Your browser (Internet Explorer 7 or lower) is out of date. It has known security flaws and may not display all features of this and other websites. Learn how to update your browser.

X

Şirketler İçin Kısa Kişisel Verilerin Korunması Rehberi – S.İrem Akın & Baran Can Yıldırım

Kişisel Veri ve Korunması

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanan kişisel veri, günümüz ekonomisi çerçevesinde şirketler için en önemli varlıklardan bir tanesi haline gelmiştir. Özellikle mevcut veya potansiyel müşterileri ile yakın temasta olan ve müşteri alışkanlıkları doğrultusunda politikalarını oluşturan şirketler için kişisel veriler, bu şirketlerin başarılı işleyişleri bakımından vazgeçilmez bir unsur olarak yer almaya başlamıştır. Nitekim, dünyada da kişisel verilerin şirketlere ne denli bir rekabet avantajı sağlayabileceği son zamanlarda sıkça gündeme getirilen ve tartışılan bir husus olarak ön plana çıkmaktadır.

Bu nedenledir ki, günümüzde, Avrupa ülkeleri başta olmak üzere, toplamda 107 ülkede kişisel verilere ve korunmasına ilişkin yasal düzenlemeler bulunmaktadır(1). Kişisel verilerin özel yasal düzenlemelerle korunmasının geçmişi, Avrupa’da 30 yıl öncesine dayanmakla birlikte, bu husus Türkiye’de 2016 yılına kadar bir özel düzenlemeye konu edilmemiş, bu konudaki korumalar Anayasa ve Türk Ceza Kanunu’ndaki genel hükümler çerçevesinde ele alınmıştır.

Dünyada bu konuya ilişkin farkındalığın ve hassasiyetin giderek artması ile birlikte, hem devletler hem de bireyler için kişisel verilerin korunması adeta zorunlu bir ihtiyaç haline gelmiştir. Bu gelişmelere ve ihtiyaca karşılık verebilmek adına, 07.04.2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) ise, Türkiye’de bu alanda yapılan ilk özel düzenleme olarak ortaya çıkmıştır. Temel prensiplerini daha çok 95/46/EC sayılı Avrupa Birliği Direktifi’nden (“Direktif”) alan KVKK sayesinde, Türkiye de kişisel verilerin korunması alanında hem hukuki hem de teknolojik gelişmelere ayak uydurabilecek bir düzenlemeye sahip olmuştur. Her ne kadar Avrupa Birliği’nde Mayıs 2018’den itibaren bu Direktif’in yerini alan Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) uygulanmaya başlanmışsa da, KVKK’nın genel anlamıyla Avrupa uygulaması ile paralel düzenlemeler içerdiği görülmektedir. Kanun’un yürürlüğe girmesinden kısa bir süre sonra ise Kişisel Verileri Koruma Kurumu (“Kurum”) ve Kurum’un karar organı olan Kişisel Verileri Koruma Kurulu (“Kurul”) kurulmuştur. Bu kapsamda, Kurum’un gerçekleştirdiği çalışmalar ve Kurul’un aldığı kararlar ile Avrupa’ya uyum her geçen gün artırılmaktadır.

Bu yazımız kapsamında, “veri sorumlusu” ya da “veri işleyen” sıfatını taşıyan şirketlere Kanun ile yüklenen sorumluluk ve görevlerden bahsederek, konuya yönelik kısa bir rehber sunmaktayız.

Veri Sorumlusu ve Veri İşleyen Nedir? Kimler Veri Sorumlusu/Veri İşleyen Olur?

Pek çok şirket, uygulamaları sebebiyle KVKK kapsamında “veri sorumlusu” sıfatını kazanmaktadır. Nitekim, Kanun’daki tanımı uyarınca kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan her gerçek veya tüzel kişi, veri sorumlusu olarak değerlendirilmektedir. Dolayısıyla, bu tanımın kapsamında olan tüm gerçek ve tüzel kişiler veri sorumlusu olarak kabul edilmekte ve bu kişiler, Kanun’daki yükümlüklere uymadıkları takdirde idari yaptırımlar ile karşılaşabilmektedirler.

Veri sorumlusundan farklı bir statüye sahip olan veri işleyen ise, veri sorumlusunun talimatları doğrultusunda ve veri sorumlusu adına işleme faaliyetini gerçekleştiren kişidir. Veri sorumlusu; işleme faaliyetinin “neden” ve “nasıl” yapılacağını belirlerken, veri işleyen ise bu belirlemeler doğrultusunda işlemeyi gerçekleştirmekte ve dolayısıyla işlemenin daha çok teknik kısmında yer almaktadır. Buna rağmen, aynı gerçek veya tüzel kişinin hem veri işleyen hem de veri sorumlusu olması mümkündür. Örneğin; bir şirket, kendi çalışanları açısından veri sorumlusu sıfatına sahipken birlikte çalıştığı başka bir şirketin müşterileri açısından veri işleyen konumunda olabilecektir.

