Makalede, kişisel verilerin korunmasına ilişkin olarak kişisel verileri işleyen veri sorumlularına getirilen yükümlülükler ile kişisel verisi işlenen kişilerin hakları bilgilendirme mahiyetinde açıklanmaya çalışılacaktır.
1- GİRİŞ
6698 Sayılı Kişisel Verilerin Korunması Kanununda, kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde ifade edilmiştir.
Teknolojinin gelişimiyle birlikte, kişisel verilerin işlenmesi ve paylaşılması uygulaması hız kazanmıştır. Bu husus da beraberinde kişisel veri olarak addedilen bilgilerin korunması hususunu gündeme getirmiştir. Kişisel verilerin korunmasına ilişkin olarak ülkemizde atılan adımların sebebi Avrupa Birliği üyelik sürecinden kaynaklanmaktadır. Türkiye, kişisel verilerin korunması konusunda 80’li yıllarda atması gereken adımları 2010 yılında Anayasa’nın 20. maddesine yapılan, “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” ilave düzenleme ile atmıştır. Bilindiği üzere Anayasadaki düzenlemeler çerçeve düzenlemeler olup bu çerçeve düzenlemelere istinaden asıl ve ayrıntılı uygulama düzenlemeleri Kanun ve daha alt düzenlemeler ile yapılmaktadır.
Anayasada 2010 yılında kişisel verilere ilişkin çerçeve düzenleme yapılmasına karşın asıl uygulamaya ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiş, 2017 yılında da Adalet Bakanlığına bağlı Kişisel Verileri Koruma Kurumu kurulmuştur.
2- HAK VE SORUMLULUK SAHİBİ KİŞİLER
Kanunda, veri sorumlusunun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ettiği belirtilmiştir. Bu noktada veri sorumlusunun yalnızca özel hukuk gerçek ve tüzel kişileri olmadığı, kişisel veri işleyen kamu tüzel kişilerinin de veri sorumlusu sıfatına sahip oldukları, bu nedenle Kanunla veri sorumlusuna verilen yükümlülüklere uymak zorunda olduklarını belirtmek isteriz.
6698 sayılı Kanun ile, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları belirlenmiş ayrıca kişisel verileri koruma altına alınan kişilerin gerçek kişiler olduğu, tüzel kişilere ait bilgilerin bu kanun kapsamında koruma altında olmadığı ifade edilmiştir. Bu nedenle veri sorumlusu olan gerçek ve tüzel kişilerin, verilerini işlediği tüzel kişiliklere karşı 6698 sayılı Kanun kapsamında herhangi bir sorumluluğu bulunmamaktadır. Sorumluluk kişisel verileri işlenen gerçek kişilerle sınırlıdır.
3- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
6698 sayılı Kanun’un “Tanımlar” başlıklı 3. maddesinde, kişisel verilerin işlenmesinin “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,” ifade edeceği ifade edilmiştir. Görüleceği üzere kişisel veri işleme faaliyeti geniş bir yelpazeyi içinde barındırmaktadır.
Kanunda, kişisel verilerin işlenmesinde dikkate alınacak ilkeler hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sıralanmıştır.
Veri sorumlusu kişisel veri işleme faaliyetini yerine getirirken yukarıda belirtilen ilkeleri dikkate almalıdır. Aksi halde, şikayet ya da ihlal nedeniyle re’sen inceleme nedeniyle Kişisel Verileri Koruma Kurulu ile muhatap olunduğunda, kurul kişisel veri işleme faaliyetinin belirtilen ilkeler çerçevesinde yerine getirilip getirilmediğini değerlendirmekte, söz konusu ilkelere aykırılık durumunda idari para cezası uygulamasına gitmektedir.
