KVKK Danışmanlığı

Kişisel Verilerin Korunması ve Uyum Süreci

Anayasanın “Kişinin Hakları ve Ödevleri” bölümünün “Özel Hayatın Gizliliği ve Korunması” kısmında 07.05.2010 tarihinde yapılan değişiklik ile 20. Maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” fıkrası eklenmiştir. Bu fıkra ile kişisel verilerinin korunması anayasal güvence altına alınmıştır.

Temel bir hak olarak düzenlenen “Kişisel Verilerin Korunmasını İsteme Hakkı”, tüm hak ve özgürlüklerde olduğu gibi, Anayasada çizilen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Bu çerçevede bir hakkın kullanılması ve diğer haklar lehine sınırlanmasına ilişkin düzenlemeler ancak kanun yoluyla gerçekleştirilebilir. 07.04.2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVK Kanunu) yürürlüğe girmesiyle birlikte yapılması gereken kanuni düzenleme de tamamlanmıştır.

KVK Kanununun yürürlüğe girmesiyle birlikte bugüne kadar çeşitli vasıtalarla elde edilen ve bundan sonra da elde edilecek kişisel verilerin nasıl bir süreçten geçeceği sorusu büyük önem kazanmıştır. KVK Kanunu; kişisel veri elde eden, işleyen, taşıyan veya saklayan gerçek veya tüzel kişiler için önemli bir dönüşüm ve adaptasyon süreci öngörmektedir. Gerçek veya tüzel kişiler tarafından gerekli olan bu dönüşüm ve adaptasyon sürecinin başarılı bir şekilde yapılmaması sonucu oluşacak hatalı uygulamalardan dolayı hem Türk Ceza Kanunu kapsamında hapis hem de KVK Kanunu kapsamında para cezası hükmedilebilecektir.

KVK Kanunun Suçlar başlığı altında doğrudan Türk Ceza Kanuna atıf yapılmış olup aşağıda yer alan suçları işledikleri sabit olanların, hapis cezasına çarptırılma riski bulunmaktadır.

• Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi: TCK 135. madde kapsamında, hukuka aykırı olarak kişisel verileri kaydedenkimseye 1 yıldan 3 yıla kadar hapis cezası verileceği düzenlenmiştir. 
• Kişisel Verilen Hukuka Aykırı Olarak Başkasına Verilmesi, Yayılması Ele Geçirilmesi: TCK 136. madde kapsamında, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçirenkişinin, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir.
• Yukarıda belirtilen suçların kamu görevlileri veya belirli bir meslek ve sanatın sağladığı kolaylıktan dolayı yapılması halinde TCK 137. maddesine göre ceza yarı oranında artırılacağı düzenlenmiştir.
• Kanuni Sürelerin Geçmiş Olmasına Rağmen Verilerin Yok Edilmemesi: TCK 138. madde kapsamında, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde1 yıldan 2 yıla kadar hapis cezası verileceği düzenlenmiştir.
• Güvenlik Tedbirleri: TCK 140. maddesinde yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunacağı ayrıca düzenlenmiştir.

Kanunda yazılan bu cezaların nitelikli hallerde işlenmesi durumunda ceza yarı oranında artırılmaktadır. Dolayısıyla mahkeme tarafından failler hakkında olayın özelliğine göre 6 yıla kadar hapis cezası kararı verilebilecektir.

KVK Kanunun Kabahatler başlığı altında ağır para cezaları öngörülmektedir. Bu kapsamda;

• Kanunda düzenlenen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 TL’den 100.000 TL’ye kadar,
• Kanunda düzenlenen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TL’den 1.000.000 TL’ye kadar,
• Kurul tarafından verilen kararları yerine getirmeyenlerhakkında 25.000 TL’den 1.000.000 TL’ye kadar,
• Kanunda düzenlenen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüneaykırı hareket edenler hakkında 20.000 TL’den 1.000.000 TL’ye kadar para cezası verilebilecektir.

Burada belirtilen tutarlar KVK Kanunda belirtilen tutarlar olup bu tutarlar her sene yeniden değerleme oranında yeniden belirlenmektedir. 27.11.2021 tarihli ve 31672 sayılı Resmi Gazete’de yeniden değerleme oranı %36,20 (otuz altı virgül yirmi) olarak açıklanmıştır. Bu çerçevede 2022 yılı itibariyle en düşük ceza miktarı 13.393 TL ve en yüksek ceza miktarı da 2.678.866 TL olarak belirlenmiştir.

