Hukuk Haberleri
Av. İpek  BİTER GÜNDÜZ
Av. İpek BİTER GÜNDÜZ
8 Nisan 2021
Av. İpek BİTER GÜNDÜZ

Kişisel Verilerin İşlenmesi ve Korunması

Gerek “kişisel veri”, gerekse “kişisel verilerin korunması” kurumu, köklü bir geçmişe sahip olmamakla beraber; hukukumuzda son yıllarda oldukça popüler hale gelmiş, hatta yasal bir zorunluluk şeklinde düzenlenmiş durumdadır. Peki nedir bu kişisel veri? Yasal düzenlemesi nerede, ne şekilde yapılmaktadır?

Kişisel veri ve buna bağlı diğer düzenlemeler, en temel haliyle 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında 24/03/2016 tarihinde hukukumuzda resmi olarak kabul görmüştür. Kişisel verilere ilişkin yapılan her türlü müdahale, kişilerin özel hayatına ilişkin olduğundan; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek adına 6698 Sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir.

İlgili kanunun 3. Maddesi uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Yine aynı madde kapsamında kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemolarak tanımlanmıştır.

 

6698 sayılı Kişisel Verilerin Korunması Kanununun 16. maddesi uyarınca kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kayıt yükümlülüğü bulunmaktadır. Bu kapsamda, Kişisel Verileri Koruma Kurumu Veri Yönetimi Dairesi Başkanlığınca, Veri Sorumluları Sicil Bilgi Sistemi, kısa adıyla “VERBİS” hazırlanmış olup; veri sorumluları bu sisteme kayıt olmak durumundadır. Özetle VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili bilgi girişi yapacakları kayıt sistemidir. www.kvkk.gov.tr isimli websitesinde yer alan VERBİS butonuna tıklanıp ilgili alanlar doldurularak VERBİS’e kolaylıkla kayıt olunmaktadır.

Kayıt işlemini, veri sorumlusu olan herkes yapabileceği gibi birtakım özelliklere sahip veri sorumluları için bu kayıt, yasal bir zorunluluktan ibarettir.

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon Türk Lirası’dan çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları 01.10.2018 – 30.09.2019,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon Türk Lirası’ndan az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 – 31.03.2020,
  • Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 – 30.06.2020, tarihleri arasında Sicile kayıt olmak zorundadır.

Buna göre bir veri sorumlusu, ifade edilen veri sorumlusu gruplarından hangisinin kapsamı içinde ise o grup için belirlenmiş kayıt süreleri içerisinde kayıt yükümlülüğünü yerine getirmek durumundadır. Bu sürenin tamamlanmasından sonraki bir tarihte kayıt yükümlüsü haline gelmişse, kayıt yükümlüsü olduğu tarihten itibaren 30 günlük sürede kayıt işlemini tamamlaması beklenmektedir.

 

6698 sayılı Kişisel Verilerin Korunması Kanununun 16. maddesi uyarınca; işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kişisel Verileri Koruma Kurulu’nca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kişisel Verileri Koruma Kurulu tarafından, Veri Sorumluları Sicili’ne kayıt zorunluluğuna istisna getirilebilir.

a) Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,

b) Noterlik Kanunu uyarınca faaliyet gösteren noterler,

c) Dernekler Kanunu’na göre kurulmuş derneklerden, Vakıflar Kanunu’na göre kurulmuş vakıflardan ve Sendikalar ve Toplu İş Sözleşmesi Kanunu’na göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,

ç) Siyasi Partiler Kanunu’na göre kurulmuş siyasi partiler,

d) Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,

e) Gümrük müşavirleri,

f) Arabulucular,

g) Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,

ğ) Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur.

01/01/2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik de bu konuda yol gösterici niteliğe sahip bir diğer pusuladır. İlgili yönetmeliğin 8. Maddesinin 3.fıkrası uyarınca; kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kurul ve Başkanlıktan oluşan Kişisel Verileri Koruma Kurumu’na yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için ek süre talep edebilirler. Kurul ve Başkanlıktan oluşan Kişisel Verileri Koruma Kurumu, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilir.

 

Gelelim en önemli soruya: Veri sorumlusu, yasal yükümlülüğünü yerine getirmezse ne olur?

Kişisel verilere bağlı suçlar ve kabahatler, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun beşinci bölümünde düzenlenmiştir. İlgili kanunun 17. Maddesi, suçları düzenlemekte olup “Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140 ıncı madde hükümleri uygulanır. Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.” hükmünü amirdir.

  • Atıf yapılan 135. Madde; “Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.” şeklinde,
  • Madde; “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.” şeklinde,
  • Madde; “Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.” şeklinde düzenlenmiştir.

 

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 18. Maddesi kapsamında kabahatler düzenlenmiştir. İlgili hükme göre 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun;
  • maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kişisel Verileri Koruma Kurulu’na bildirilir.

 

– Makalede yasal mevzuat ve https://www.kvkk.gov.tr/ websitesinden faydalanılmıştır.

ads

Bir Yorum Bırak

Tüm Hakları Saklıdır © 2019 Adalet Medya.net