Kişisel Verilerin Korunması Kanunu (“KVKK”), kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini korumayı amaçlamakta ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini düzenlemektedir.
Kişisel Veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Bu tanım son derece geniş olup, kişinin adı-soyadı, doğum tarihi, doğum yeri gibi bilgilerin yanı sıra telefon numarası, araç taşıt plakası, pasaport numarası, SGK numarası, özgeçmiş, IP adresi, e-posta adresi gibi bilgileri kapsamaktadır. Bu doğrultuda kişisel verinin; kişinin kültürel, sosyal, fiziksel, ekonomik ya da psikolojik kimliğini ifade eden bir nitelik taşıması veya vergi numarası gibi herhangi bir kayıtla ilişkilendirilmesi neticesinde kişinin belirlenmesini sağlayacak nitelikte olması gerekir.
Tüzel kişilere ilişkin veriler bu tanıma girmemektedir. Ancak, bir tüzel kişiye ilişkin olarak edinilen veri bir gerçek kişi ile ilişkilendirilebiliyorsa, bu veri kişisel veri sayılabilir. Örneğin, bir tüzel kişinin imza sirkülerinin arkasında bir gerçek kişiye ait kimlik bilgileri yer alması gibi hallerde, imza sirkülerinde yer alan veriler gerçek kişi ile ilişkilendirilebildiğinden bu veriler kişisel veri kapsamında korunmaktadır.
Bir kişisel veri, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbiriyle ilgili verileri veya biyometrik veya genetik verileri içeriyorsa, bu veri Özel Nitelikli Kişisel Veridir ve bu verilerin işlenmesi KVKK’nın 6’ncı maddesi hükümlerine tabidir. Örneğin; eski kimliklerde yer alan “Din” hanesi, bazı yabancı uyruklu kişilerin pasaportlarında zaman zaman yer alan, ırk, boy, göz rengi gibi veriler özel nitelikli kişisel veri olarak değerlendirilebilir.
KVKK’nın yürürlüğe girmesinin ardından, konuya ilişkin olarak ikincil mevzuat çalışmaları devam etmektedir. Bu kapsamda, Veri Sorumlusuna Başvuru Usul ve Esaslar Hakkında Tebliğ (Tebliğ 1) ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (Tebliğ 2) 10.03.2018 tarihinde yürürlüğe girmiştir.
Tebliğ 1’de yer alan önemli konular aşağıdaki gibidir:
– Veri sorumlusuna başvurmaya yetkili kişiler, kişisel verisi işlenen gerçek kişilerdir.
– Veri sorumlusuna başvurular Türkçe dilinde ve yazılı olarak veya KEP adresi, güvenli elektronik imza, mobil imza ya da veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı e-posta adresinden yapılır.
– Veri sorumlusu, başvuruda belirtilmiş olan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırır. Maliyete ilişkin hükümler Tebliğ 1’de yer alır.
Yukarıda anılan “Veri Sorumlusu”; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Tebliğ 2 uyarınca,
– Kişisel verinin işlendiği her durumda,
– Kişisel veri işleme amacı değiştiği durumlarda, ve
– Veri sorumlusunun farklı birimlerinde kişisel verilerin farklı amaçla işlendiği durumlarda aydınlatma yükümlülüğü doğar.
Bu yükümlülüğün yerine getirilmesi herhangi bir talebe bağlı değildir ve yerine getirilip getirilmediğinin ispatı da veri sorumlusuna aittir. Aydınlatma yükümlülüğü ile açık rıza alma işlemlerinin ayrı ayrı yapılması zorunludur.
Kişisel verilerin korunmasına ilişkin mevzuatta yer alan yükümlülüklerin yerine getirilmesi aşağıda belirtilen cezalarla karşılaşmamak adına büyük önem arz etmektedir.
KVKK’nın “Suçlar” başlıklı 17’nci maddesi Türk Ceza Kanunu’nun 135 ile 140’ıncı maddesi hükümlerine gönderme yapmaktadır. Ayrıca, KVKK’nın 7’nci maddesine göre kişisel verileri silmeyen veya anonim hale getirmeyenler, Türk Ceza Kanunu’nun 138’inci maddesine göre hapis cezası ile cezalandırılır. KVKK’nın “Kabahatler” başlıklı 18’inci maddesi kapsamındaki kabahatler için ise aşağıdaki idari para cezaları verilir:
– Aydınlatma yükümlülüğünü yerine getirmemek- 5.000 TL- 100.000 TL
– Veri güvenliğine ilişkin yükümlülükleri yerine getirmemek- 15.000 TL- 1.000.000 TL
– Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirmemek- 25.000 TL- 1.000.000 TL
– Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket etmek- 20.000 TL- 1.000.000 TL
İşbu yazı bilgilendirme amacıyla düzenlenmiş olup hiçbir şekilde hukuki görüş niteliği taşımamaktadır.
