KİŞİSEL VERİLERİN KORUNMASI HUKUKU

1. Kişisel Verilerin Korunması Hukukunun Gelişimi:

Teknolojinin gelişmesiyle birlikte özel hayatın gizliliği ilkesi gereği, kişisel verilerin kaydedilmesi, Paylaşılması ve korunmasında yasal düzenlemelere ihtiyaç duyulmuştur.

Avrupa’da bu konuda çalışmalar 1953 yılında başlamış, 1970 yılında kişisel verilerin korunmasına ilişkin ilk yasal düzenleme yapılmış ve sonraki yıllarda bu alanda birçok hukuki metin oluşturulmuştur.

AB, OECD, BM gibi birçok Uluslararası kuruluş, Kişisel Verilerin Korunmasına ilişkin tavsiye kararları almış, Türkiye’nin de taraf olduğu birçok sözleşme imzalanmıştır.

Avrupa Konseyi tarafından 1981 yılında imzaya açılan “108 No’lu kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” 1985 yılında yürürlüğe girmiş, Türkiye aynı yıl imza koymuştur. 1985’ten bu tarafa Türkiye, aynı kapsamda imzalanan birçok protokole imza koymuştur.

Ülkemizde 2000 yılından beri Kişisel Verilerin Korunması ile ilgili yasal düzenleme çalışmaları yapılmaktadır.

Ülkemizde Kişisel Verilerin Korunması ile ilgili yürürlüğe giren ilk yasal düzenleme; 2004 yılında kabul edilen 5237 Sayılı Türk Ceza Kanunun 135. – 140. maddeleridir. Bu düzenleme ile ; kişisel verilerin korunması kapsamında, hukuka aykırı olarak kaydedilmesi, aktarılması ve yok edilmemesine hapis cezası öngörülmüş olup ilgili cezai hükümler halen yürürlüktedir. Ancak Kişisel Verilerin Korunması Kanunu uzunca bir süre çıkmadığı için, ilgili ceza maddeleri uygulama alanı bulamamıştır. 

2010 yılında yapılan Anayasa Değişikliği ile Kişisel Verilerin Korunması, Anayasal bir hak olarak anayasamıza girmiştir. (AY m.20)

1985 yılında imza koyduğumuz Avrupa Konseyi 108 No’lu sözleşmesi 2016 yılında TBMM’nde kabul edilerek iç hukuk haline getirilmiş ve yine aynı yıl 6698 sayılı Kişisel Verilerin Korunması Kanunu TBMM’de kabul edilerek yürürlüğe girmiş, bu konuda hukuki altyapı tamamlanmıştır.

2. Kişisel Verilerin Korunması Hukukuna İlişkin Genel Yaklaşım

Bir kişiyi diğer insanlardan ayıran her türlü veri, kişisel veridir. Bir kişinin adı soyadı da kişisel veridir. İletişim bilgisi de kişisel veridir. Fotoğrafı, videosu, banka bilgileri vs hususlarda kişisel veridir.

Sağlık Raporu, dernek ya da parti üyeliği, sabıka kaydı, ailevi durumu gibi veriler özel nitelikli kişisel verilerdir.

Kişisel Verilerin hukuka uygun işlenmesini ve korunmasını istemek Anayasada herkese tanınmış bir haktır. Bu nedenle Hukuk sistemi kişisel veriyi işleyen veri sorumlusuna bazı yükümlülükler yüklemiş, ihlali durumunda idari ve cezai bazı yaptırımlar getirmiştir.

Bu konunun daha iyi anlaşılabilmesi için unutulmaması ve sürekli hatırda tutulması gereken bir hususa dikkat çekmek istiyoruz.

Hukuk sistemlerindeki yasal düzenlemelerde bir şeyin serbest olduğu yazmaz. Yasak olan hususlar yazılır. Bir fiil kanunda açıkça yasaklanmamış ise serbesttir. Hukuka uygundur. Ancak Kişisel Verilerin Korunması hukukunda, Kanunda açıkça serbest olduğu belirtilmiyorsa yasaktır.