Belirlenen bu cezaları Kişisel Verilerin Korunması Kurulu uygulamakta olup bu kapsamda; bir Avukata 50.000 TL, bir Özel Hava Yolu Şirketine 550.000 TL, bir Doktora 50.000 TL, bir İnternet Firmasına 730.000 TL, bir Bankaya 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

KVK Kanununun amacı; kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemekle başlamıştır. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir.

“Kişisel Veri”; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Yani saklanan veya işlenen veride kişinin net olarak belirtilmiş olması şartı vardır. Önemli olan verinin kişi ile ilişkilendirilebiliyor olması ya da onu tanımlayabilmesidir.  Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır.

KVK Kanununa göre “Kişisel Verinin İşlenmesi”; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde  edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Kişisel verileri işleyen gerçek veya tüzel kişiler “Veri Sorumlusu” olarak adlandırılır,

KVK Kanunu ile kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

KVK Kanunu, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek veya tüzel kişiler hakkında uygulanır. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes bu Kanun kapsamına alınmaktadır. Ancak Kanunda “Kişisel Verileri İşlenen Gerçek Kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur.

Kişisel verilerin korunması denildiğinde ilk olarak kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunması amaçlanmaktadır. Aslında kişisel verilerin korunması demek temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktır. KVK Kanunundaki ifadelere göre; kişileri, onlar hakkındaki verilerin işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder.

KVK Kanunu, bununla ilişkili ikincil mevzuat ve Kişisel Verileri Koruma Kurulu’nun vermiş olduğu kararlar çerçevesinde veri sorumlularının yükümlülükleri belirlenmiştir. Bu geniş mevzuat çerçevesinde veri sorumlularının yapması gerekenler şu şekilde sıralanabilir.

• Kişisel veri envanterinin hazırlanması

Veri Sorumluları Sicili Hakkındaki Yönetmeliğin 4. maddesine göre hazırlanması gereken envanter; faaliyetleri kapsamında kişisel veri işlemekte olan veri sorumlularınca tüm süreçlerin değerlendirilmesi, bu süreçler kapsamındaki tüm faaliyetlerin irdelenmesi, her faaliyetle ilgili işlenen kişisel verilerin tek tek belirlenmesi, bu kişisel verilerin hangi amaçlar ve hangi hukuki sebeple işlendiği, aktarılıp aktarılmadığı, kimlere aktarıldığı, işlenen kişisel verinin kimlere ait olduğu, her bir kişisel veri için veri sorumlusunca belirlenen saklama süresi, yurt dışına aktarım yapılıp yapılmadığı, verilerin güvenliği için hangi teknik veya idari tedbirlerin alındığı bilgilerinin detaylı analizinin yapılması sonucunda ortaya çıkacak bir tür rapordur.

Kişisel veri işleme envanteri şu satırları zorunlu olarak kapsamak durumundadır.

• Kişisel verilerin hangi amaçlarla işlenebileceği,
• Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,
• Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,
• Yabancı ülkelere aktarımı öngörülen kişisel veriler,
• Sicile kayıt tarihi ile kaydın sona erdiği tarih,
• Kişisel veri güvenliğine ilişkin alınan tedbirler,
• Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

• Kişisel veri işleme amaçlarının belirlenmesi ve hukuka uygunluk denetimlerinin yapılması

Kişisel verilerin işlenmesinde, kural olarak ilgilinin açık ve bilgilendirmeye dayanan rızasının alınması gereklidir. Ancak bunun istisnaları vardır. Genel nitelikteki kişisel veriler, açık rıza olmasa da belirli koşulların varlığı durumunda işlenebilir. Bu işleme koşulları kanununda açıkça belirtilmektedir.

Ancak, özel nitelikli kişisel veriler bakımından ise farklı bir durum söz konusu. Bu nitelikteki verileri işlerken çok dikkatli olunması gereklidir. Kanuna göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak kabul edilir. Bu özel nitelikli kişisel veriler istisnalar hariç ilgilinin açık rızası olmaksızın işlenmez.

• Kişisel verilerin saklanması ve imha politikasının hazırlanması

Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca veri sorumlusu sakladıkları tüm verilerinin bir analizini yapmalı ve hangi verilerin kişisel veri olduğunu veya olabileceğini belirlemelidir. Kişisel verilerin dahil oldukları kategoriler belirlenmeli (adres bilgileri, telefon görüşme kayıtları, kişisel sağlık verileri vb.) ve her veri kategorisi için işlenebilecek azami süre tespit edilmelidir.

