“Kişisel Verilerin Korunması Kanunu’na Uyumlu Musunuz?”
Kişisel veri nedir? Kişisel verilerin korunması ile ilgili hayatımıza dahil olmuş birçok kavram bulunuyor, bunlar hakkında bizi bilgilendirebilir misiniz?
Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Kişisel verilerin işlenmesi ise bu veriler üzerinde yapılan hemen hemen her türlü eylemdir. Bu eylemler, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesidir. Aslında hukuk diliyle ifade edildiğinde teknik bir işlem gibi görünse de, günlük hayatta ihtiyaçlarımızı giderebilmek için verimizin kullanılması, sorulması, kaydedilmesinde durumlarında kişisel verilerin işlenmesi söz konusudur. Veri sorumlusu ise, kişisel verilerin işlenmesi ve korunması sürecinde sorumlu olan gerçek ya da tüzel kişidir. Yani bir hastanede, hasta kaydını yapan kişi, veri işleyen olup o hastanenin tüzel kişiliği veri sorumlusu olacaktır. Burada altını çizmek gerekir ki yasa verilerin işlenmesi ve korunması sürecine dahil olan, bu veri işleyen ve veri sorumlusunu birçok konuda müşterek sorumlu tutmaktadır.
Kişisel verilerin korunması ne demektir? Neden gerekir?
Aslında kişisel verilerin korunması hayatımıza, mail adreslerimize telefonlarımıza gelen “kişisel verilerinizin işlenmesi, kullanım amaçları ve haklarınızı içeren bilgilendirme metnine xxxx adresinden ulaşabilirsiniz.” Şeklindeki mesajlarla dahil olmuştur diyebiliriz. Fakat aslında kişisel verilerin korunması kültürünün bu kadar geç hayatımıza dahil olmasında sosyal medyanın etkisi de yadsınamaz bir gerçektir.
Sosyal medyanın da etkisiyle kişisel verilerimizi kendi rızamız ile paylaşmaya alışkın olduğumuz bu kültürde, günlük hayatta bize herhangi bir hizmetin sunulmasıyla ilgili olarak kişisel verimiz anlık olarak işlenmektedir. Kişisel verilerin korunmasının gerekliliğinin özünde ise kişiliğin korunması yer almaktadır. Verilerin korunması, kişiler hakkındaki verilerin işlenmesinden doğacak zararlardan korumadır ve bu koruma veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçlamaktadır.
Kişisel verilerin işlenmesi nedir, kişisel verileri işlemenin şartları nelerdir?
Kişisel verilerin sadece bir hard diskte, CD’de, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir. Kanunda sözü edilen, kısmen veya tamamen işleme faaliyeti; yazılım veya donanım ya da manuel olarak işlenmesidir.
Verilerin işleme şartları da verilerin niteliğine göre -ki bu yasada özel nitelikli kişisel veri ayrımı yaparak ortaya koyulmuştur- değişmektedir. Örneğin öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler yasa koyucu tarafından özel nitelikli kabul edilmiş bunların işlenmesi daha sıkı şartlara bağlanmıştır. Özel nitelikli kişisel verilerin işlenebilmesi için yalnızca açık rıza alınması yeterli olmamakta, aynı zamanda yasada aranan bir amaç ile verinin işlenmesi gerekmektedir. Görüldüğü gibi Kişisel Verilerin Korunması Kanunu’nun gerekliliklerinin tam olarak anlaşılması ve sektörel işleyişe uyumlandırılması sürecinin her adımında gizliliğin sağlanması gereklidir. Şirketlerin veri envanterlerinin oluşturulması ve kanun gerekliliklerinin yerine getirilmesi gerekmektedir. Şirketlerde, hangi departmanlarda hangi verilerin bulunduğunun tespit edilmesi; ardından aydınlatma metinlerinin hazırlanması gerekmektedir.
Hep görüyoruz, otomatik olarak o önümüze çıkan kutucukları işaretliyoruz ama nedir bu “Açık Rıza”?