Aşağıda izah edeceğimiz üzere; Her bir kişisel verinin; kaydedilme amacı, hukuki sebebi ve saklanma süreleri farklıdır. Bazı işletmeler, aynı kişi ile ilgili hem özel nitelikli kişisel veriyi hem de genel nitelikli kişisel veriyi kaydettiği ve sakladığı için her verinin, veri envanterinde ayrı başlık altında tasniflenmesi ve saklanması gerekecektir.

Genel bir bakış açısı oluşturması bakımından örnek olay üzerinden konuyu anlatacak olursak;

50 kişiden fazla işçi çalıştıran bir özel Okul, Sicile kaydolma ve Envanter oluşturma zorunluluğu bulunan bir veri sorumlusudur. Öğrencilere, velilere, çalışanlara ve iş yaptığı 3. kişilere ilişkin her kişisel veriyi kanunun aradığı şekilde kaydetmek, aktarmak, korumak ve nihayetinde silmek/yok etmek ile mükelleftir.

Özel Okul veli kategorisi başlığında kayıtlı olan velinin ev adresinin yazılması genel nitelikli kişisel veri iken, anne babanın boşandığı ya da babanın hastalığının kaydedilmesi özel nitelikli kişisel veridir. 

Veli ve Öğrenci bilgilerinin MEB ile paylaşılması, Okul servisi ile ya da yayın firması ile paylaşılması, kişisel verilerin aktarılması ya da paylaşılması işlemi olup ayrı bir veri işleme faaliyetidir.  

Özel Okul’un çalıştırdığı personelin özlük dosyasında hem genel nitelikli hem de özel nitelikli kişisel veriler mevcuttur. Her bir kişisel Veri bilgisi, (adres, TC kimlik, Sağlık Raporu, Sabıka Kaydı, Banka İBAN Bilgileri, Çocuk sayısı vs.) ayrı ayrı değerlendirilerek kaydedilecektir.

Yine okulun bahçesinde ya da koridorlarında kamera kaydının yapılması kişisel verinin kaydedilmesi olup Kişisel Veri işleme süreçlerinin tamamının gözetilmesi gerekmektedir.  Aynı şekilde bir öğrencinin fotoğrafının sosyal medyada ya da işletmenin internet sitesinde veya kataloğunda paylaşılması veri paylaşımı olup kişisel veri süreçlerinin gözetilmesi gerekecektir.

3. Anayasal Bir Hak Olarak Kişisel Verilerin Korunması

Anayasamıza göre;

• Kişisel Verilerin açık rıza ya da kanunun öngördüğü hallerde işlenebileceği,
• Herkesin Kişisel Verilerinin korunmasını isteme hakkına sahip olduğu,
• Herkes kendisi ile ilgili Kişisel Veriler Hakkında;
• Bilgilendirilme
• Verilere erişme
• Düzeltilmesini ya da silinmesini isteme
• Kaydedilme amaçlarına uygun kullanılıp kullanılmadığını öğrenme hakkına sahiptir.

4. Kişiler Verilerin Korunması Kurumunun Kurulması

2016 yılında kabul edilen 6698 Sayılı Kişisel Verilerin Korunması Kanununun yürürlüğe girmesi ile, Kişisel Verilerin Korunması Kurumu kurulmuş, kanunun uygulanması için Kurum tarafından; Yönetmelikler, Tebliğler ve rehberler hazırlanmıştır.

Özel hukuk kişilerinin tamamı ve kamu kurumları bu kanun kapsamında olup Kurum tarafından denetlenmektedir. Şikayet üzerine veya re’sen yapılacak denetimlere esas olmak üzere;  Veri Sorumlusu kabul edilen işletmeler ve kurumların tespiti ve ellerindeki kişisel verilere ilişkin detayların belirlenmesi amacıyla kurum tarafından VERBİS sistemi oluşturulmuştur.

