6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK/Kanun”) 07.04.2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Avrupa Birliği’nin 95/46/EC direktifine uygun şekilde kişisel verilere dair çerçeve bir düzenleme getirmeyi amaçlayan kanun hem özel sektör hem de kamu sektörü için kişisel verilerin korunması ve işlenmesine dair süreçler ile yükümlülükleri düzenlemektedir.

Kanun uyarınca, kanunun yayım tarihinden önce işlenmiş olan kişisel verilerin kanun ile uyumlu hale getirilmesi ve hükümlerine aykırı olduğu tespit edilen kişisel verilerin derhal silinmesi, yok edilmesi veya anonim hâle getirilmesi için 2 yıllık süre öngörülmüştür. Kanun’a uyum için öngörülen söz konusu 2 yıllık süre 7 Nisan 2018’de dolmuştur. Bu bağlamda, esasen kanun kapsamında bir veri sorumlusu olarak nitelenen şirketlerin de bu tarih itibariyle kanuna uyumlu olarak veri işleme faaliyetlerini yürütüyor olması gerekmektedir.

Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz “Kişisel Verileri Koruma Kurumu” kurulmuştur. Kurumun karar organı sıfatıyla kurul, bu kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir. Aynı zamanda bu yetkileri kullanmak üzere 9 üyeden oluşan bir kurulun da kurulması kanun ile öngörülmüştür. Kurum ilgili kişinin şikâyeti üzerine harekete geçmekte ve kanunda öngörülen yükümlülüklere uymayan veri sorumlularına 4,5 yıla kadar hapis ve 2.678.863,00 TL’ye ulaşan para cezasına hükmedebilmektedir. Bu idari para cezaları yeniden değerleme oranları ile her yıl yeniden hesaplanarak artırılmaktadır.

Bu noktada öncelikle KVKK kapsamında yer alan önemli unsurların tanımlarına değinmek gerekmektedir.

Veri sorumlusu ise, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin olacaktır.

Kişisel verilerin işlenmesi bakımından KVKK’nın 5. maddesinde yer alan ana kural kişisel veri sahibinin yani kanunun tanımı ile ilgili kişinin açık rızasının alınmasıdır:

• Kanunlarda açıkça öngörüldüyse, yani bir başka kanundan dolayı o veriyi işlemeniz zorunluysa,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise, örneğin kişi acil durumda ambulans çağırdığında verilerinin işlenmesi,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde, örneğin iş sözleşmesinin ifası amacıyla çalışandan elde edilen kişisel veriler,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması halinde,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, örneğin ilgili kişinin hakkına zarar vermeden şirkette güvenliğin sağlanabilmesi için kamera kaydı alınması

Koşullarından biri mevcut değil ise kişisel verilerin işlenebilmesi için açık rıza alınması gerekmektedir.

Veri sorumlularının kişisel verileri işleme faaliyetleri bakımından düzenli denetime tabi tutulabilmeleri amacı ile kural olarak Türkiye’de yerleşik tüm veri sorumluları, Kişisel Verileri Koruma Kurumu nezdinde tutulan Veri Sorumluları Sicili (VERBİS)’ne kayıt olmakla yükümlüdürler. KVKK uyarınca veri sorumluları, kurul tarafından belirlenen ve ilan edilen süre içinde, yine kurul tarafından belirlenmiş olan nitelik ve niceliğe sahip veri sorumluları, Veri Sorumluları Sicili’ne (VERBİS) kayıt yaptırmak zorundadır.

Verilen yetki çerçevesinde Kurul; aşağıda yer verilen veri sorumlularını VERBİS’e kayıt yükümlülüğünden muaf olarak ilan etmiştir:

1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler
2. Noterler
3. Dernek, vakıf ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler
4. Siyasi partiler
5. Avukatlar
6. Serbest muhasebeci mali müşavirler ve yeminli mali müşavirler
7. Gümrük müşavirleri
8. Arabulucular
9. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar.

Kurul’un yayımladığı duyuruya göre;

• 2021 yılı 12 ayın 7 ayında çalışan sayısı 50’den fazla ise VERBİS kayıt süresi 30.01.2022 tarihinde,
• 2021 yılı mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğü “VERBİS” ise 30.05.2022 tarihinde dolmaktaydı.

KVKK Uyum Projeleri ile mevcut iş süreçleri bakımından bir kültür değişimi yaşanması ve kişisel verilerin işlenmesi ile ilgili süreçler açısından çalışanlarda bir farkındalık ve hassasiyet gelişmesi hedeflenmektedir. Bu gelişim de ancak süreçlerin ilgili mevzuatlara uyumunun sağlanması ve farkındalığın yükseltilmesi ile söz konusu olabilecektir.

Av. Gökçenur Bilgin, MBA

6698 Kişisel Verilerin Korunması KVKK Resmî Gazete’de