Kurul kararlarından bu konuda örnek vermek gerekirse,
Bir spor merkezinin üyelerinin giriş-çıkışı konusunda suistimali engellemek amacıyla yaptığı parmak izi uygulaması nedeniyle şikayet üzerine kurul önüne gelen uyuşmazlıkta, parmak izinin biyometrik veri dolayısıyla özel nitelikli kişisel veri olduğu, suistimali önlemek için daha hafif kişisel veri işlemenin(giriş-çıkış kartı gibi)mümkün olduğu, bu haliyle kişisel veri işleme faaliyetinin işlendikleri amaçla bağlantılı,sınırlı ve ölçülü olma ilkesine aykırı olduğu belirtilerek idari para cezasına hükmedilmiştir.(2020/167 sayılı kurul kararı)
Kurulun önüne gelen başka bir uyuşmazlıkta, işverenin, işe giriş çıkış için daha hafif kişisel veri işlemenin(giriş-çıkış kartı gibi)mümkün olduğu, buna karşın parmak izi yöntemi uygulaması yapılmasının kişisel veri işleme faaliyetinin işlendikleri amaçla bağlantılı,sınırlı ve ölçülü olma ilkesine aykırı olduğu belirtilerek idari para cezasına hükmettiği kararı da bulunmaktadır.(2020/404 sayılı kurul kararı)
Yukarıda yapılan açıklama ve verilen örnekler uyarınca, kişisel veri işlenirken(yukarıdaki açıklandığı üzere geniş anlamıyla),işlenen verilerin işlenmesi gerekliliği iyi değerlendirilmeli, Kanun’un 4. maddesinde belirtilen ilkelere uygun olmayan kişisel veri işleme faaliyetinden uzak durulmalıdır.Aksi takdirde,şikayet ya da ihbar üzerine ağır idari para cezası yaptırımları ile karşılaşılması pek muhtemel olacaktır.
4- KİŞİSEL VERİ VE İŞLENME ŞARTLARI
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde ifade edilmiştir. Kimlik bilgisi(ad-soyad tc kimlik numarası),iletişim bilgisi(telefon numarası-adres-e posta),finans bilgisi(banka hesap bilgisi vb.)müşteri işlem bilgisi(fatura vb.) örnek olarak verilebilir.
6698 sayılı Kanun’un 5. maddesinde, kişisel verilerin işlenmesinde ana kuralın kişisel verisi işlenen kişinin açık rızasının bulunması olduğu belirtilmekle birlikte, “Kanunlarda açıkça öngörülmesi, Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,İlgili kişinin kendisi tarafından alenileştirilmiş olması,Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması sebeplerinin” bulunması halinde ilgili kişinin açık rızasının aranmayacağı belirtilmiştir.
Yani yukarıda belirtilen hukuki sebeplerin varlığı halinde bu sebeplere dayanılarak kişisel verileri işleme faaliyeti gerçekleştirilmeli, ilgili kişiden açık rızası istenilmemelidir. Belirtilen sebepler yok ise o zaman Kanun’un 4. maddesinde belirtilen ilkeler de gözetilmek suretiyle ilgili kişinin açık rızası alınması suretiyle kişisel veri işleme faaliyeti gerçekleştirilmelidir.
Örneklendirmek gerekirse,
213 sayılı Vergi Usul Kanununda faturada bulunması gereken bilgiler içinde müşterinin adı-soyadı yer aldığından, fatura düzenlemesi için ilgili kişinin adı-soyadı bilgisinin alınması “kanunlarda açıkça öngörülmesi” hukuki sebebine,
Bir avukatın, faaliyet alanı ile ilgili olarak kimlik ve iletişim bilgisini veri sorumlusuna vermesi halinde(işleme faaliyeti hukuk hizmeti talebi alanında avukatla çalışma olmak şartıyla) “İlgili kişinin kendisi tarafından alenileştirilmiş olması” hukuki sebebine(Bu durumda Kanun’un 28/2-b maddesi uyarınca aydınlatma yükümlülüğü olmayacaktır),
İşerenin, işçisine maaşını ödeyebilmesi için banka hesap bilgisine ilişkin kişisel verisini işlemesi “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hukuki sebebine,
İşçi ile işveren arasında yazılı sözleşme yapılabilmesi için işçinin kimlik bilgisinin işveren tarafından işlenmesi, “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hukuki sebebine,
İşe alım esnasında, işçinin niteliklerini gösteren yabancı dil bilgisi, bilgisayar programları bilgisinin işveren tarafından işlenmesi “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine,
Kaçırılan ya da kayıp kişinin konum bilgisinin işlenmesi, “Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması” hukuki sebebine,
Ticari ilişki içinde bulunulan bir müşterinin fatura bilgisinin zaman aşımı süresince saklanması “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebebine örnek olarak gösterilebilir.