5. VERBİS Sistemine kaydolması ve Envanter oluşturması gereken kişiler
6. 50 kişiden fazla personel çalıştıran veya yıllık cirosu 25.000.0000 TL’den fazla olan tüm gerçek ve tüzelkişiler ve de kamu Kurumları
7. Ana faaliyet alanları itibariyle Özel nitelikli Kişisel Verileri kaydeden ya da paylaşan gerçek ve tüzelkişiler (Hastane, Poliklinik, Muayenehane gibi)

Bu kişilerin VERBİS sistemine kayıt yaptırarak, elindeki kişisel Verilere ilişkin kategorik başlıkları ve istatistikî bilgiyi sistemde istendiği şekliyle bilgi girişi yapması zorunludur.

Ayrıca Sisteme girdiği bilgilerin karşılığı olarak kendi bilgisayar ortamında ya da fiziki olarak elindeki kişisel Veriler hakkında envanter oluşturması zorunludur. 

Kişisel Verilerin Korunması kanunu, 50 kişiden az personel çalıştıran ya da cirosu 25 Milyon TL’nin altında olan işletmeleri de bağlamakta olup bu kişilerde yaptırımlara muhatap olabilir. Ancak bu kişilerin sisteme kaydolma ve envanter oluşturma zorunlulukları yoktur.

Ve yine kamu kurumlarıda kanun kapsamında olup kamu kurumları ile (örneğin SGK, Vergi dairesi, MEB, Sağlık Bakanlığı gibi) veri paylaşımı, KVK hukuku kurallarına uygu olmalıdır.

6. Veri sorumlusu işletmelere tanınan süre

Kanunun yürürlüğe girmesi ile birlikte ilgili tüm işletmelerin (Veri Sorumlularının);

Ellerinde buluna kişisel verileri,

Yeni kaydedecekleri kişisel verileri

3.kişilere yapacakları aktarım ve paylaşımları

Silinmesi ya da yok edilmesi gereken kişisel verileri

Kısaca tüm veri işleme süreçlerini hukuka uygun hale getirmeleri, gerekli idari ve teknik tedbirleri almaları için ilk etapta 2 yıl süre tanınmıştır. Daha sonra bu süre uzatılmış olup son olarak 31 Aralık 2021 tarihine kadar uzatılmıştır.

Bu konuda önemle altını çizeceğimiz husus; bu süre, işletmelerin tüm kişisel verileri, kanuna uygun hale getirmesi ve korunması için gerekli idari ve teknik tedbirlerin alınması için verilen bir süredir. Bu anlamda VERBİS sistemine kayıt yapmak iş yükünün çok küçük bir kısmıdır.

Veri işleme süreçlerinin hukuka uygun hale getirilmesi ve Verilerin korunması için gerekli idari ve teknik tedbirlerin alınması kapsamında Veri Sorumlusu olan her İşletme;

• Kişisel Verilerin Korunması Kurumu; Veri işleme süreçlerinin hukuka uygun olması için yetkin bir hukukçudan hukuki yardım, bilgisayar ve internet hizmetleri konusunda yetkin bir uzmandan teknik yardım alınmasını tavsiye etmektedir. (KVKK Envanter Oluşturulması Rehberi)
• Kişisel Verilerin Niteliği, akışı, aktarılmasına ilişkin şemalar oluşturulmalı, Veri işleme ve akışı politikası belirlenmeli
• Aydınlatma Metinleri oluşturulmalı,
• Rıza Metinleri oluşturulmalı,
• Gizlilik Sözleşmeleri hazırlanıp ilgili kişiler ile imzalanmalı,
• Firmanın 3. kişiler ile bağıtladığı tüm sözleşmeler bu kanuna göre incelenip gerekirse düzenlemeler yapılmalı,
• Veri sorumlusu, 3. bir kişi üzerinden verileri işliyorsa Veri İşleme Sözleşmeleri yapılmalı,
• Personel eğitimlerinin yapıldığı ve farkındalık oluşturulduğu belgelenmeli,
• Personelin KVK hukukuna uygun davranıp davranmadığını denetleyecek etkili bir mekanizma kurmalı ve denetimler yapılarak belgelenmeli,
• Ağ güvenliği, Şifreleme, Veri Maskeleme, Güvenlik Duvarı, Sızma Testi, Güncel Anti virüs programları gibi bir dizi teknik tedbirler alınmalıdır.

