KVK Hukuku
Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin olarak belirlenmesini sağlayan bilgilerin yanı sıra; kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de o kişiyi belirlenebilir kılıyor ise, yasa anlamında kişisel veridir. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik numarası, araç plakası, ünvanı (Örn: İstanbul Barosu Başkanı) gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar.
Yasa koyucu, kişisel verileri iki kategori olarak belirlemiş ve sınırlı sayı ilkesi kapsamında aşağıdaki verileri özel nitelikli kişisel veri olarak daha farklı ve sıkı düzenlemelere tabi tutmuştur: ,
Özel nitelikli kişisel veriler:
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik veriler.
Kişisel Verilerin Korunması Kanunu Nedir?
Kişisel Verilerin Korunması Kanunu (kısaca KVKK) 7 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girmiştir. Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemekle başlamıştır. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. KVKK ile, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanır.
KVKK, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Yani kişiler verilerin bir kısmını veya tamamını işleyen herkesi bu kanun kapsamaktadır.
Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes bu Kanun kapsamına alınmaktadır. Ancak Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur. Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Diğer bir yandan, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.
Kişisel Veri Sorumlusu Kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında kendileri “veri sorumlusu”dur. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir. Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Kişisel Veri İşleyen Veri Sorumlularının Yükümlülükleri Nelerdir?
1. Aydınlatma Yükümlülüğü
Aydınlatma yükümlülüğü, kişi grupları ve kişisel veri işlenen süreçler özelinde oluşturulan aydınlatma metinleri aracılığıyla yerine getirilmektedir. Kişisel Verilerin Korunması Mevzuatı’na Uyum Projesi kapsamında veri sorumlularının süreçleri ayrıntılı bir şekilde analiz edilerek hangi kişi grubunun hangi kanallar aracılığı ile aydınlatılacağı doğru bir şekilde tespit edilmeli ve güncel mevzuat ve Kurul kararlarına uygun Aydınlatma Metinleri hazırlanmalıdır.
2. Mevzuat ve Kurul Kararları Gereği Hazırlanması Zorunlu Olan Diğer BelgelerinHazırlanması
Veri sorumluları tarafından, kişisel verilerin hangi süreçlerde, hangi hukuki sebebe dayanılarak, hangi amaçla ve ne kadar süreyle işlendiği gibi birçok hususun detaylı olarak ele alındığı “Veri İşleme Envanterinin” hazırlanması zorunludur.
Veri sorumluları tarafından, kişisel veri güvenliğine ilişkin doğru ve tutarlı politika ve prosedürlerin belirlenip hazırlanması ve çalışma ve işleyişine uygun şekilde entegre edilmesi ile bu doğrultuda idari ve teknik tedbirlerin alınması gerekmektedir.
Bunların yanı veri sorumluları tarafından, kişisel veri işleme envanteri doğrultusunda gizlilik sözleşmeleri, taahhütnameler, aydınlatma metinleri, açık rıza metinleri, iç denetim formu, veri imha tutanağı vb. dokümanlar hazırlanmalı, iş başvuru formu, iş sözleşmesi, tedarikçi sözleşmesi gibi dokümanlar incelenip revize edilmelidir.
3. Veri Güvenliğine İlişkin Yükümlülükler
Veri sorumluları, veri güvenliğine ilişkin yükümlülükleri kapsamında:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamakla yükümlüdür.
Bu kapsamda Veri sorumlusu faaliyetlerini sürdürürken:
- Yükümlülüklerini yerine getirmek için gerekli özeni göstermesi,
- Farkındalığı arttırmak için personeline düzenli eğitimler vermesi,
- Kullanılan sistemlerde eczane personelinin yetkilerini doğru bir şekilde ve gerekli olan süre boyunca tanımlaması,
ç. Elektronik ve fiziki ortamlarda muhafaza edilen bilgi, belgelere ilişkin, şartların gerektirdiği güvenlik önlemlerini alması,
- Hasta verilerinin lokale indirilmesini sağlayan programların tercih edilmesi ve veri muhafazasında gerekli tedbirleri alması gerekmektedir.
4. Kişisel Verileri Koruma Kurulu Kararlarının Yerine Getirilmesi
Kurul, şikâyet ve ihbar üzerine veya re’sen veri sorumlularının veri işleme faaliyetlerine ilişkin inceleme başlatabilir. Bir ihlalin varlığını tespit etmesi halinde, veri sorumlularınca bu ihlalin giderilmesine karar vererek durumu ilgililere tebliğ eder. Bu kapsamda bir Kurul kararı tebliğ alan veri sorumlusu, Kurul kararının gereğini tebliğ tarihinden itibaren gecikmeksizin ve en geç 30 gün içinde yerine getirmekle yükümlüdür.
