“Kişisel Veri” Ve “Veri Sorumlusu” nedir?

2 Ocak 2020

“Kişisel Veri” Ve “Veri Sorumlusu” nedir?
2016 yılında Avrupa Birliği uyum süreci kapsamında kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile birlikte hayatımıza giren ‘kişisel veri’ kavramı KVKK kapsamında kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu tanımdan yola çıkarak, bir gerçek kişiye ilişkin her türlü bilginin kişisel veri olduğunu söylemek doğru olacaktır. Daha açık bir tabirle, gerçek kişiye ait her nevi kimlik verisi, görüntüsü, ikametgâhı, mesleği vb. kişiyle ilgili her şey kişisel veri olarak tanımlanır. Kişisel verilerin korunması ise söz konusu gerçek kişinin temel hak ve özgürlüklerinin korunması maksadıyla kanun tarafından getirilen veri korumasını ifade eder. Bu amaçla, Kişisel Verilerin Korunması mevzuatı kişisel verileri işleyen ‘veri sorumlusu’na birtakım ödevler öngörmüştür. KVKK tanımına göre veri sorumlusu, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir”. Veri sorumlusu gerçek kişi olabileceği gibi şirket tüzel kişiliği, kamu kurum ve kuruluşları da olabilecektir.

Veri işleme süreci Veri Sorumlusu tarafından kişisel verilerinin toplanması, saklanması, işlenmesi ve imha edilmesini kapsayan bir süreçtir. Bu KVKK uyum süreci kapsamında veri sorumlusunun yapması gereken birtakım yükümlülükler vardır.

Veri Sorumlusunun Yerine Getirmesi Gereken Yükümlülükler
Aydınlatma Ve Açık Rıza
İlk olarak, veri sorumlusu işlediği kişisel veriler kapsamında gerekli aydınlatmaları yerine getirmekle yükümlüdür. Veri sorumluları işledikleri her veri için ilgili kişi ve kişilere aydınlatmada bulunması gerekmektedir. İlgili kişi duruma göre çalışanlar, müşteriler, tedarikçiler, iş ortakları, ziyaretçiler ve kişisel verinin bir şekilde temas ettiği herhangi kişi/kişiler olabilecektir. İlgili kişilere mevzuat kapsamında usulüne uygun olarak aydınlatmanın yapılması gerekmektedir. Öte yandan KVKK’ya göre kişisel veriler ilgili kişinin açık rızası olmadan işlenemez. Açık rıza kanun kapsamında “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir. Ancak kanunun 5. Maddesinin ikinci fıkrasında sayılan istisnai hallerin varlığı halinde açık rıza aranmasına gerek olmayacaktır. Bununla birlikte birtakım veriler ise kanun kapsamında özel nitelikli kişisel veriler olarak ifade edilmiştir. Özel nitelikli kişisel verilerin işlenmesi için ise ilgili kişinin açık rızasının alınması gerekmektedir. Özel nitelikli kişisel veriler istisnalara sokulamamaktadır. Bu sebeple söz konusu özel nitelikli kişisel veriler olduğunda her zaman açık rıza almak gerekecektir.

Envanter Hazırlama

Veri sorumlusunun yükümlülüklerinden bir diğeri ise kişisel veri envanteri hazırlamaktır. Kişisel veri envanteri, işlenen kişisel veriyi kategorize ederek veri işleme sürecinde takip edilen adımların ve veri işleme sürecine ilişkin detaylı bilgi girişinin yapıldığı tablolardır. Kişisel veri envanteri sayesinde kişisel veri işleme süreci sistematize edilir.

Kişisel Verileri Saklama, Süre Sonunda Silme Ve İmha Etme
Veri sorumlusu, ilgili kişilerden topladığı kişisel verileri belirli amaçlarla işlemek için toplar, belirli süreyle saklar ve işleme amacı gerçekleştikten sonra imha etmekle yükümlüdür. Toplanan ve işlenen verilerin hiçbir sebep olmaksızın uzun süre saklanması KVKK’ya ayrılık teşkil edecektir. Amaçla bağlılık söz konusudur. Bu sürece ilişkin veri sorumlusu kişisel veri saklama ve imha politikası hazırlamakla da yükümlüdür. Hazırlanacak olan politika veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikadır.