Veri İşleme Şartları ve Açık Rıza

“Veri işleme”, kişisel verilere ilişkin olarak gerçekleştirilen elde etme, depolama, aktarma ve paylaşma gibi faaliyetleri kapsamaktadır. Herhangi bir veri işleme faaliyetini hukuka uygun biçimde gerçekleştirebilmek için, işlemin mutlaka Kanun’da yer alan işleme şartlarından bir tanesine dayandırılması gerekmektedir. Bu çerçevede, hukuka uygun biçimde veri işleme faaliyetini gerçekleştirmek isteyen şirketlerin KVKK’da sayılmış olan sekiz şarttan bir tanesine dayanabiliyor olmaları gerekecektir.

Belirlenmiş olan bu veri işleme şartları; (i) ilgili kişinin açık rızasının varlığı, (ii) fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, (iii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, (iv) veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, (v) ilgili kişinin kendisi tarafından alenileştirilmiş olması, (vi) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, (vii) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması ve (viii) kanunlarda açıkça öngörülmesi olarak sayılmaktadır.

Veri işlemenin hukuka uygun olarak gerçekleştirilmesi için kullanılan en yaygın yöntemlerden birinin, kişinin açık rızasının alınmasının olduğu belirtilmelidir. Açık rıza alınması yöntemine başvurulması halinde, Kurum’un açık rızaya ilişkin yayımladığı kılavuz kapsamında da belirtildiği üzere, alınacak açık rızanın (i) mutlaka belirli bir konuya ilişkin olması, (ii) bilgilendirmeye dayanması ve (iii) özgür iradeyle açıklanmış olması gerekmektedir(2). Açık rıza alınması, ilgili kişi tarafından işlenmesine izin verilen verinin; kapsamının, gerçekleştirilme biçiminin ve süresinin belirlenmesini sağlamaktadır. Bu nedenle, uygulamada “battaniye rıza” olarak da tanımlanan, herhangi bir konu ve ilgili işlemle sınırlı olmayan genel nitelikteki rıza beyanları, hukuka uygun kabul edilmemektedir. Dolayısıyla, bir metin kapsamında, bir veya birden çok işleme faaliyeti için ilgili kişilerden “tüm kişisel verilerimin işlenmesine izin veriyorum” şeklinde alınan bir beyan, KVKK anlamında bir “açık rıza” teşkil etmeyecektir.

Kanun’da belirtilen veri işleme şartlarından herhangi birine dayandırılamayan veya yukarıda açıklandığı üzere Kanun’a uygun bir açık rıza alınmadan gerçekleştirilen işleme faaliyetleri için öngörülmüş para cezası miktarının 1 milyon TL’ye kadar ulaşabileceği değerlendirildiğinde, şirketlerin bu konuya hassasiyetle yaklaşmaları gerektiği söylenebilecektir.

Cezalar ve Ceza Miktarları

KVKK; kişisel verileri hukuka aykırı olarak kaydetme, verileri hukuka aykırı olarak verme, ele geçirme ve verileri yok etmeme gibi kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’na atıf yapmaktadır. Bu kapsamda, suçun türüne ve gerçekleştirilme şekline göre değişmekle birlikte, yukarıda sayılan suçları işleyen bireylerin bir yıldan dört yıla kadar hapis cezasıyla karşılaşmaları mümkündür. Yukarıda sayılan suçların haricinde, KVKK’ya aykırılık teşkil edilebilecek diğer davranışlar, Kanun kapsamında “Kabahatler” olarak nitelendirilmiş ve idari yaptırıma tabi tutulmuştur. Söz konusu idari yaptırımlar, 5 bin TL ile 1 milyon TL arasında değişen para cezaları şeklinde uygulanmaktadır. Kanun kapsamında idari para cezası öngörülen faaliyetler gruplara ayrılmış ve temelde dört başlıkta toplanmıştır. Bunlar, (i) aydınlatma yükümlülüğünün yerine getirilmemesi, (ii) veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi, (iii) Kurul kararlarının yerine getirilmemesi ve (iv) Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi şeklinde sayılmış olup her bir davranış grubu için ayrı bir para cezası aralığı belirlenmiştir.