5. Veri İşleme Faaliyetlerinin Genel İlkelere Uygun Olarak Gerçekleştirilmesi
Veri sorumluları, tüm veri işleme faaliyetlerinde Kanun’un 4. maddesinde belirtilen kişisel verilerin işlenmesine ilişkin temel ilkeleri esas almalı ve veri işleme faaliyetlerini bu ilkelere uygun olarak gerçekleştirmelidir:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- Mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Veri işleme faaliyetlerinin tespiti doğrultusunda oluşturulan ve VERBİS kayıt yükümlüsü olan veri sorumlularının bulundurması gereken kişisel veri envanteri üzerinde, kişisel verilerin hangi süreçlerde, hangi hukuki nedene dayanarak, hangi amaçlarla ve ne kadar sürelerle işlendiği gibi pek çok bilgiye yer verildiğinden Uyum Projesi esnasında bu ilkelere uygun işleme faaliyetinin olup olmadığının incelenmesi önem arz etmektedir.
6. İlgili Kişilerin Başvurularının Cevaplanması Yükümlülüğü
Verisi işlenen ilgili kişiler (çalışanlarınız, müşterileriniz vs) Kanun’un 11. maddesinde sayılan haklarına ilişkin taleplerini yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle veri sorumlularına iletebilirler.
Veri sorumluları kendisine başvuru yapan ilgili kişinin taleplerini kabul edebilir veya gerekçesini açıklayarak reddedebilir. İki halde de veri sorumlusunun ilgili kişiye başvurunun tebliği tarihinden itibaren 30 gün içerisinde bir cevap vermesi zorunludur. (Kurul, ilgili kişiye cevap vermemeyi idari tedbir açığı olarak nitelendirmekte ve yükümlülük ihlali olarak değerlendirmektedir).
İlgili kişi:
- Veri sorumlusunun başvuruyu reddetmesi halinde, ret tarihinden itibaren 30 gün içinde,
- Veri sorumlusunun cevabını yetersiz bulması halinde, cevap tarihinden itibaren 30 gün içinde,
- Veri sorumlusunun başvuruya cevap vermemesi halinde ise başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilir.
7. VERBİS’e Kayıt Yükümlülüğü
VERBİS (Veri Sorumluları Sicili) kayıt yükümlülüğü aşağıdaki veri sorumluları yönünden söz konusudur:
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları,
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumluları.
VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİNİ YERİNE GETİRMEMESİNİN SONUÇLARI
- İDARİ PARA CEZASI
- HAPİS CEZASI
- TAZMİNAT
Veri sorumlusu tarafından, açıklanan yükümlülüklerin yerine getirilmemesi halinde, sorumlular hakkında Kişisel Verilerin Korunması Kurulu tarafından aşağıda belirtilen idari yaptırımların uygulanabileceği unutulmamalıdır:
Aydınlatma yükümlülüğünü yerine getirmeyen veri sorumluları için 13.393,00-TL’den 267.886,00-TL’ye,
Veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumluları için 40.183,00TL’den 2.678.866,00-TL’ye,
Kurul kararlarını yerine getirmeyen veri sorumluları için 66.972,00-TL’den2.678.866,00-TL’ye, Kayıt ve Bildirim Yükümlülüğünü yerine getirmeyen veri sorumluları için 53.576,00-TL’den 2.678.866,00-TL’ye kadar idari para cezası öngörülmektedir. Kurul, idari para cezalarında ihlal başına ayrı ceza vermektedir.
Yukarıda sayılan yükümlülüklerin yerine getirilmemesi ya da ihlali suç da teşkil ediyorsa, şikayet halinde hapis cezası da söz konusu olabilmektedir.
Türk Ceza Kanunu’nda özellikle kişisel verilere ilişkin olarak işlenebilecek suçlar ve cezaları aşağıdaki şekildedir:
Kişisel verilerin kaydedilmesi suçu Madde 135- (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. (2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Verileri hukuka aykırı olarak verme veya ele geçirme suçu Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. (2) (Ek:17/10/2019-7188/17 md.) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.
Nitelikli haller Madde 137- (1) Yukarıdaki maddelerde tanımlanan suçların;
- Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
- Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır.
Verileri yok etmeme suçu Madde 138– (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. (2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
Söz konusu yükümlülüklerin yerine getirilmemesi haksız fiil teşkil ediyorsa ve zarara sebebiyet veriyorsa genel hükümler kapsamında koşulları oluştuğu takdirde, ilgili kişilere tazminat davası açma imkanı da sağlayacaktır.
Mevzuatta belirtilen yükümlülükler tüm veri sorumluları için emredici nitelikte olduğundan veri sorumlularının mevzuata uygun bir şekilde faaliyetlerini sürdürmesi, konunun uzmanlarından destek alarak KVKK uyum süreçlerini yönetmesi büyük önem arz etmektedir.