büyük önem taşımaktadır. Aksi takdirde, kişisel verisi işlenen kişilerin tazminat talepleriyle ve Kişisel Verilerin Korunması Kurulu’nun idari para cezalarıyla karşılaşılacak, işletmeler açısından büyük zararlar doğacaktır.

tr_TRTurkish