7. Kişisel Verilere ilişkin Envanter oluşturulması

Bu kapsamda her bir kişisel Veri İçin ayrı ayrı olmak üzere ve de her veri işleme sürecinde yeniden dikkate alınmak üzere oluşturulan envanterde asgari olarak;

• Veri Kategorisinin/niteliklerinin belirlenmesi,
• Hangi amaç için işlendiğinin belirlenmesi,
• Hangi hukuki sebep ile işlendiğinin belirlenmesi,
• 3.kişiler ile paylaşılıp paylaşılmadığı, paylaşılacak ise hangi kurum ve kuruluşlar ile paylaşılacağının belirlenmesi
• Kaydedilme amacı doğrultusunda azami saklama sürelerinin belirlenmesi,
• Silme ve yok edilme politikalarının belirlenmesi ve belgelenmesi,
• Veri konusu kişi gruplarının belirlenmesi,
• Kurul ve İlgili kişiyi bilgilendirme süreçlerinin hazırlanması,
• Alınan Teknik tedbirler bilgisi,
• Alınan İdari (Hukuki) tedbirler bilgisi,
• Bunların dışında veri sorumlusu kendi faaliyet alanının gerektirdiği, işin gereği olan envanter başlıklarını geliştirebilir.

Envanter kamuya açık olmayacaktır. Ancak Kişisel Verileri Koruma Kurulu tarafından veya Veri sahibi tarafından istendiğinde; Kanunun aradığı anlamda tasniflenmiş ve düzenlenmiş şekilde, gerekli idari ve teknik tedbirlerin alındığını belgeleyen belgeler ile birlikte sunulabilecek durumda olunmalıdır.

Kişisel Verilerin ilk olarak kaydedilmesinde geçerli olan usul ve kurallar, paylaşılmasında, kaydetme amacı dışında başka bir amaç için kullanılmak üzere kaydedilmesinde de geçerlidir.

Veri niteliğinin belirlenmesi, elde edilmesi, kaydedilmesi, hukuksuz kullanımın engellenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, güncellenmesi, saklanması, depolanması, değiştirilmesi, devralınması, açıklanması gibi tüm işlemler “kişisel Veri İşleme Süreci” olup tüm aşamalarda kanunun aradığı anlamda kişisel veri şemasının oluşturulması ve hukuka uygunluğun denetlenmesi gerekecektir.  Yani Kişisel Verilerin Korunması hukukuna ilişkin usul ve kurallar, ilk kayıt aşaması ile sınırlı olmayıp içinde kişisel verinin geçtiği her bir işlemde aynı sınıflandırma ve tedbirlerin varlığı envanterde gösterilmesi gerekmektedir.

Örneğin bir özel okul velisinin kayıt esnasında alınan iletişim bilgileri, üstlenilen yükümlülüğün yerine getirilmesi hukuki sebebine (kanuni sebep) dayanılarak işlenmektedir. Ancak aynı iletişim bilgisinin okul tarafından reklam ve tanıtımlara ilişkin duyuruda kullanılması için kaydedilmesi ise ayrı bir veri işleme faaliyeti olup kaydetme amacı, hukuki sebebi, saklama süreleri gibi birçok başlık değişecektir. 

8. Kişisel Verilerin Hukuka aykırı işleme Süreçlerine getirilen Cezalar 

İdari Para Cezaları:

Kişisel Verilerin Korunması Kanununda, Kanuna aykırı davranılmasına idari Para cezası düzenlenmiştir. Her bir hukuka aykırılığın cezası farklıdır.

Kurul tarafından re’sen yapılacak inceleme ya da ilgili kişinin şikayeti üzerine, veri sorumlusu işletmelere 20.000 TL’den 1.000.0000 TL’ye kadar İdari Para Cezası düzenlenmektedir.

