Blog
CMM Kişisel Veri Danışmanlık Hizmetinde LiderDiğer Yazılar
- Reklam/Bilgilendirme Mesajlarının Kişisel Verilerin Korunması Kanunu Kapsamında Değerlendirilmesi Başlıklı Yazımız Yayımlandı
- Kişisel Verilerin Korunması Kapsamında İlgililer Başlıklı Çalışmamız ‘hukukihaber.com’ Sitesinde Yayımlandı
- Kişisel Verilerin İşlenmesinde Veri İlgilisinin Hakları
- Kişisel Verilerin Aktarılması
Kişisel Verilerin Korunması Kapsamında İlgililer Başlıklı Çalışmamız ‘hukukihaber.com’ Sitesinde Yayımlandı
KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA İLGİLİLER
04 Nisan 2020
KONUNUN TAKDİMİ VE ÖNEMİ
Gün geçtikçe teknolojinin daha hızlı ve kontrolsüz ilerlemekte olması, sosyal medyanın hayatımızın her alanında yer edinmesi mevcut dünya düzeninde birtakım temel kaidelerin değişmesine de sebebiyet vermektedir. Asırlardır insanoğlu için değer izafe eden metaryellerin yerini fikirler ve kişilere ait bilgiler aldı. Öyle ki 3 milyar 480 milyon kişi aktif olarak sosyal medyayı, 4 milyar 380 milyon kişi de interneti kullanıyor. Türkiye’de ise 52 milyon sosyal medya, 59 milyon 300 bin de internet kullanıcısı bulunuyor. Halihazırda sosyal medya uygulamaları, kullanıcılarının paylaşımları ve doğal olarak kişisel verileri üzerinden varlığını sürdürebiliyor. Pek tabi bu durumun sonucu olarak artık literatürde ‘data is the new oil’ ( veri günümüzün petrolüdür ) söylemi yer alıyor.
Bütün bunların neticesinde özel hayatımızın gizliliği ve kişisel verilerimizin erişilebilirliğine ilişkin kaygılarımız arttı. Kişisel verilerin güvenliğinin sağlanması amacıyla hukuk düzenimizi revize etme zorunluluğu ortaya çıktı. İlk olarak 2010 yılında Anayasa değişikliği ile 20.maddeye ilaveten : ”Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”[1] hükmü getirildi. Düzenlemeyle birlikte kişisel verilerin korunması, kişisel haklar başlığı altında Anayasal güvence ile teminat altına alındı.
2016 yılı Nisan Ayında da kişisel verilerin korunması amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girdi. Bu yazımızda sizlere kanunun getirmiş olduğu düzenlemeler ışığında genel hatlarıyla kişisel verilerin korunmasının kapsamından ve bu kapsamda ilgililerin sorumluluklarından bahsedeceğiz.
Kanunun Kapsamı ve İlgililer
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere; kişilerin temel hak ve özgürlüklerini korumak, kişisel verilerin erişilebilirliğini sınırlandırmak gibi mahremiyete ilişkin temel gereklilikleri temin etmek maksadıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girdi. Kişisel Verilerin Korunması Kanunu, veri işleyen gerçek ve tüzel kişilere birtakım yükümlülükler getirdi. Kanunun 2. maddesinde hükmolunan:”(1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.”[2] ibaresiyle, kişisel verilerin işlenmesinde sorumluluk sahibi olanların genel yanılgının aksine yalnızca VERBİS’e kayıt yükümlülüğü olanlar değil veri işleme işini sürdüren tüm gerçek ve tüzel kişiler olduğunu görmekteyiz. Kanun yalnızca belirli bir çalışan sayısı yahut bilanço toplamına ulaşan veri sorumlularına Verbis’e kayıt zorunluluğu getirdiği halde veri sorumlusu olan ve veri işleyen tüm gerçek ve tüzel kişilerin kanun kapsamındaki sorumlulukları yerine getirmek zorunda olduğunu öngörmüştür. Özetle günümüz çalışma hayatında herkesin veri işlemekte olduğu göz önüne alındığında 6698 sayılı Kişisel Verilerin Korunması Kanunu kişisel veri işlemekte olan tüm gerçek ve tüzel kişileri ( muhasebeciler, doktorlar, eczaneler, avukatlar, hastaneler, tüm şirketler ) kapsamaktadır. Tüm bu gerçek ve tüzel kişiler Verbis siciline kayıt zorunluluğu bulunmasa dahi kanundan kaynaklanan tedbirleri almak ve yükümlülüklerini yerine getirmek zorundadır.