VERBİS’e Kayıt

Veri sorumlusu şirketlere Kanun kapsamında getirilmiş en temel yükümlülüklerden biri de Veri Sorumluları Sicil Bilgi Sistemi’ne (“VERBİS”) yükümlülüğü olarak ortaya çıkmaktadır. Kanun uyarınca veri sorumlusu olarak nitelendirilen gerçek ve tüzel kişiler, bu sisteme online olarak erişebilmekte ve Kurul tarafından gerekli onayı aldıktan sonra kendilerini VERBİS’e kaydedebilmektedir. Burada önemli olan husus, veri sorumlularının hangi tür veriyi, hangi amaçlarla, ne kadar süre için işledikleri gibi hususların belirlenmesi ve gerektiğinde muhatap alınabilmesi için kendilerine bir gerçek kişi olan irtibat kişisi atamalarıdır. Bu kayıt yükümlülüğü, yurt dışında yerleşik tüzel kişiler ve kamu kurumları dahil olmak üzere pek çok teşebbüsü kapsamaktadır. Yükümlülüğe ilişkin olarak, bazı işleme faaliyetleri bakımından Kanun ile getirilmiş istisnaların bulunduğu da belirtilmelidir. Örneğin, aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında veya suç işlenmesinin önlenmesi için işleme faaliyetinin gerçekleştirilmesi hallerinde, sicile kayıt yükümlülüğü doğmamaktadır.

Kanun’da yer verilen bu istisnalara ek olarak, Kurul kararları(3) ile de bu yükümlülüğe birden çok istisna getirildiği görülmektedir. Söz konusu kararlar ile getirilmiş olan istisnalar ise daha çok noterler, avukatlar, arabulucular, serbest/yeminli mali müşavirler gibi belirli grupları veya ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularını kapsamaktadır.

VERBİS’e kayıt için farklı kategorilerdeki veri sorumluları için farklı kayıt başlangıç tarihleri ve verilen süreler Kurul kararı(4) ile belirlenmiş ve farklı kategoride yer alan veri sorumluları için başlangıç süreleri 1 Ekim 2018, 1 Ocak 2019 ve 1 Nisan 2019 tarihleri olarak açıklanmıştır. Buna göre, kayıtlar için belirlenen son tarihten sonra bu yükümlülüğün yerine getirilmemesi halinde, Kurul, ilgili veri sorumlularına 20 bin TL – 1 milyon TL aralığında idari para cezası uygulayabilecektir.

Bu kapsamda, istisnalardan yararlanamayan tüm gerçek ve tüzel kişi grupları için VERBİS’e kayıt yükümlülüğün yerine getirilmesi için belirlenen son tarihler dikkate alınmalı ve bu yükümlülüğe uymamanın hukuki yaptırımları ile karşılaşmak istemeyen şirketlerin en kısa sürede doğru aksiyonları alarak bu yükümlülüğü yerine getirmeleri gerekmektedir.

Kişisel Veri İhlali ve İhlal Bildirimleri

Kanun ile veri sorumlusu gerçek ve tüzel kişiler için getirilmiş temel yükümlülüklerden bir tanesi de, veri sorumlularının kendi bünyelerindeki kişisel verilerin kanuni olmayan yollarla başka kişiler tarafından elde edilmesi halinde ortaya çıkmaktadır. Nitekim, uygulamada “veri ihlali” olarak adlandırılan bu durumun ortaya çıkması halinde, veri sorumlularına bu durumu en kısa sürede hem ilgililere hem de Kurul’a bildirmeleri gerektiği yönünde bir yükümlülük getirilmektedir.

Kanun’daki bu düzenlemeye ek olarak, Kurul’un yakın tarihli almış olduğu bir karar(5) ile, herhangi bir veri ihlali yaşanması halinde ilgili şirketler tarafından uygulanacak olan prosedür ayrıntılı olarak açıklanmıştır. İlgili karar uyarınca, bir veri ihlali ile karşılaşan veri sorumlusu için Kanun’da öngörülen “en kısa sürede ilgilisine ve Kurula bildirir” hükmünde yer alan “en kısa süre” ifadesinin “72 saat içerisinde” olarak değerlendirilmesi gerektiği belirtilmiştir.

