Günümüzde teknolojideki hızla ilerlemeler, interneti her yönüyle yaşamımıza dahil etti. Pandemi sürecinde ticaret ve iletişim internet üzerinden gerçekleştirilerek yaşamımızdaki yerini perçinledi. Sosyal medya dahil olmak üzere pek çok alanda kişisel verilerin önemi ortaya çıktı.
Bu gelişmelere paralel olarak siber suçlar, dolandırıcılık ve hak ihlalleri arttı.
Bu süreçte öne çıkan kavram ise “kişisel veri”.
Dünyada kişisel verinin değerinin çok artması hak ihlallerini getirdi.
Türkiye'de 7 Nisan 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanunu (KVKK) yürürlüğe girdi.
Kişisel Verilerin Korunması Hakkında Kanunu uyarınca 50 ve üzeri çalışanı olan veya son yıllık bilançosu 25 milyon TL ve üzeri olan şirketlerin Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kaydı zorunlu hale getirildi. Kanun uyum için işletmelere 2 yıl süre tanındı. VERBİS'e kayıt için son gün 30 Haziran iken bu tarih 30 Eylül 2020'ye uzatıldı.
VERBİS sistemine kayıt yaptırmamanın cezası ne?
VERBİS sistemine 30.09.2020 tarihine kadar kayıt yaptırmayan sorumlulara 10.000 TL-1.802.636 TL para cezası verilebilecek.
VERBİS sistemine kimlerin kayıt yaptırması gerekiyor?
Kişisel Verileri Koruma Kurulu’nun 2018/88 sayılı kararına göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişiler, yurtdışında yerleşik gerçek ve tüzel kişiler, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler ile kamu kurum ve kuruluşlarının sicile kayıt olması gerekmektedir.
Türkiye’de bu nitelikte 55.000 firmanın VERBİS'e kayıt yaptırması gerekiyor ama sadece yarısı kayıt yaptırmış durumda.
Kişisel verilerin korunması hakkının dayanağı nedir?
Anayasa’nın 20.maddesine 2010 yılında eklenen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” şeklindeki fıkra ile kişisel verilerin korunması açıkça anayasal güvence altına alınmıştır.
Kişisel Verilerin Korunması Kanununun amacı nedir?
KVKK ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır. Bu kapsamda, Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.
Kişisel veri nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.
Buna göre;
1.Gerçek kişiye ilişkin olma:
Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.
2.Kişiyi belirli veya belirlenebilir kılması:
Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.
3.Her türlü bilgi:
Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.
Kanunda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım yoluna gidilmediğinden, kapsamının genişletilmesi mümkündür.
Kişisel verilerin işlenebilmesi koşulu nedir?
KVKK nun 5/1 maddesi uyarınca kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak KVKK 5/2.maddesinde açıklanan şartlardan birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.
Özel nitelikli (hassas) kişisel veri ne demektir?
Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilemez. Bu bakımdan, özel nitelikli kişisel verilerin sınırlı olarak sayıldığı kabul edilir.
Özel nitelikli kişisel veriler nelerdir?
Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Buna göre, hassas veriler kişisel verilerin daha fazla koruma uygulanan küçük bir grubu olarak değerlendirilebilir.
Kişisel verilerin işlenmesi ne demektir?
Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Örneğin, kişisel verilerin sadece bir hard diskte, CD’de, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir. Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.
Kişisel Verilerin Korunması Kanunu’ndaki yükümlüklerine yerine getirmeyenlere verilecek idari para cezaları nelerdir?
KVKK 18/a maddesi;
“Bu Kanunun;
a)10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b)12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c)15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç)16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.” hükmünü içermektedir.
Yeniden değerleme oranlarına göre 2019 yılı için bu miktar; 29,411TL – 1.470.583 TL olarak belirlenmiştir.
2020 yılı için yeniden değerleme oranları ise;
Sonuç ve değerlendirme:
Günümüz koşullarında kişisel veriler her geçen gün ciddi ve büyük risklerle karşı karşıya kalmaktadır. E-ticaretten, sosyal medya uygulamalarına, online toplantılardan, sağlık uygulamalarına kadar pek çok alanda kişisel veriler tehlikeye girebilmektedir.
Bu anlamda KVKK'nun önemi daha da artmaktadır.
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) ile kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmak ve veri işleme faaliyetleri ile ilgili bilgileri beyan etmek zorundadır.
Fakat sorun sadece bilgisayar üzerinden bazı verilerin sisteme girilmesi ile çözülemez.
Bunun için;
VERBİS sistemine kayıt gerçekleştirilmeden önce işletmenin tüm birimlerinin analiz edilmesi, veri kaynaklarının ve veri yaşam döngüsünün tespit edilmesi, tespit edilen veri işleme faaliyetleri nazara alınarak süreç bazlı veri işleme envanterlerinin hazırlanması gerekmektedir. Ayrıca, saha çalışmasıyla eş zamanlı olarak risk analizi, boşluk analizi ve veri minimizasyonu çalışmalarının yapılması; çalışmalar neticesinde hazırlanacak raporlar uyarınca işletmenin kişisel veri mevzuatına uygun olarak yeniden yapılandırılması ve yapılan raporlamalar neticesinde mevzuat gereği zorunlu olan politika ve prosedürler ile şirket ihtiyaçları dolayısı ile zaruri görülen ihtiyari politika ve perosedürlerin hazırlanması, mevzuata tam anlamıyla uyumluluğun sağlanması açısından gereklidir.
VERBİS’e kayıt için son süre 30.Eylül.2020.
Peki işletmeler bu sürece hazır mı?