Uygulamada yoğunlukla karıştırıldığı için önemle belirtmekte fayda var kişisel verileri elinde bulunduran ve işleyen tüm gerçek veya tüzel kişilerin söz konusu verilerin korunması ve erişiminde sınırların belirlenmesine ilişkin yükümlülükleri bulunmaktadır. Ayrıca ihlal durumunda gerekli tedbirlerin alınması ve mutlak surette kanunun lafzına göre ”en kısa” zamanda –Kişisel Verileri Koruma Kurulunca en kısa zaman ibaresi veri sorumlusunca ihlalin öğrenilmesi anından itibaren 72 saat olarak yorumlanmıştır.-[3] Kişisel Verileri Koruma Kurumu’na bildirilmesi gibi kanunda düzenlemesi bulunan birtakım yükümlülüklere uymak zorundadır.
Yeterli şartları taşıması halinde veri sorumluları için bir başka yükümlülük de VERBİS’e kayıt yükümlülüğüdür. Kanunun 16. maddesinin 2. fıkrasında: ”Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.” hükmü ve geçici 1.maddeye göre: ”Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” şeklinde yükümlülükler getirilmiştir. Yine yeri gelmişken ifade edelim, ilgili veri sorumluları için VERBİS’e kayıt son tarihleri güncel haliyle şu şekildedir:
TABLO:
| İLGİLİ VERİ SORUMLULARI | KAYIT İÇİN SON TARİH |
| Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları | 30.09.2020 |
| Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları | 31.03.2021 |
| Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları | 30.09.2020 |
| Kamu kurum ve kuruluşu veri sorumluları | 31.03.2021 |
Yukarıda da belirtmiş olduğumuz gibi ”Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olma” kriteri yalnızca Verbis’e kayıt olma yükümlülüğü ile ilgili olmakla VERBİS’e kayıt yükümlülüğü bulunmayan veri sorumlularının da Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat dahilinde tıpkı VERBİS sorumluları gibi teknik ve idari tedbirleri almak zorunda olduğu, kurumun denetimine ve cezai sorumluluklara tabii oldukları unutulmamalıdır.
Av. İbrahim Çağdan ÜNLÜ
Stj. Av. Alperen DURAN
Kaynakça
1.Anadolu Üniversitesi (AÜ) Sosyal Medya ve Dijital Güvenlik Eğitim, Uygulama ve Araştırma Merkezi (SODİGEM) Bilim Kurulunca, teknoloji kullanımına ilişkin verilerden oluşan “2019’u Bitirirken Sosyolojik Açıdan İnternet ve Sosyal Medya İstatistikleri Raporu”
2.Oğuz Şimşek, Anayasa Hukukunda Kişisel Verilerin Korunması, İstanbul 2008
3.Kişisel veri ihlali bildirim usul ve esaslarına ilişkin Kişisel Verileri Koruma Kurulu’nun 24.01.2019 tarih ve 2019/10 sayılı kararına ilişkin duyuru
4.6698 sayılı Kişisel Verilerin Korunması Kanunu
————————————
[1] İlgili Anayasa maddesi için bkz. www.mevzuat.gov.tr (Erişim Tarihi ve Saati: 29.03.2020- 18.46)
[2] 6698 sayılı kanun için bkz. www.mevzuat.gov.tr (Erişim Tarihi ve Saati: 29.03.2020- 19.26)
[3]Kişisel veri ihlali bildirim usul ve esaslarına ilişkin Kişisel Verileri Koruma Kurulu’nun 24.01.2019 tarih ve 2019/10 sayılı kararına ilişkin duyuru için bkz. www.kvkk.gov.tr (Erişim Tarihi ve Saati: 30.03.2020 – 11.20)