Bir işletmenin müşterisi ya da potansiyel müşterisine, satışını yaptığı ürünlerin reklamını gönderebilmek amacıyla e-posta adresini ya da telefon numarasını işlemesi yukarıda örnekleri verilen hukuki sebepler içinde yer almadığından kişisel verileri işlenen kişilerin açık rızasını almak zorundadır.
Burada kişisel verilerin işlenmesi faaliyetinin açık rıza hukuki sebebi ile diğer hukuki sebeplere dayanması halinde nasıl bir farklılık olacağı hususuna açıklık getirmek gerekmektedir. Bunu birkaç örnek ile izah etmeye çalışacağız.
Kişisel verilerin işlenmesi faaliyetinin, açık rıza dışında hukuki sebeplere dayanması halinde,veri sorumlusunca;
-Kişisel verinin işlenmesinin için ilgilinin açık rızasına(onayına) ihtiyaç duyulmayacaktır.
-Kanun’da getirilen aydınlatma yükümlülüğü(bilgilendirme) yerine getirilecek ayrıca ilgilinin açık rızasının alınmasına gerek kalmayacaktır.
Kişisel verilerin işlenmesi faaliyetinin, açık rıza hukuki sebebine dayanması halinde, veri sorumlusunca;
-Kişisel verinin işlenebilmesi için ilgilinin açık rızasına(onayı) ihtiyaç duyulacak aksi takdirde kişisel veri işlenemeyecektir.
-Kanun’da getirilen aydınlatma yükümlülüğü(bilgilendirme) yerine getirilecek ayrıca ilgilinin açık rızası alınacaktır.
5- ÖZEL NİTELİKLİ KİŞİSEL VERİ VE İŞLENME ŞARTLARI
Özel nitelikli kişisel veri, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına ve mağduriyete sebebiyet verilecek kişisel veriler olarak tanımlanmaktadır.
Özel nitelikli kişisel veriler kanunda açıkça ve sınırlı olarak sayılmıştır. Bu nedenle kanunda sayılı olan bu kişisel veriler dışında özel nitelikli kişisel veri bulunmamaktadır. Kanunda sayılan özel nitelikli kişisel veriler, “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” şeklinde belirlenmiştir.
Özel nitelikli kişisel verilerin işlenmesinde kural ilgili kişinin açık rızasının alınmasıdır. Özel nitelikli kişisel verilerin işlenmesinde açık rızanın istisnası sağlık ve cinsel hayata ilişkin olan dışındakiler için kanunlarda öngörülmesi, sağlık ve cinsel hayat için ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi olarak gösterilmiştir.
Özel nitelikli kişisel verilerin işlenmesi(geniş anlamda) konusunda, meydana gelebilecek sonuçların ilgili kişinin ayrımcılığa tabi olmasına ve ağır hak kaybına sebebiyet verebilecek olması nedeniyle daha dikkatli hareket edilmelidir. Nitekim Kişisel Verileri Koruma Kurulu konunun ehemmiyetine binaen sitesinde, “31.10.2018 tarih ve 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” isimli kararı yayımlamıştır.
Burada son olarak şunu ifade etmekte fayda vardır. Özel nitelikli kişisel verilerin işlenmesinde de aydınlatma yükümlülüğü(bilgilendirme) yerine getirilecek, açık rıza alınmasını gerektiren durumlar için ayrıca ilgili kişinin açık rızası alınacaktır. Açık rızayı gerektiren durumlar için açık rıza alınmadığı sürece kişisel veri işleme faaliyeti gerçekleştirilemeyecektir.
6- KİŞİSEL VERİLERİN AKTARIMI
Makalemizin 3 numaralı başlığında kişisel veri işleme faaliyetinin geniş bir yelpazeyi ifade ettiği, kişisel veri aktarımının da bu yelpazenin içinde olduğu ifade edilmişti.
6698 sayılı Kanunda, kişisel verilerin yurt içi aktarımı ile yurt dışına aktarımı noktasında ayrım yapılmıştır.
Şöyle ki, kişisel verilerin veri sorumlusunca yurt içinde yerleşik üçüncü kişilere aktarımı için ana kural ilgilinin açık rızasının bulunmasıdır. Ancak Kanun’un yukarıda ayrıntılarına yer verdiğimiz 5. maddesinin ikinci fıkrası ve 6. maddesinin üçüncü fıkrasındaki hukuki sebepler mevcut ise açık rızaya gerek yoktur. Aksi halde ilgilinin aktarım için açık rızası alınmalıdır.
