KİŞİSEL VERİLERİN KORUNMASI KANUNUNA GENEL BİR BAKIŞ



1-KVKK NEDİR?
KVKK, Kişisel Verilerin Korunması Kanunudur. Aynı zamanda bu kanunu işletebilmek ve süreçleri sürdürebilmek için KVKK kurumu hayatımıza girmiştir. Bu tarihten sonra denetimler başlayarak kişisel verilerin korunması konusunda ciddi adımlar atılmaya başlanmıştır. Uzun bir süredir tasarı halinde bekleyen KVKK kanunu 7 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girmiştir. Bu sayede kişisel verilerin işlenmesinden tutun da özel hayatın gizliliğine kadar kişilerin temel hak ve özgürlüklerini korumak için kişisel verileri işleyen firmaların yükümlülükleri ile uyacakları kurallar belirlenmiştir.



2-KİŞİSEL VERİ NEDİR?
6698 sayılı Kişisel Verilerin Korunması Kanununda kişisel veri, kimliği belli ya da belirnebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Yani saklanan veya işlenen veride kişinin net olarak belirtilmiş olması şartı vardır. Örnek vermek gerekirse, unvan bilgisi, ad, soyad ve e-posta birlikte yer aldığı için tek bir kişiyi işaret ettiğini net olarak söyleyebiliriz. Önemli olan verinin kişi ile ilişkilendiriliyor olması ya da onu tanımlayabilmesidir. Örneğin, takma isimler tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir. Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.



3-KVKK’NIN AMACI NEDİR?
KVKK Kanununun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemekle başlamıştır. Kişinin mahremi yetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. KVKK kanunu ile, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanır.



4-ÖZEL NİTELİKLİ (HASSAS) KİŞİSEL VERİ NE DEMEKTİR?
KVKK Kanununun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemekle başlamıştır. Kişinin mahremi yetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. KVKK kanunu ile, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanır.



5-KİŞİSEL VERİLERİN KORUNMASI KANUNU KİMLERİ KAPSAMAKTADIR?
Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes bu Kanun kapsamına alınmaktadır. Ancak Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur. Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Diğer bir yandan, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.

6-VERBİS’e Kayıt Zorunluluğu ve Kayıt Zamanı
6698 sayılı Kanunun 16 ncı maddesi bilanço büyüklüğü 25 milyon ve yıllık çalışan sayısı 50’den fazla olan şirketlere ayrıca Veri Sorumluları Sicil Bilgi Sistemine “VERBİS” sistemine kayıt ve veri envanteri çıkarmak gibi ilave yükümlülük getirilmiştir. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Sicil Bilgi Sistemine kayıt yükümlülüğü 01.10.2018 tarihinde başlamış olup 30.09.2019 tarihinde sona erecektir. Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için ise Veri Sorumluları Sicil Bilgi Sistemine kayıt yükümlülüğü başlangıç tarihi 01.01.2019 olarak uygulanacak ve sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilecektir.



7-Yükümlülüklere Uymamanın Cezaları
6698 sayılı Kanunun 10 uncu maddesinde kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin ilgili kişilere bilgi vermekle yükümlü olduğu belirtilmiştir. Bu maddede öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 TL’den 100.000 TL’ye kadar idari para cezası uygulanacağı hükme bağlanmıştır. 6698 sayılı Kanunun 12 inci maddesinde veri güvenliğine ilişkin yükümlülükler belirlenmiş olup söz konusu maddede öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TL’den 1.000.000 TL’ye kadar, idari para cezası uygulanacağı hükme bağlanmıştır. 6698 sayılı Kanunun 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanacağı hükme bağlanmıştır. 6698 sayılı Kanunun 18 inci maddesinin (ç) bendinde, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğü kapsamında olmasına rağmen bu yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kişisel Verileri Koruma Kurulunca 20.000 TL ila 1.000.000 TL arasında idari para cezası uygulanacağı hükmüne yer verilmiştir.