Kişisel Verilerin Korunması Kanunu ve VERBİS’e Kayıt Yükümlülüğü

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte faaliyetleri sebebiyle kişisel veri işleyen kimseler “veri sorumlusu” olarak adlandırılırken, kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak ifade edilmiştir. KVKK kişisel verisi işlenen kişilere (ilgili kişi) çeşitli haklar tanımaktadır ve veri sorumlularına da birtakım yükümlülükler getirmektedir. Bu doğrultuda veri sorumluları için öngörülen yükümlülükler başlıca “VERBİS’e kayıt olmak”, “Kişisel Verilerin Korunması Kurulu kararlarına uymak”, “veri güvenliğini sağlamak” ve “aydınlatma yükümlülüğü” şeklinde karşımıza çıkmaktadır. Bu yükümlülüklerden VERBİS’e kayıt olma yükümlülüğü şimdilik yalnızca Kurul kararı ile belirlenmiş veri sorumluları için söz konusu olurken diğer yükümlülükler bütün veri sorumluları için geçerlidir.

Bu noktada Kişisel Verilerin Korunması Kurulu’nun 2019/387 nolu kararı kapsamında VERBİS’e kayıt olması gereken veri sorumluları belirtilmiş ve bu veri sorumlularının VERBİS’e kayıt olması için son tarihler öngörülmüştür. Kararda yer alan veri sorumluları ve kayıt yükümlülüklerinin son tarihi şu şekildedir:

Veri SorumlularıKayıt Yükümlülüğü Başlangıç TarihiKayıt Yükümlülüğü Son Tarihi
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları01.10.201830.06.2020
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları01.10.201830.06.2020
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları01.01.201930.09.2020
Kamu kurum ve kuruluşu veri sorumluları01.04.201931.12.2020

İşbu bilgi notu da yaklaşan VERBİS’e kayıt olma yükümlülüğü vesilesiyle veri sorumlularının KVKK kapsamındaki yükümlülüklerinin nasıl yerine getirileceği ve hangi hususlara dikkat edilmesi gerektiği noktalarında bilgi sağlama amacı gütmektedir.

KVKK kapsamındaki yükümlülüklerin yerine getirilmesi için VERBİS’e kayıt olunması dışında öncelikle işletme bünyesinde bir Kişisel Veri Dosyası oluşturulmalıdır. Bu Kişisel Veri Dosyası’nın içerisinde  “Kişisel Veri Envanteri”, “Aydınlatma Metni”, “Açık Rıza Metni”, “Kurumsal Politikalar”, “Bilgi Güvenliği Politikası”, “Veri Saklama ve İmha Politikası” şeklindeki belgeler yer almalıdır. Ancak bu belgelerin oluşturulması yeterli değildir. Yukarıda yer alan belgelerin yanı sıra, mevcut iş sözleşmelerinin düzenlenmesi, veri sorumluları nezdinde veri işleme faaliyetlerine katılan çalışanlara gizlilik sözleşmesi imzatılması ve bu çalışanlara kişisel verilerin korunması kanunu hakkında düzenli eğitim verilmesi gerekmektedir. Diğer taraftan risk analizleri yapılarak kriz yönetimi prosedürleri oluşturulmalıdır. Son olarak ise, verilerin saklandığı kayıt ortamlarının fiziksel veya elektronik olmasına göre farklı önlemler alınmak zorundadır.

Diğer bir önemli husus ise, “özel nitelikli kişisel veri” işleyen veri sorumluları yönünden söz konusudur. Özel nitelikli kişisel veri, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir” şeklinde ifade edilmiştir. Özel nitelikli verilerin bu özelliği sebebiyle KVKK uyarınca ilgili kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Altı çizilmelidir ki, 2018/10 sayılı Kurul kararı ile özel nitelikli kişisel veri işleyen veri sorumlularının birtakım özel önemler alması ve belirli şartlara uyması zorunlu kılınmıştır. Bu kararda belirtilen önlemler ve şartlar kişisel veriler için öngörülenlerden farklı olmasa da Kurul’un KVKK ile paralel olarak özel nitelikli kişisel verilere özel önem atfettiği ve bu doğrultuda aynı işletme bünyesinde özel nitelikli veriler için diğer kişisel verilere nazaran daha etkili ve yüksek önlem alınmasını zorunlu kıldığı yorumu yapılabilecektir. Bu kapsamda, yukarıda yer alan belgelerin ve uygulamaların özel nitelikli kişisel veriler için ayrıca ve özel olarak yapılması gerektiği söylenebilecektir.

Bu noktada belirtilmelidir ki, belgeler düzenlenirken ve kişisel veriler işlenirken temel ilkelere her zaman riayet edilmelidir. Bu doğrultuda bir veri sorumlusu KVKK’dan doğan yükümlülüklerini yerine getirirken, “Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi”, “Doğru ve Gerektiğinde Güncel Olma İlkesi”, “Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi”, “İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi”, “İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi” şeklindeki ilkelere tam anlamıyla uymak durumundadır. Örneğin, diğer her unsur hukuka uygun olsa da gerektiğinden fazla kişisel veri işlenmesi sınırlı ve ölçülü olma ilkesine aykırılık teşkil edecektir. Diğer bir örnek olarak ise, hukuka uygun bir şekilde işlenmiş olsa da bir kişisel verinin gereğinden uzun bir süre muhafaza edilmesi yine bir temel ilke ihlali teşkil edecektir.

Bu yükümlülüklerin temel ilkelere uygun bir şekilde yerine getirilmesi Kişisel Verilerin Korunması Kurulu tarafından yapılacak bir denetime hazır olunması açısından önemlidir. Zira, KVKK’nın 18.maddesine göre:

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

düzenlemesi yapılmıştır. Hiçbir yükümlülüğü yerine getirmeyen veri sorumluları için kesilecek para cezasının alt sınırı 65.000 Türk Lirası kadar olup; Kişisel Verilerin Korunması Kurulu’nun somut olayın özellikleri doğrultusunda daha yüksek bir ceza kesme ihtimali de söz konusudur.

Altı çizilmelidir ki, KVKK hangi şekilde olursa olsun kişisel veri işleyen bütün gerçek ve tüzel kişileri kapsamına almaktadır. Her ne kadar niteliği belirtilmiş veri sorumluları açısından VERBİS’e kayıt olma yükümlülüğünün son tarihi yaklaşsa da diğer yükümlülükler her zaman için söz konusudur. Bu sebeple KVKK kapsamındaki bütün gerçek ve tüzel kişilerin işletmelerini KVKK’ya uyumlu hale getirmesi büyük önem taşımaktadır. Aksi takdirde, kişisel verisi işlenen kişilerin tazminat talepleriyle ve Kişisel Verilerin Korunması Kurulu’nun idari para cezalarıyla karşılaşılacak, işletmeler açısından büyük zararlar doğacaktır.

Legal Warning

İşbu yazı hukuki danışmanlık ya da tavsiye olarak kabul edilemez ve avukat – müvekkil ilişkisi doğurmaz  

en_USEnglish