Yurt dışında yerleşik üçüncü kişilere aktarımda da ana kural ilgilinin açık rızasının bulunmasıdır. Aktarımın yapılacağı ülkede yeterli korumanın olması, yeterli korumanın olmaması halinde veri sorumlusu ile aktarımın yapılacağı ülkedeki kişilerin yeterli korumayı taahhüt etmesi ve kurulun izin vermesi halinde, Kanun’un 5. maddesinin ikinci fıkrası ve 6. maddesinin üçüncü fıkrasındaki hukuki sebepler mevcut ise açık rızaya gerek olmadan aktarım yapılabilecektir. Aksi halde ilgilinin aktarım için açık rızası alınmalıdır.
Makalenin kaleme alındığı tarih itibariyle, KVK Kurulu tarafından yeterli korumanın olduğu ülkelerin açıklanmamış olması, veri sorumlusu ve aktarım yapılacak kişilerin yeterli korumaya taahhüdüne bağlı iznin zaman alacak olması nedeniyle,yurt dışına aktarım için en kısa yolun ilgilinin açık rızasının olduğu anlaşılmaktadır.
Son olarak şunu da ifade etmekte fayda mülahaza ediyoruz. Gerek yurt içine gerekse yurt dışına aktarım yapılırken Kanun’un 4. maddesinde belirlenen ilkelere uygun hareket edilmelidir.
7- AYDINLATMA YÜKÜMLÜLÜĞÜ VE AÇIK RIZA
6698 sayılı Kanun’un, veri sorumlusuna getirdiği yükümlülüklerden bir tanesi de,kişisel verilerin işlenmesi aşamasında, kişisel verisi işlenen gerçek kişilerin,kişisel verilerinin işlenmesi konusunda bilgilendirilmesine ilişkindir.
Söz konusu bilgilendirme uygulamada aydınlatma metinleri ile yapılmaktadır. Aydınlatma metinlerinde yasal ve asgari olarak bulunması gereken hususlar ise, veri sorumlusunun kimliği, veri işleme amacı, aktarımın kime ve hangi amaçla yapılacağı, veri toplama yöntemi ve hukuki sebebi, ilgilinin 11. maddede sayılan haklarıdır. Sayılan hususlara ilişkin aydınlatma metninde açık ve anlaşılır bir dil kullanılmalı,muğlak ifadelere yer verilmemeli,yanıltıcı ve yanlış bilgiler kullanılmamalıdır.
Aydınlatma yükümlülüğünün yerine getirilmesi için öngörülmüş belli bir şekil yoktur. Ancak aydınlatma yükümlülüğünün yerine getirildiğinin ispat yükü veri sorumlusundadır. Bu nedenle ispat için yazılı ve elektronik belgelerin kullanılmasında ileride bu konuda yaşanılacak uyuşmazlık halinde fayda bulunmaktadır.
Kanunda, idari para cezası öngörülen ihlallerden bir tanesi de aydınlatma yükümlülüğünün yerine getirilmemesidir.2022 yılı için, aydınlatma yükümlülüğünün yerine getirilmemesi hali için öngörülen idari para cezası tutarı Kanun’un 18/1-a maddesi uyarınca 13.391,00 TL-267.883,00 TL arasındadır. Görüleceği üzere skala geniş olup, işletmenin hacmi(çalışan sayısı-mali bilançosu) para cezasının belirlenmesinde önemli bir etken olacaktır.
Veri sorumlusu, kişisel veriyi ilgili kişiden elde etmemesi halinde, makul bir süre içinde ilgilisine karşı aydınlatma yükümlülüğünü yerine getirmelidir.
Aşağıda ayrıntılarına değinileceği üzere VERBİS’e kayıt zorunluluğu bulunan veri sorumlusu için aydınlatma metnindeki bilgiler ile VERBİS’e yapılan kaydın uyumlu olması gerekmektedir.
6698 sayılı Kanun’un tanımlar başlıklı 3. maddesinde, açık rızanın, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade ettiği belirtilmiştir. Yukarıda aydınlatma yükümlülüğünün şekli ve ispatına ilişkin olarak yaptığımız açıklamalar açık rıza için de aynen geçerlidir.