Kanun’un yürürlüğe girmesi sonrasında, kişisel veri ve bu verinin işlenmesi ile birlikte hayatımıza giren kavramlardan birisi de uluslararası metinlerde de kendine yer bulan “açık rıza” kavramıdır. 95/46 EC sayılı Avrupa Birliği Direktifine göre açık rıza; ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır. Yani bir yeterli bir bilgilendirmeye dayanan onay beyanıdır. Yasa özellikle rızanın işlemeden önce alınmasını, bir hizmetin sunulması için ön koşul olarak sunulmamasını aramaktadır. Aksi takdirde alınan rızanın hukuken hiçbir değeri olmayacaktır.
Veri sorumlusu ve veri işleyenler hakkında bilgi verir misiniz? Bu kişilerin yükümlülükleri nelerdir?
Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Ayrıca veri sorumlusu, kanunun ona yüklediği yükümlülükleri; aydınlatma yükümlülüğü gibi yerine getirmelidir. Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen kişidir.
Bir örnekle anlatacak olursak, fabrikada çalışan bir işçinin, fabrikayla arasındaki iş sözleşmesi kapsamında alınan kişisel verilerinin neden ve nasıl işleneceğini veri sorumlusu belirler. Aynı zamanda iş sözleşmesi kapsamında kişisel verileri elde edilen işçiye aydınlatma yükümlülüğü kapsamında sahip olduğu hakları da anlatır. Veri işleyen ise iş sözleşmesi kapsamında çalışan işçinin verilerini, veri kayıt sistemine işleyen kişidir.
Veri sorumluları sicili nedir?
Veri Sorumluları Sicili, veri sorumlularının kaydedildiği, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir. Kişisel veri işleyen gerçek ve tüzel kişilerin sicile kayıt yükümlülüğü bulunmaktadır. Kişisel Verileri Koruma Kurulu tarafından bazı kriterler dikkate alınarak veri sorumluları için kayıt yükümlülüğü başlama tarihleri ve bitiş tarihleri belirlenerek ilan edilmiştir.
Bu kriterleri taşıyıp belirtilen süreden önce Veri Sorumluları Sicili’ne kayıt yapmayan veri sorumluları yüksek meblağlarda idari para cezasına çarptırılmaktadır.
Veri ihlali yaptığını fark eden şirket ne yapmalıdır?
Sebebi ne olursa olsun, kullanıcı verileri bir şekilde ihlale uğrayan veri sorumlusu şirketin, durumu en geç 72 saat içerisinde Kişisel Verileri Koruma Kurumu’na bildirmesi gerekmektedir. Akabinde etkisinin yüksek olduğu durumlarda veri ihlalinden etkilenen veri sahiplerini de bilgilendirilmesi gereklidir. Cezası 1.000.000 TL’ye varan bu düzenlemeden, firmaların kanuna uygun şekilde verileri işlemesi gerektiği anlaşılmaktadır. Ayrıca Kişisel verilerin hukuka aykırı olarak kaydedilmesine durumunda 1 – 3 yıl arasında hapis cezası öngören Kanun, kişisel verilerin kanuna aykırı olarak başkasına verilmesi, yayılması ya da ele geçirilmesi durumunda 2 – 4 yıl hapis cezası verilmesini öngörmektedir. Yani ortada gerçekten yadsınamayacak bir ciddiyet söz konusudur.
Toparlarsak, KVKK süreci kapsamında veri işleyenlerin yapması gerekenler neler?
Sonuç olarak, veri işleyenler KVKK süreci kapsamında korunması gereken kişisel veriler için gerekli sözleşme, protokol ve aydınlatma metinlerini hazırlamalı, önceden imzalanmış sözleşmeleri revize etmeli ve Kanun sürecine uyumlu olunup olunmadığının kontrolünü sağlamalıdır. Avrupa Birliği ülkeleriyle iş ve işlemlerde GDPR’a (General Data Protection Regulation) uyumluluğunun kontrolü ve bu kapsamda yapılması gerekenler, Veri Sorumluları Sicili (VERBİS) sistemindeki işlemlerin yürütülmesi, GDPR ile uyumlu hale getirmek için hukuki süreç yönetiminde mevzuat kuralları dikkate alınmalıdır.
Katkılarından dolayı Av. Dr. M. Çağrı Bağatur’a teşekkür ederiz.