6698 Sayılı Kişisel Verilerin Korunması Kanunu ve Getirdiği Yükümlülükler – Av. Sedat TARLACI & Av. Yasin ÜSTÜN
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 24.03.2016 tarihinde kabul edilmiş ve 07.04.2016 tarihinde Resmi Gazete’de yayımlanarak aynı tarihte yürürlüğe girmiştir. Dört yılı aşkın süredir yürürlükte olan Kanun, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumakta, bu kapsamda gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir.
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanan kişisel verilere karşı gün geçtikçe artan tehditler, tüm dünyada olduğu gibi ülkemizde de kişisel verilerin korunmasına ilişkin bazı kanuni düzenlemelerin yapılmasını zaruri hale getirmiştir. Bu yazımızda, ülkemiz için nispeten yeni sayılabilecek bu Kanun kapsamında tüzel kişileri ne gibi yükümlülüklerin beklediği konusu ele alınacaktır.
Kanuna dayanılarak “Kişisel Verilerin Silinmesi, Yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ve “Veri Sorumluları Sicili (VERBİS) Hakkında Yönetmelik” yayımlanmıştır. Bu yönetmelikler 01.01.2018 itibarıyla yürürlüğe girmiştir.
Kanun ve ilgili yönetmelikler kapsamında gerçek ve tüzel kişilerin belirli yükümlülükleri bulunmaktadır. Bu yükümlülüklerin yerine getirilip getirilmediği ise Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından resen yahut şikayet üzerine denetlenmektedir. Kurum, Kişisel Verileri Koruma Kanunu’na muhalefet tespit ettiğinde idari para cezası uygulanmasına karar verme yetkisine de sahiptir. Aşağıda sayılanlarla sınırlı olmamakla beraber, Kanun ve ilgili yönetmelikler kapsamında tüzel kişilerin yerine getirmesi gereken yükümlülüklerden bazıları şöyledir:
1. Şirket dokümanlarının kanuna uyumlu hale getirilmesi ve bu kapsamda revize işlemlerinin gerçekleştirilmesi,
2. Kanun kapsamında öngörülen ve gereklilik arz eden politika (bkz. Kişisel Veri İmha Politikası) ve prosedürlerin yayımlanması,
3. Aydınlatma yükümlülüğünün yerine getirilmesi,
4. Kanunda aranan kişisel veri işleme şartlarını bulunmaması halinde ilgili kişilerin açık rızasının alınması,
5. Çalışanlara eğitim verilmesi ve verilen eğitimin belgelendirilmesi
6. İlgili kişilerden gelen başvuruya 30 gün içerisinde cevap verilmesi,
7. Kurum tarafından talep edilmesi halinde bilgi ve belgelerin 15 gün içerisinde Kuruma teslim edilmesi,
8. Kurum tarafından yerinde inceleme yapılmasına imkan sağlanması,
9. Yıllık çalışan sayısı 50’den fazla olan veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları için 30.09.2020 tarihine kadar Veri Sorumluları Sicili’ne (VERBİS) kayıt işleminin gerçekleştirilmesidir.
Kanun kapsamında en popüler olan yükümlülük şüphesiz ki VERBİS kaydıdır. Popüler olmasının sebebi sınırlarının çok keskin ve net olması, ilaveten sadece bu yükümlülüğü yerine getirmemenin Kurum tarafından 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanmasına sebebiyet verebilmesidir. Ancak yukarıda sayılanlardan da anlaşılabileceği üzere tüzel kişilerin Kanun kapsamında yerine getirmesi gereken yükümlülükler VERBİS’e kaydolmaktan ibaret değildir. Hatta tam aksine VERBİS kaydı, Kanun kapsamındaki yükümlülüklerini yerine getirmek için tüzel kişilerin geçireceği uyum sürecinin sonunda yapılmasının daha sağlıklı olacağı; hangi verilerin işlendiği, ne amaçla işlendiği, hangi yolla elde edildiği, işlenen kişisel verilerin aktarılıp aktarılmadığı, bu verilerin ne kadar süre muhafaza edildiği gibi birçok hususta tüzel kişilerin beyan ve taahhütte bulunduğu bir aşamadır.
VERBİS kaydı için belirlenen son tarih Kurum tarafından birçok kere ertelenmiştir. Kayıt için belirlenen son tarihin Covid-19 virüs salgını nedeniyle 30 Haziran 2020’den, 30 Eylül 2020’ye ertelenmesi söz konusu duruma ilişkin verilebilecek en yakın tarihli örnektir (1). Ancak Kanunda öngörülen yükümlülüklerden sadece biri olan VERBİS kaydı, Kurumun diğer yükümlülüklere ilişkin olarak denetim yapmasına ve akabinde idari para cezası uygulamasına engel olmamaktadır. Zira Kurum; SGK ile yaptığı sözleşme çerçevesinde kullandığı Medula sistemine üçüncü kişilerin erişimini önlemek için gerekli güvenlik tedbirlerini almadığı gerekçesiyle bir eczaneye 60.000 TL; el ve parmak izi tarama sisteminin hizmetten faydalanma şartına bağlanması ve Kanunun dördüncü maddesindeki genel ilkelere uygun davranılmaması gerekçesiyle bir spor salonuna 225.000 TL; kişisel verilerin yurt dışına aktarılması konusunda usulüne uygun açık rıza almaması ve aydınlatma yükümlülüğünü yerine getirmemesi gibi sebeplerle bir online alışveriş sitesine toplam 1.200.000 TL idari para cezası uygulamıştır.(2 3 4)
Kurumun internet sitesinde şimdiye kadar toplamda 60 veri ihlali bildirimi, 75 karar özeti ve 6 ilke karar yayımlanmıştır. Kurum, tekrar eden nitelikte ve benzer içeriğe sahip aldığı kararları kamuyla paylaşmama yetkisine sahip olduğundan, istediği kararları yayımlamaktayken aldığı birçok kararı ise yayımlamamaktadır. Bu sebeple kurumun aldığı kararların tamamı kamu tarafından bilinememektedir.