Hapis Cezaları :

5237 Sayılı Türk Ceza Kanunun 135. – 140.maddelerinde, her bir durum için ayrı hapis cezası öngörülmekte olup ihlalin özel nitelikli kişisel veriler hakkında olması halinde cezanın yarı oranında arttırılacağı öngörülmüştür. Yine bu suçun meslek ve sanatın icrasının sağladığı kolaylıkla işlenmesi halinde de ceza yarı oranında arttırılacaktır.

• Kişisel Verinin hukuka aykırı kaydedilmesi halinde 1 yıldan 3 yıla kadar hapis,
• Kişisel Verinin hukuka aykırı verilmesi ya da ele geçirilmesi halinde 2 yıldan 4 yıla kadar hapis,
• Verileri yok etmeyen ya da silmeyen kişinin 1 yıldan 2 yıla kadar hapis ile cezalandırılması öngörülmüştür.
• Özel Hukuk Tüzel kişilerinde bu cezaların muhatabı imzaya yetkili kişilerdir.
• Ayrıca Özel Hukuk Tüzel kişilerinde, Güvenlik Tedbirinin  uygulanması öngörülmekte olup güvenlik tedbirinin kanundaki karşılığının, “faaliyet izninin geçici yada sürekli iptali” ve “müsadere” olduğu görülmektedir.

9. KVK Hukuku İle ilgili Olarak, Yetkin bir Hukuk Ofisinden Hukuki Danışmanlık Hizmetinin alınmasını gerektirecek sebepler

Kişisel Verileri Koruma Kanunu ve mevzuatında öngörülen şemaların oluşturulması, Envanter oluşturulması, gerekli teknik ve idari tedbirlerin alınması gibi yukarıda özetlediğimiz süreç kapsamlı ve uzun bir çalışmayı gerektirmektedir. Bu sebeple işletmelere, kendilerini düzenlemeleri için tekrar tekrar süreler tanınmaktadır. Mevcut verilerin hukuka uygun işlenmesi uzun ve koordineli bir çalışma gerektirmekte olup, her bir kişiye ait her bir verinin (iletişim, TC kimlik, Ad Soyad, Sağlık Raporu gibi) ayrı ayrı, kaydetme amacı, hukuki sebebi, saklama süresi, kategorisi gibi birçok üst başlık ile tasniflenmesi takdir edileceği üzere aylar ve hatta yıllar sürecek bir çalışma gerektirmektedir.

Yine verilerin yeniden işleme sürecinde (örneğin kayıt amacının dışında bir amaç için kullanılmasında), depolanması, silinmesi, anonim hale getirilmesi ve yok edilmesi sürecinde yukarıda özetlenen mevzuat hükümleri penceresinden işlemler irdelenecek ve tasniflenecektir. Yani Kişisel Verilerin Korunması süreci, dinamik bir süreçtir.  Yeni bir alan olan KVK alanında kanuna uygun davranmak için yetkin bir hukuk firmasından hukuki danışmanlık almak yasal bir zorunluluk olmasa da, verilen sürenin dolması ile birlikte hapis ve para cezalarına, İşletme faaliyet izninin geçici ya da kalıcı olarak iptal edilmesi ve de müsadere gibi ağır yaptırımlara muhatap olmamak için gereklidir.

Ayrıca Ülkemizde Kişisel Verilerin Korunması hukukunun yeni bir alan olması, şimdiye kadar gerekli ve yeterli çalışmalar yapılmamış olması nedeniyle; hem mevzuatta sık sık değişiklikler olacağı, hem de yaptırımlar ve Yargı Kararları ile konunun daha da şekilleneceğini öngörmekteyiz. Ancak bu süreçte birçok işletme ağır yaptırımlara muhatap olmak durumunda kalacaktır.

Yukarıda belirtilen İdari Para Cezalarına, Hapis Cezalarına, Tüzel kişinin faaliyet izninin geçici ya da sürekli iptali ve müsadere gibi ağır yaptırımlara muhatap olmamak için KVK Hukukunda yetkin bir hukuk firması ile çalışılması önemlidir.

ÖNDER HUKUK OFİSİ