Günümüzde kişisel verilerin petrolden daha değerli olduğu artık bir gerçek olarak karşımıza çıkmaktadır. Uygulama kişisel verilerin modern dünyanın para birimi olarak kullanılması noktasına kadar gelmiştir. Zira dünya devi şirketler ve yazılım şirketleri ücretsiz olarak hizmet sunma iddiasında olmalarına rağmen aslında temelde yaptıkları kişilerin kişisel verilerine erişim izni alarak bu veriler karşılığında sosyal medya ve sair hizmetler sunmaktır. Dünya genelinde kişisel verilerin bu ve benzeri amaçlarla kullanılması üzerine kişisel verilerin önemi artmış ve her geçen gün artmaya devam etmektedir. Bu gelişmelere uygun olarak gelişmiş ülkelerde kişisel verilerin ele geçirilmesi ve kullanılması konusunda ulusal ve uluslararası alanda düzenlemeler yapılması yoluna gidilmiştir. Türkiye bu konuda geç de olsa bir adım atmış ve 24/3/2016 tarihli Kişisel Verilerin Korunması Kanunu ile bu alanda düzenleme yapan ülkeler arasında yerini almıştır.
Kanunun getirdiği birçok yenilikten biri de kimlerin veri işleyebileceği ve bu verileri işleme sırasında ve sonrasında uyulması gereken kurallar hakkında düzenleme yapmış olmasıdır. Hukuki olarak sorumluluğun doğduğu noktada veri sorumlusunun kim olduğu ve veri sorumlusunun sorumluluklarının neler olduğu hukuki, ceza ve idari anlamda ne tür sorumlulukla karşı karşıya olduğunun tespiti şirketler ve gerçek kişi tacirler açısından büyük önem arz eder duruma gelmiştir. Çalışmamız kapsamında öncelikle kimin veri sorumlusu olduğu ve bu veri sorumlularının hukuki, ceza ve idari sorumlulukları incelenecek olup yine bu kapsamda kanunun ön gördüğü VERBİS sistemine kayıt konuları işlenecektir.
Veri sorumlusu kanuni ifadesiyle; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tanımdan da anlaşılacağı üzere veri sorumlusu kişinin gerçek veya tüzel kişi olması arasında fark bulunmadığı gibi bu kişileri faaliyet alanlarının da bir önemi bulunmamaktadır. Dolayısıyla bir hafriyat şirketi ile bir yazılım şirketi arasında veri sorumlusu olmak bakımından herhangi bir ayrım söz konusu olmadığı gibi, bir anonim şirket ile kafe işleten bir şahıs arasında da herhangi bir fark öngörülmemiştir. Yine bu kişinin kamu kurumu veya özel hukuk kişisi olması arasında da bir ayrım söz konusu değildir. Kişisel verilerin bu kişiler tarafından işleme amaçlarının ve vasıtalarının belirlenmesi veri kayıt sisteminin kurulması ve yönetilmesi yeterli olmaktadır.
Kanunun veri sorumlusunun tespiti için getirdiği bu geniş tanım gereği hemen herkes veri sorumlusu olabilecektir. Ancak bu veri sorumlularının hepsinin aynı şekilde sorumluluk taşıması noktasında kanunun getirdiği bir takım istisnalar getirilmiştir. Bu istisnalar dışındaki bütün veri sorumluları kanunda belirtilen sorumluluklara tabi olacaktır. Kanunun getirdiği sorumluluklar;
1. Veri sorumluları veri işleme süreci boyunca kanunun getirdiği kurallara uymak zorunda olup ancak kanunda belirtilen usuller dahilinde veri işleyebilecektir. Bunun için kanun veri işlenebilmesi için bir takım ilkeler öngörmüştür. Bunlar;
a. Hukuka ve dürüstlük kurallarına uygun olma
b. Doğru ve gerektiğinde güncel olma
c. Belirli, açık ve meşru amaçlar için işlenme
d. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
e. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
2. Kanunun, bir kişisel verinin işlenebilmesi için bu verinin sahibinin (ilgili kişi) açık rızasının alınmasını şart koşmuştur. Ancak bu kurala bir takım istisnalar getirilmiştir. Dolayısıyla istisna kapsamında olmayan hallerde ilgili kişinin açık rızası alınmamış ise kişisel verinin işlenmesi söz konusu olamayacaktır. İşlenmesi halinde veri sorumlusunun hukuki sorumluluğu doğacaktır. Ancak bazı durumlarda açık rızasının alınması hakkın kötüye kullanılmasına karine teşkil edebileceği gibi özel nitelikli kişisel verilerin işlenebilmesi için ise kişinin açık rızasının kesin olarak alınması gerektiği belirtilmiştir. Bu sorumluluğun kapsamı ve türleri aşağıda ayrıca işlenecektir.