Veri ihlallerinde uygulanacak olan prosedürü yeknesaklaştırmak adına, ilgili veri sorumluları bu bildirimde bulunurken Kurul’un internet sitesinde yayımlanmış olan “Kişisel Veri İhlal Bildirim Formu”nu kullanmalıdır. (6) Ayrıca, ilgili kararda, daha sağlıklı bir uygulama elde edebilmek adına veri sorumlusu şirketlerin bu hususa ilişkin sorumlulukların kime yüklenebileceği gibi konuları içeren bir “veri ihlali müdahale planı” da hazırlaması gerektiği de belirtilmiştir. İlgili veri sorumlularının, bu tür bir ihlale maruz kalmaları halinde, bu ihlale ilişkin tüm kayıt ve bilgileri de daha sonradan Kurul’a sunulabilmesi için hazır bulundurmaları gerekmektedir. Kurul, gerekli gördüğü hallerde bu veri ihlallerini kendi internet sitesinde veya başka yollarla duyurabilmektedir .(7)

Veri Sorumlusuna Başvuru ve Şikâyet

KVKK kapsamında ilgili kişilere tanınan haklardan bir tanesi de veri sorumlusuna başvuru prosedürü olarak ortaya çıkmaktadır. Buna göre, ilgili kişiler; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme gibi haklara sahiptir. Bu hakkın kullanımına yönelik olarak çıkarılmış olan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ(8) ise bu usule ilişkin olarak daha ayrıntılı düzenlemelere yer vermektedir. İlgili veri sorumlusuna yapılan bu başvurunun; reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemiş olması halinde ise ilgili kişilerin Kurul’a şikayet hakkı gündeme gelmektedir. Burada da önemle belirtilmesi gereken bir nokta ise, Kanun uyarınca bu hususa ilişkin olarak kademeli bir başvuru usulü öngörülmüş olmasıdır. Dolayısıyla, herhangi bir ilgili kişinin, talebine ilişkin olarak doğrudan Kurul’a şikâyet yoluna başvurması mümkün olmamakta ve öncelikle ilgili veri sorumlusuna başvuru yolunun tüketilmesi gerekmektedir.

Sonuç

Yukarıda en temel hatlarıyla sunulan hususların, her ne kadar Kanun 2016 yılında yürürlüğe girmiş olsa da, son dönemde oldukça sık gündeme geldiği görülmektedir. Bunun kuşkusuz en büyük sebebi, Kanun’da yer verilen bu kavramların işleyişine yönelik olarak Kurum tarafından alınan aksiyonlara her gün bir yenisinin eklenmesi ve bu doğrultuda bireylerin de giderek bilinçlenerek kendilerine Kanun tarafından tanınmış olan bu hakları kullanma eğilimlerinin artmış olmasıdır.

Günümüzde, kişisel veriden bağımsız olarak faaliyet göstermenin neredeyse imkansız olduğu bir iş dünyasında, her şirketin, bu hususa ilişkin olarak çalışanlarını belirli bir bilinç seviyesine taşıması, şirket içerisinde gerekli ve yeterli teknik ve idari önlemleri en kısa sürede alması gerektiği düşünülmektedir. Aksi takdirde, özellikle müşterileri ile bağlantılarına ve ilişkilerine önem veren şirketler için bu Kanun’dan kaynaklı hukuka aykırılıklar ve ihlaller nedeniyle karşılaşılabilecek idari para cezalarının sebep olacağı maddi hasarların yanı sıra, müşterilerin gözünde oldukça önemli bir kriter olan güvenirlik, şeffaflık gibi pek çok manevi unsurun da zarar görmesi kaçınılmaz olacaktır.

(1) https://unctad.org/en/Pages/DTL/STI_and_ICTs/ ICT4D-Legislation/eCom-Data-Protection-Laws.aspx
(2) Kişisel Verileri Koruma Kurulu, Açık Rıza Kılavuzu (Erişim: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/ 66b2e9c4-223a-4230-b745-568f096fd7de.pdf)
(3) Kurul’un 02.04.2018 tarih ve 2018/32 sayılı; 05.07.2018 tarihli ve 2018/75 sayılı; 19.07.2018 tarihli ve 2018/87 sayılı kararları.
(4) Kurul’un 19.07.2018 tarihli ve 2018/88 sayılı kararı.
(5) Kurul’un 24.01.2019 tarihli ve 2019/10 sayılı kararı.
(6) https://kvkk.gov.tr/SharedFolderServer/CMSFiles/ 617f166c-24e1-42b5-a9cb-d756d6443af9.pdf
(7) 29.06.2018 tarihinde yayımlanan ve Ticketmaster UK tarafından bildirilen; 05.12.2018 tarihinde yayımlanan ve Marriott International, Inc. tarafından bildirilen; 02.03.2018 tarihinde yayımlanan ve ING Bank A.Ş. tarafından bildirilen veri ihlalleri, Kurul’un sitesinde ilan edilen veri ihlal bildirimleri arasındadır.
(8) 10.03.2018 tarihli 30356 sayılı Resmî Gazete’de yayımlanan Veri Sorumlusuna