Açık rıza, Kanun’da,kişisel verilerin işlenmesi için belirlenmiş bir hukuki sebeptir.Kişisel verilerin işlenmesinin hukuki sebebinin açık rıza olması halinde,kişisel verinin işlenebilmesi(geniş anlamda) için mutlaka ilgilinin açık rızası alınmalı,aksi halde kişisel veri işlenmemelidir.
Açık rıza hukuki sebebi bulunmamasına karşın, kişisel verinin işlenmesi halinde,durumun şikayet ya da ihlal bildirimi üzerine Kanun’un 18/1-b maddesi uyarınca veri güvenliğine aykırı fiil nedeniyle karşılaşılacak idari para cezası tutarı 2022 yılı için 40.179,00 TL-2.678.863,00 TL arasında olacaktır. Görüleceği üzere skala geniş olup, işletmenin hacmi(çalışan sayısı-mali bilançosu) ve ihlalin boyutu para cezasının belirlenmesinde önemli bir etken olacaktır.
Kanun’da veri güvenliğine ilişkin yükümlülükler,”Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,Kişisel verilerin muhafazasını sağlamak” sağlamak olarak sayılmıştır.
Son olarak şu hususu hatırlatmakta fayda görüyoruz. Hukuki sebebin “açık rıza” olması halinde, aydınlatma yükümlülüğü(aydınlatma metni)yine yerine getirilecek buna ilaveten ayrıca ilgilinin açık rızası alınacaktır. Uygulamanın aydınlatma metni ile açık rıza metninin ayrı metinler olarak hazırlanması, aynı metin içinde olmaması şeklinde olduğu hususuna dikkat edilmesi gerekmektedir.
8- İLGİLİNİN HAKLARI,ŞİKAYET PROSEDÜRÜ VE SONUÇLARI
Kanun’un 11. maddesinde, kişisel verisi işlenen kişilerin hakları, “Kişisel veri işlenip işlenmediğini öğrenme,Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,(d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,” olarak sayılmıştır.
İlgili kişi, Kanun’un uygulanmasına yönelik taleplerini, veri sorumlusuna iletmesine karşın, talebin reddedilmesi, cevabın yetersiz kalması hali ya da cevap verilmemesi hallerinde KVK Kuruluna şikayet yolu ile başvurabilecektir. İlgili kişi verimli sorumlusuna başvurmadan şikayet yoluna gidemeyecektir. Bu husus ön koşuldur. Veri sorumlusuna, ilgili kişinin istemine yanıt verilmesi için 30 günlük süre verilmiştir. Yanıtın 30 gün içinde verilmesi ve bu süre içinde öğrenme halinde, öğrenme tarihinden itibaren 30 gün içinde, yanıtın 30 günlük süreden sonra verilmesi ya da 30 günlük süre içinde yanıt verilmemesi halinde, veri sorumlusuna başvuru tarihinden itibaren 60 günlük süreyi geçirmeden KVK Kuruluna başvurulmalıdır. Aksi takdirde talep dikkate alınmayacaktır.
Gerek ilgili kişinin veri sorumlusuna yapacağı başvurunun gerekse veri sorumlusunun ilgili kişiye vereceği yanıtın Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Yönetmeliğin 5 ve 6. maddesinde yer alan bilgileri taşımasına dikkat edilmelidir.
Kurul, usulüne uygun olarak yapılmış şikayet başvurusu üzerine, veri sorumlusunun da savunmasını almak suretiyle durumu değerlendirecektir. Yaptığı değerlendirme sonucunda,
- İhlalin olmadığı tespitini yapmak suretiyle şikayet başvurusunun reddine,
- İhlalin varlığının tespiti halinde, veri sorumlusunun ihlali gidermesine,
- İhlalin varlığının tespiti halinde, veri sorumlusuna idari para cezası verilmesine,
- Hukuka açıkça aykırılık ve telafisi güç ve imkansız zararların doğması halinde veri işleme faaliyetinin durdurulmasına karar verebilir.
Kurulun 60 gün içinde, şikayet başvurusuna cevap vermemesi halinde şikayet talebi reddedilmiş sayılacaktır.
