“Kişisel Veri” ve “Veri Sorumlusu” Nedir?

2016 yılında Avrupa Birliği uyum süreci kapsamında kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile birlikte hayatımıza giren ‘kişisel veri’ kavramı KVKK kapsamında kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu tanımdan yola çıkarak, bir gerçek kişiye ilişkin her türlü bilginin kişisel veri olduğunu söylemek doğru olacaktır. Daha açık bir tabirle, gerçek kişiye ait her nevi kimlik verisi, görüntüsü, ikametgâhı, mesleği vb. kişiyle ilgili her şey kişisel veri olarak tanımlanır. Kişisel verilerin korunması ise söz konusu gerçek kişinin temel hak ve özgürlüklerinin korunması maksadıyla kanun tarafından getirilen veri korumasını ifade eder. Bu amaçla, Kişisel Verilerin Korunması mevzuatı kişisel verileri işleyen ‘veri sorumlusu’na birtakım ödevler öngörmüştür. KVKK tanımına göre veri sorumlusu, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir”. Veri sorumlusu gerçek kişi olabileceği gibi şirket tüzel kişiliği, özel nitelikli kişisel veri işleyen doktor muayenehaneleri, tıp merkezleri, eczaneler, klinikler, diş hekimleri, kamu kurum ve kuruluşları da olabilecektir.

Veri işleme süreci Veri Sorumlusu tarafından kişisel verilerinin toplanması, saklanması, işlenmesi ve imha edilmesini kapsayan bir süreçtir. Bu KVKK uyum süreci kapsamında veri sorumlusunun yapması gereken birtakım yükümlülükler vardır.

Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir.

Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.

Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir.

Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde mümkündür:

·       Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,

• Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında;

Muayenehaneler, özel nitelikli veri işleyen kuruluşlar kapsamındadır. Bu sebeple de; Kanun ve Kişisel Verileri Koruma Kurumu (“Kurum”) kararlarına göre, Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) kayıtlarını tamamlamış olmaları gerekmektedir. İşbu yükümlülüğün yerine getirilmemesi durumunda Kurum tarafından idari para cezası uygulanması durumu ile karşı karşıya kalacaksınız.

Uyum sürecinin gerçekleştirilmemesi halinde Kurum’un uyguladığı yaptırımlar şu şekildedir: Kabahatlere bağlı olarak uygulanacak idari para cezaları aşağıdaki şekildedir:

·           Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.834 TL’den 196.686 TL’ye kadar,

• Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.503 TL’den 1.966.862 TL’ye kadar,

• Kurul tarafından verilen kararları yerine getirmeyenler hakkında 49.172 TL’den 1.966.862 TL’ye kadar,

• Veri Sorumluları Sicili (VERBİS) kayıt ve bildirim yükümlülüğünü yerine getirmeyenler hakkında 39.337 TL’den 1.966.862 TL’ye

İkinci olarak suç teşkil eden kişisel veri ihlalleri için birtakım hapis cezaları da öngörülmüştür. KVKK, bu suçlar için Türk Ceza Kanunu’nun 135. ila 140. Maddelerinin uygulanacağını düzenlemiştir. Buna göre hapis cezaları aşağıdaki durumlarda söz konusu olacaktır:

·            Kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu, 1 yıldan 3 yıla kadar hapis cezası verilebilmekte olup bu ceza TCK 135/2 kapsamında yarı oranında arttırılabilmektedir.

• Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu, 2 yıldan 4 yıla kadar hapis cezası

• Kişisel verileri yok etmeme suçunun işlenmesi halinde 1 yıldan 2 yıla kadar hapis cezası

Bu cezaların kümülatif olduğu unutulmamalıdır.

Arslantürk Avukatlık Bürosu olarak, müvekkillerimize Kanun’a uyum sürecinin yönetilmesi konusunda danışmanlık hizmeti vermekteyiz. Tüm uyum sürecinin yönetilmesi, hastalardan açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi için tüm dokümantasyonun hazırlanması ve muayenehaneniz nezdinde çalışan, yetkililere eğitimlerin verilmesinin yanı sıra, VERBİS kaydının tamamlanabilmesi için tarafımızdan veri envanteri hazırlanacaktır. Kişisel veri envanteri, işlenen kişisel veriyi kategorize ederek veri işleme sürecinde takip edilen adımların ve veri işleme sürecine ilişkin detaylı bilgi girişinin yapıldığı tablolardır. Arslantürk Avukatlık Bürosu olarak, müvekkillerimize Kanun’a uyum sürecinin yönetilmesi ve tamamlanması konusunda danışmanlık hizmeti vermekte ve tüm süreci sizler için tamamlamaktayız.

Konu ile ilgili daha detaylı bilgi ve danışmanlık hizmeti almak istemeniz durumunda telefon numaralarımızdan veya e-posta aracılığı ile bizlerle iletişime geçebilirsiniz.

Sağlıklı günler dileriz, Saygılarımızla.