3. Kişisel verilen silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında diğer kanunlarda geçen hükümler saklı olmak üzere KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Bu hüküm uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında genel olarak bu kanun uygulanacaktır. Yine bu doğrultuda bir yönetmelik de çıkarılmıştır.( KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK )
4. Kişisel verilerin aktarılması konusunda da kanunun aradığı açık rıza devreye girmekte ve kanun uyarıca kişisel veriler aktarılacaksa kişinin açık rızasının alınması gerekecektir. Bu yükümlülüğe uyulmaması halinde de sorumluluk doğacaktır. Kişisel verilerin yurtdışına aktarılması söz konu olacaksa yine kişinin açık rızası aranacak açık rızanın alınması noktasında getirilen istisna hallerinde ise kişisel verilerin aktarılacağı ülkenin, yeterli korumaya sahip olması veya Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması şartlarından birinin varlığı aranacaktır.
5. Kanun veri sorumlusunun kişisel verilerin elde edilmesi sırasında veri sorumlusunun veya yetkilendirdiği kişinin;
a. Veri sorumlusunun ve varsa temsilcisinin kimliği,
b. Kişisel verilerin hangi amaçla işleneceği,
c. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
d. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
e. 11 inci maddede sayılan diğer hakları.
Konularında kişisel verileri işlenecek olan kişinin aydınlatılması gerektiğini belirtmiştir.
6. Kişisel verilerin korunması/güvenliği konusunda veri sorumlusunun yükümlülükleri;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Kişisel verilerin veri sorumlusunun yukarıdaki sorunlulukları kapsamında ve belirtilen usullere aykırı olarak tutulması halinde ilgili kişinin yazılı veya kurulca belirtilen diğer yollarla(örneğin KEP aracılığıyla) yapacağı başvuru sonucu veri sorumlusunun 30 gün içinde ilgili kişiye cevap vermesi veya aykırılığı gidermesi, veriyi silmesi, yok etmesi veya anonim hale getirmesi veya yanlışlığın giderilmesi gerekir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır. Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
· Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır
· Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
· Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.
Kurulunun kanun kapsamında bulunan ve belirtilen konularda yükümlülüklerini yerine getirmeyen veri sorumluları hakkında idari para cezası verme yetkisi bulunmaktadır;
a. Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b. Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c. Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
d. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
Öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. Sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
Kişisel verilerin işlenmesi, aktarılması, silinmesi, yok edilmesi veya anonim hale getirilmesi süreçlerinden birinde veya birkaçında kanuna aykırı hareket edilmesi halinde bu sebeple ilgili kişinin herhangi bir zararı meydana çıkmış ise ilgili kişinin maddi manevi tazminat talep etme hakkı genel hükümlere göre söz konusu olabilecektir.
Aynı şekilde kanunda da belirtildiği gibi kabahatlerin yanı sıra TCK 135 ila 140 maddeleri kanun kapsamında işlenen verilere ilişkin suç teşkil eden hareketleri saymıştır. Bu kapsamda söz konusu maddelerdeki fiilleri işleyenler hakkında ayrıca cezai sorumluluk da doğacaktır.
Görüldüğü gibi kanunun getirdiği sorumluluklar oldukça ağır ve her aşamada kontrolünün sağlanması gereken bir süreci ifade etmektedir. Bu çalışmada kanunun getirdiği sorumluluklar ayrıntılara girilmeden işlenmiş olup konu hakkında daha detaylı bilgi alınması ve sürecin işleyişi hakkında mutlaka konunun uzmanı olan hukukçulardan hukuki yardım alınması tavsiye ederiz. Kapital Hukuk Bürosu VERBİS’e kayıt sürecinde ve kişisel veri işlemlerinizde her aşamada destek olacaktır. İzmir avukat, kişisel verilerin korunmasıyla ilgili gereksinimleri anlamak ve müvekkillerine uygun hukuki danışmanlık sağlamak için uzmanlığını kullanır.
Yazar : Stj. Av. Barış Özkaymak