KVK Kurulunca verilen kararların, veri sorumlusunca yerine getirilmemesi halinde karşılaşılacak idari para cezası tutarı Kanun’un 18/1-c maddesi uyarınca 2022 yılı için 66.965,00 TL-2.678.863,00 TL arasında olacaktır. Görüleceği üzere skala geniş olup, işletmenin hacmi(çalışan sayısı-mali bilançosu) para cezasının belirlenmesinde önemli bir etken olacaktır.
6698 sayılı Kanun’da KVK Kurulu kararlarına karşı gidilebilecek yargı yoluna ilişkin bir açıklama bulunmamaktadır.
Bize göre,
KVK Kurulunca verilecek idari para cezalarına karşı, eylemin kabahat niteliğinde olması nedeniyle Kabahatler Kanunu uyarınca Sulh Ceza Hakimliklerine itiraz edilmesi,
KVK Kurulunun şikayet dilekçesini yanıtsız bırakması,şikayet talebinin reddine karar vermesi ve hukuka açıkça aykırılık ve telafisi güç ve imkansız zararların doğması halinde veri işleme faaliyetinin durdurulmasına yönelik kararlarının idari işlem niteliğinde olduğu, bu nedenle bu işlemlere karşı,işlemi tesis eden KVK Kurulunun bulunduğu Ankara İdare Mahkemelerinde dava açılması gerekmektedir.
9- VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ-VERBİS
Yukarıdaki başlığa kadar olan açıklamalar, kişisel verileri sistematik olarak işleyen bütün veri sorumluları için geçerli olup bu başlık altında ise belirli özelliklere sahip veri sorumluları için getirilmiş veri sorumluları sicil bilgi sistemine kayıt zorunluluğundan bahsedilecektir.
6698 sayılı Kanun’un 16. maddesinde, kamuya açık olmak üzere veri sorumluları sicili tutulması hüküm altına alınmıştır. Bu doğrultuda kısa adı VERBİS olan veri sorumluları sicil bilgi sistemi kurulmuştur.
Bu sisteme zorunlu olarak kaydolması gerekenler,
a) Yıllık çalışan sayısı 50’den fazla olanlar ile yıllık mali bilanço toplamı 25.000.000,00 TL’den fazla olan gerçek ve tüzel kişiler,
aa) Yıllık işçi sayısı konusunda ölçü bir önceki yıl olacaktır. Bir önceki yılda 7 ay ve üzeri ayda, çalışan sayısı 50’nin üzerinde ise VERBİS kayıt zorunluluğu olacak(ardışık olmak zorunda değil),aksi halde zorunluluk olmayacaktır.
ab) Yıllık mali bilanço konusunda da ölçü bir önceki yıl olacaktır. Yıllık bilanço toplamı ise, bilanço usulüne göre defter tutanların verdikleri gelir ya da kurumlar vergisi beyannamesi ekinde yer alan bilançoda yer alan “aktif ya da pasifteki” toplamı ifade etmektedir.
b) Yıllık çalışan sayısı 50’den az olanlar ile yıllık mali bilanço toplamı 25.000.000,00 TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler,
c) Kamu Kurum ve Kuruluşlarıdır.
İlk etapta sicile kaydolma zorunluluğu olanlar için son kayıt tarihi sırasıyla 30.09.2019-31.03.2020-30.06.2020 olarak belirlenmiş, veri sorumlularının talepleri ve Kovid salgını nedeniyle birkaç kez ötelenmiş ve son olarak hepsi için 31.12.2021 olarak belirlenmiştir.
Belirtilen tarihe kadar sicile kayıt zorunluluğu olmamakla birlikte sonradan kayıt zorunluluğu doğanlar bu zorunluluğun doğduğu tarihten itibaren 30 gün için kayıt olmak zorundadırlar.
Sicile kaydolmaları gerekmekle birlikte sicile kaydolmayan “Yıllık çalışan sayısı 50’den fazla olanlar ile yıllık mali bilanço toplamı 25.000.000,00 TL’den fazla olan gerçek ve tüzel kişiler” ile “Yıllık çalışan sayısı 50’den az ile yıllık mali bilanço toplamı 25.000.000,00 TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler” için karşılaşılacak idari para cezası tutarı Kanun’un 18/1-d maddesi uyarınca 2022 yılı için 53.572,00 TL-2.678.863,00 TL arasında olacaktır. Görüleceği üzere skala geniş olup, işletmenin hacmi(çalışan sayısı-mali bilançosu) para cezasının belirlenmesinde önemli bir etken olacaktır. Kamu Kurum ve Kuruluşları için ise idari para cezası uygulaması söz konusu olmayıp,yapılacak işlem kurum amiri hakkındaki disiplin işlemidir.