Her ne kadar Avrupa’daki emsallerine kıyasla Kurum tarafından hükmedilen idari para cezalarının düşük kaldığı söylenebilirse de verilen cezalarda geçen yıllara oranla ciddi artış görülmektedir. Ceza miktarının tespitinde, sayılanlarla sınırlı olmamakla beraber ihlalden etkilenen kişi sayısı, ihlale konu verinin niteliği, ihlale konu değerlendirmenin veri sorumlusu tarafından vaktinde yapılıp yapılmadığı, veri sorumlusunun yıllık mali bilanço toplamı gibi hususlar gözetilmektedir.
Görüldüğü üzere şirketlerin belirtilen yükümlülüklere riayet edip etmediği Kurum tarafından resen yahut şikayet üzerine denetlenmekte ve bu kapsamda idari para cezaları uygulanmaktadır. Kurum tarafından alınan VERBİS kaydının ertelenmesi kararının, Kanunda öngörülen diğer yükümlülüklerin uygulamasını ve denetlemesini ertelemediği yukarıdaki örneklerden de açıkça anlaşılmaktadır. Bu sebeple, dünya çapında farkındalığın her geçen gün daha da arttığı kişisel veriler konusunda tüzel kişilerin daha hassas ve temkinli davranması ileride karşılaşılması muhtemel idari para cezalarının önüne geçecektir.
Uygulamada sıkça karşılaşılan ve dikkat edilmesi gereken diğer bir husus ise Kurum tarafından tüzel kişilere kullanıcı adı ve şifre tanımlamasının yapılmasıyla birlikte tüzel kişilerin VERBİS’e kayıt yükümlülüğünü yerine getirdiği fikrine kapılmasıdır. Önemle altını çizmek gerekir ki tüzel kişiler kullanıcı adı ve şifre temin ettiğinde bütün yükümlülüklerini yerine getirmiş olmak bir kenara, VERBİS kayıt yükümlülüğünü dahi yerine getirmiş olmayacaktır. Zira VERBİS’e kayıt, basit bir bildirimden ibaret olmayıp her bir veri giriş kanalı için ayrı ayrı beyan ve taahhütte bulunulan bir işlemler bütünüdür ve taahhütte bulunan kişilerin sorumluluğunu beraberinde getirmektedir. Bu kaydın sağlıklı bir şekilde yapılabilmesi adına tüzel kişinin öncelikle Kanuna uyum süreci geçirmesi elzemdir. Uyum sürecinde ise Kanun ve ilgili yönetmeliklerdeki yükümlülükler göz önünde bulundurularak gerekli idari ve teknik tedbirler yerine getirilmelidir.
Kişisel verilere karşı tehditlerin ve buna karşılık dünya çapında farkındalığın her geçen gün arttığı göz önünde bulundurulursa, tüzel kişilerin kurumsal kültürün bir gereği olarak şirket içi farkındalığı arttırmak ve kişisel verilerin işlenmesi konusunda çalışanlarına gerekli hassasiyeti aşılamak için çalışmalar yapması, operasyonel süreçlerini Kanun ve yönetmeliklerdeki düzenlemeleri göz önünde bulundurarak yeniden şekillendirmesi, Kanun kapsamında risk değerlendirme çalışmaları yapması gerekmektedir.
Tüzel kişiler için uyum sürecinin sadece hukuki bir çalışma ile sona ermeyeceği, Kanun kapsamında bir dizi teknik tedbirin de hayata geçirilmesinin gerektiği unutulmamalıdır.
Kaynakça:
(1) Kişisel Verileri Koruma Kurumu, “VERBİS’E KAYIT SÜRELERİNİN UZATILMASI HAKKINDA DUYURU”, https://www.kvkk.gov.tr/Icerik/6750/VERBIS-E-KAYIT-SURELERININ-UZATILMASI-HAKKINDA-DUYURU 23 Haziran 2020. Erişim Tarihi: 25.08.2020
(2) Kişisel Verileri Koruma Kurumu, “Spor salonu hizmeti sunan veri sorumlusunun, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/167 Sayılı Karar Özeti”, https://www.kvkk.gov.tr/Icerik/6738/2020-167 27 Şubat 2020, Erişim Tarihi: 25.08.2020
(3) Kişisel Verileri Koruma Kurumu, “İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması” hakkında Kişisel Verileri Koruma Kurulunun 07/05/2020 Tarihli ve 2020/355 Sayılı Karar Özeti”, https://www.kvkk. gov.tr/Icerik/6767/2020-355 07 Mayıs 2020, Erişim Tarihi: 25.08.2020
(4) Kişisel Verileri Koruma Kurumu, “Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar Özeti”, https://www.kvkk.gov.tr/Icerik/ 6739/2020-173 27 Şubat 2020, Erişim Tarihi: 25.08.2020