• Kişisel verilerin korunması ile ilgili veri sorumlusunun mevcut bütün sözleşmelerinin ve sözleşmesel altyapısının gözden geçirilmesi ve bu mevzuata uygun hale getirilmesi

Kişisel Verilerin Korunması Kanunu, veri sorumlularının mevcut sözleşmelerinin ve sözleşmesel altyapılarının gözden geçirmesini gerektirir. Özellikle alt işveren sözleşmelerinde gizlilik maddeleri KVK Kanununa göre göre yeniden düzenlenmelidir. Kişisel Verilerin Devrine İlişkin sözleşmelerde baştan gözden geçirilmelidir.

• Kişisel verilerin korunması ile ilgili bilgilendirme metinlerinin hazırlanması

KVK Kanununa göre veri sorumlusunun temel yükümlülüğü bilgilendirmeye dayalı açık rızanın alınmasıdır. Yani veri sorumlusunun temel yükümlülüğü, veri ilgilisini bilgilendirmektir. Bu bilgilendirme; kişisel verilerin kim tarafından işlendiği, hangi amaçla işlendiği, bunların nasıl aktarıldığı, ilgili kişinin hakları (erişme, düzeltme, silinmesini talep etme gibi) konularda prosedürler hazırlanmalı ve ilgilinin bilgisine sunulmalı. Ancak bundan sonra veri ilgilisinin rızasını alabilirsiniz.

• Kişisel verilerin korunması ile ilgili prosedürlerin hazırlanması

 KVK Kanunu birçok noktada özel prosedürler çıkarılmasını gerektirmektedir. Nitekim bunların başında kurumun kişisel verileri imha politikası yer almaktadır. Yine, teknik ve idari güvenlik tedbirlerine ilişkin prosedürler, erişim yetkisine ilişkin prosedürler, laptop, kamera, telefon, internet, e-mail kullanım prosedürlerinin hazırlanması ve çıkarılması gereklidir.

• Süreçlerini ele alınarak kişisel verilerin korunması ile uyumlu hale getirilmesi

Veri sorumlusunun her türlü sürecini kişisel verilerin korunması ile uyumlu hale getirmesi gereklidir. Nitekim, her türlü kişisel verinin işlenmesinde temel ilkeler bulunmaktadır. Buna göre her türlü verinin işlenmesinde öncelikle bu ilkelere uygun hareket edilmesi zorunludur. Bunlar; hukuka ve dürüstlük kurallarına uygun olmak, doğru ve gerektiğinde güncel olmak, belirli, açık ve meşru amaçlar için işlenmek, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektir. Veri sorumlusunun her türlü süreci bu ilkeler doğrultusunda gözden geçirilmelidir.

• Kişisel verilerin korunması ile ilgili gereken idari ve teknik altyapının kurulması

 KVK Kanununa göre, veri sorumlusu kişisel verilerin korunması için gereken idari ve teknik tekbirleri almak zorundadır. Yapılması gereken bu idari ve teknik tedbirler hem hukuk, hem yönetim sistemleri hem de bilgi güvenlik sistemleri (IT) bilgisi gerektirmektedir. Bu kapsamda; mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık yaratılması, kişisel veri güvenliği politikasının ve prosedürlerinin belirlenmesi, veri işleyenler ile ilişkilerin yönetilmesi, siber güvenliğin sağlanması, kişisel veri bulunan ortamların güvenliğinin sağlanması gibi hususlar gerçekleştirilmelidir.

• VERBİS (Veri sorumluları sicil bilgi sistemi) kaydı

KVK Kanunu kapsamında veri sorumlusunun kaydolmak zorunda olduğu sicildir. Veri Sorumluları Hakkında Yönetmeliğe göre ilgili gerçek ve tüzel kişiler, veri işleme faaliyetleriyle ilgili bilgileri kategorik bazda VERBİS sistemine beyan etmek zorundadır. VERBİS sistemi ile gerçek ve tüzel kişilerin veri sorumlularının kimler olduğu açıklanır ve kişisel verilerin korunması hakkında nasıl bir yol, yöntem izleyeceklerini sisteme tanımlanmış olur. Bu yönetmelikte belirlenmiş istisnalar dışındaki gerçek ve tüzel kişilerin usule uygun biçimde eksiksiz olarak sisteme kayıtlarını yapmaları zorunludur.