VERBİS’e girilmesi gereken bilgiler, “Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,Kişisel verilerin hangi amaçla işleneceği,Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,Yabancı ülkelere aktarımı öngörülen kişisel veriler,Kişisel veri güvenliğine ilişkin alınan tedbirler,Kişisel verilerin işlendikleri amaç için gerekli olan azami süre” olarak belirlenmiş olup bunlarda meydana gelecek değişiklikler 7 gün içinde bildirilmelidir.Burada şu hususu açıklık getirmek istiyoruz. Şöyle ki,VERBİS’e kayıtta girilecek veriler,kişisel verileri işlenmiş olan kişilere ait veriler değil,veri sorumlularının işlemekte oldukları verilerin sadece üst başlıklar halinde kategorik bazdaki bilgiler olacaktır.Örnek vermek gerekirse, bir şirket, şirketi ziyarete gelen gerçek kişilere aydınlatma yükümlülüğünü yerine getirmek suretiyle ad, soyad, telefon numarası, TC kimlik numarası, plaka numarası gibi bazı kişisel verilerini işlemektedir. Bu durumda VERBİS’e; gerçek kişiye ait ad, soyad, telefon numarası, TC kimlik numarası, plaka numarası gibi verileri değil bunların üst kategorisi olan ve zaten VERBİS’te de seçimlik alan olarak yer alan “kimlik kategorisi” ve “iletişim kategorisi” işlediğine dair bilgi girişi yapacaktır. Belirtilen durum nedeniyle, VERBİS’e kaydı yapılan bilgiler kamuya açık tutulmaktadır.
KVK Kurulu, 6698 sayılı Kanun’un 16/2. maddesinde kendisine tanınan yetki çerçevesinde,aşağıda belirtilen durumda olanları, VERBİS’e kayıt yükümlülüğünden istisna tutmuştur.
a) Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
b) 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler,
c) 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
ç) 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler,
d) 19/03/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
e) Gümrük müşavirleri,
f) Arabulucular,
g) 01/06/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,
ğ) Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar,
KVK Kurulu tarafından, kendilerine VERBİS’e kayıt konusunda istisna getirilenlerin, Kanunda belirtilen diğer yükümlülükleri yerine getirme zorunluluklarının devam ettiği bilinmelidir.
Ayrıca Kanun’un 28/1 ve 2. fıkralarında belirtilen durumlarda VERBİS’e kayıt yükümlülüğü bulunmamakta olup bu durumlar bir sonraki başlık altında izah edilecektir.
VERBİS’e kayıt zorunluluğu bulunmayan veri sorumluları da isteğe bağlı olarak VERBİS’e kayıt olma imkanına sahiptirler.
VERBİS’e kayıt zorunluluğu bulunanların, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlama yükümlülüğü de bulunmaktadır.
10- İSTİSNALAR
6698 sayılı Kanunda iki tür istisnadan bahsedilmiştir. Bunlardan birincisi tam istisna hali olup aşağıda belirtilen durumların varlığı halinde 6698 sayılı Kanun hükümlerinin hiç uygulanamayacağını hükme bağlamıştır.
a)Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
İkinci durum ise kısmi istisna halini öngörmekte olup bu durumda ise aşağıda belirtilen durumların varlığı halinde, veri sorumlularının, VERBİS’e kayıt zorunluluğu ve aydınlatma yükümlülüğü bulunmamaktadır. Ayrıca bu durumda kişisel verileri işlenen kişilerin Kanun’un 11. maddesinde belirtilen (zararın giderilmesini talep etme hakkı hariç)haklarını kullanma imkanı bulunmamaktadır. Söz konusu durumlar;
a)Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması, hallerini içermektedir.
11- SONUÇ
6698 sayılı Kişisel Verilerin Korunması Kanunu ile, kişisel verileri sistematik olarak işleyen(geniş manada) veri sorumlusu gerçek ve tüzel kişilere sorumluluklar getirilmiş, kişisel verileri işlenen gerçek kişilere bazı istisnalar dışında kişisel verilerinin korunması konusunda koruma sağlanmıştır.