VERBİS’e Kayıt Zorunluluğu
En önemli hususlardan biri VERBİS’e kayıt zorunluluğudur. VERBİS; Veri Sorumluları Sicil Bilgi Sistemi, KVKK kapsamında belirli birtakım halleri sağlayan veri sorumlularının kayıt olması gerek sistemdir. Aşağıdaki şartları sağlayan veri sorumlularının Kişisel Verilerin Korunması Kurumu tarafından ilan edilen tarihlere kadar VERBİS’e kayıt zorunluluğu vardır:

Kişisel Verilerin Korunmasına İlişkin Tedbirler Alma Yükümlülüğü
KVKK’nın kurumlara yüklediği bir diğer önemli yükümlülük; kişisel verilerin güvenliğine ilişkin tedbirler alma yükümlülüğüdür. Bu tedbirler idari ve teknik olarak ikiye ayrılmaktadır. İdari tedbirler Hukuk ve İnsan Kaynaklan alanında yapılacak sözleşme revizeleri, aydınlatma metinlerinin düzenlenmesi, taahhütnamelerin düzenlenmesi, politika ve prosedürlerin oluşturulması, eğitimlerin verilmesi gibi süreçleri kapsamaktadır. Teknik tedbirler ise Bilgi Teknolojileri alanında yapılacak şifreleme, loglama, anti-virüs yazılımları kullanılması vb. süreçler çerçevesinde alınabilecek önlemleri kapsamaktadır.

İlgili Kişilerin Bilgi Alma Taleplerinin Cevaplanması
Kişisel verileri işlenen ilgili kişiler her zaman veri sorumlusuna başvurarak işlenen verileri hakkında bilgi alma hakkına sahiptir. İlgili kişi, veri sorumlusunun kendisine sağladığı başvuru yöntemleri ile bilgi alma talebinde bulunacaktır. Bu durumda veri sorumlusu, ilgili kişiler için bilgi alma başvuru talep formu hazırlamakla yükümlüdür.

Ayrıca yapılan başvurular neticesinde veri sorumlusuna yöneltilen soruları da 30 gün içerisinde cevaplamak durumundadır. Bununla birlikte Kişisel Verilerin Korunması Kurumu’nun verdiği her türlü karara da uymakla mükelleftirler.

Veri Sorumlusunun Kişisel Verilerin Korunması Kanunu Kapsamında Yükümlülüklerinin Yerine Getirilmemesi Halinde Uygulanacak Yaptırımlar

Yukarıda bahsedilen yükümlülüklerin yerine getirilmemesi halinde ihlal gerçekleşmiş olacak ve ihlali gerçekleştiren kişiler iki tür yaptırım ile karşı karşıya kalacaklardır. Bunlar ilki idari para cezalarıdır. Aynı zamanda, Kanunda bu yaptırım 18. madde kapsamında “Kabahatler” olarak anılmıştır.

Kabahatlere bağlı olarak uygulanacak idari para cezaları aşağıdaki şekildedir:

Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk Lirasına kadar,
Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar,
Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk, lirasından 1.000.000 Türk Lirası’na kadar,
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar öngörülmüştür.

Belirtilen eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

İkinci olarak suç teşkil eden kişisel veri ihlalleri için birtakım hapis cezaları da öngörülmüştür. KVKK, bu suçlar için Türk Ceza Kanunu’nun 135. ila 140. Maddelerinin uygulanacağını düzenlemiştir. Buna göre hapis cezaları aşağıdaki durumlarda söz konusu olacaktır:

Kişisel verilerin hukuka aykırı olarak kaydedilmesi,
Kişisel verileri hukuka aykırı olarak verme veya ele geçirme,
Kişisel verileri yok etmeme.

Yukarıda sayılan hallerin suç olması sebebiyle hapis cezaları öngörülmüş ve suçun niteliğine bağlı olarak 1 yıldan 4 yıla kadar suçu işleyen kişi hapis cezasına çarptırılabilecektir.

DERNEK, VAKIF VE SENDİKALARIN KVKK KAPSAMINDA YÜKÜMLÜLÜKLERİ HAKKINDA

Gelir İdaresi Başkanlığı’nın (GİB) 24.03.2020 Tarihli “Koronavirüs Salgınından Etkilenmeleri Nedeniyle Beyanları Uzatılarak Ödemeleri Ertelenen Mükellefler Hakkında” Duyurusu

Elektrikli Araçlar Şarj Hizmeti Yönetmeliği