• Esentepe Mah. Büyükdere Cad. No:122 A Blok Kat:6 Öz Sezen İş Merkezi
  • Randevu Al

KVKK Danışmanlığı

KVKK

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU’NA GENEL BAKIŞ (*)


1. Kanunlaştırmada Tarihsel Süreç

Günümüzün dünyasında dijitalleşmenin yaygınlaşması ve dijital uygulamaların hayatın birçok alanına temas eden vazgeçilmez unsurlar haline gelmesiyle birlikte kişisel verilerimizin korunması hususu da önemini artırmıştır. Kişisel verilerin koruma altına alınması özellikle 1970’li yıllarda Avrupa’da belirli kurallara bağlanılmaya çalışılmıştır. Bu alanda ilk düzenleme 1970 yılında Almanya’nın Hessen Eyaleti’nde kabul edilen veri koruma kanunudur. Akabinde 1973 yılında İsveç ve 1978 yılında Fransa’da benzer nitelikte yasalar çıkarılmıştır. Bu konuda uluslararası ile düzenleme ise Avrupa Konseyi tarafından kabul edilen 1981 tarih ve 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme” olmuştur. Türkiye, Avrupa Konseyi üyesi olması nedeniyle 28 Ocak 1981 tarihinde bu sözleşmeyi imzalayan ilk ülkelerden birisi olmuştur. Bu Sözleşme, 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete ’de yayımlanarak iç hukuka dâhil edilmiştir. Akabinde 7 Nisan 2016 tarihli Resmi Gazete ’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel veriler yasal olarak koruma altına alınmıştır.


2. Kanunun Amacı ve Kapsamı

6698 sayılı kanunun 1. maddesinde kanunun amacı: “... kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.” şeklinde tanımlanmıştır. Kanunun kapsamının yer aldığı 2. maddesinde de: “ ... kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” hükmü yer almaktadır. Anılan yasal düzenlemelerden anlaşılacağı üzere 6698 sayılı kanun gerçek kişilere ait kişisel verileri koruma altına alırken kişisel verileri kayıt altına alan gerçek ve tüzel kişilere yükümlülük yüklemektedir.

KVKK

3. Hak ve Yükümlülükler

Kişisel verinin tanımı ise kanunun 3. maddesinde yer almış ve “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade ettiği kurala bağlanmıştır. Söz konusu tanımlamada “her türlü bilgi” denilmek suretiyle ucu açık ve soyut bir tanımlama yapılmasındaki amaç ise: kişisel verilerin basit olarak kişinin adı ve soyadı, adresi, telefon numarası gibi bilgiler olabileceği gibi sokakta yürürken güvenlik kamerası ile çekilen görüntüsü, sosyal medya hesabı, Hes kodu gibi teknolojik gelişmeler ve yeni tür kimlik tanımlamaları gibi sonradan ortaya çıkabilecek bilgilerin de kanun kapsamında değerlendirilebilmesidir. Bu bakımdan oldukça geniş kapsamlı olarak tanımlanan kişisel veriler yasa ile koruma altına alınmıştır. Gerçek kişilere ait kişisel veriler yasal olarak korunmakla birlikte bu verileri işleyen ve kanunda veri sorumlusu olarak tanımlanan gerçek ve tüzel kişilere de yükümlülükler yüklenmektedir.


Öncelikli olarak veri sorumlusu (kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi) kişisel verileri kanunun 4. maddesinde yer alan ilkeler doğrultusunda işlemelidir. Ve yine kanunun 5. ve 6. maddelerinde yer alan hukuki sebeplere dayanarak veriler işlenmelidir.


Veri sorumlusu veri işleme faaliyeti kapsamında yasanın çizdiği çerçeveye uygun hareket etme yükümlüğünün yanında Kişisel Verileri Koruma Kurulu tarafından alınan kararlara da uymak zorundadır. Nitekim kanunun uygulanmasına ve denetim görevinin yerine getirilmesinde tek yetkili kurum Kişisel Verileri Koruma Kurumu olup, kurumun karar mercii de Kişisel Verileri Koruma Kurulu’dur. Bu nedenle kanunun uygulanmasına yönelik olarak kurul tarafından verilen kararların takip edilmesi ve kararlara uygun veri işleme faaliyetinde bulunulması gerekmektedir.


Veri sorumlusunun bu yükümlülüklerinin yanında kişisel verisi işlenen kişiye karşı da yükümlülükleri bulunmaktadır. Bu yükümlülüklerin en başında “Aydınlatma Yükümlülüğü” bulunmaktadır. Bu yükümlülük gereği veri sorumlusu kişisel verisi işlenen ilgili kişiyi veri işleme faaliyeti konusunda bilgilendirmek zorundadır. Bilgilendirme yazılı olabileceği gibi görsel bilgilendirme şeklinde de olabilir. Kanun bilgilendirmenin şekli konusunda bir sınırlandırma getirmemiş olmakla birlikte aydınlatmanın yapılmış olmasının ispat külfetini veri sorumlusuna yüklemiştir.


Veri sorumlusunun kişisel verisi işlenen ilgili kişiye karşı diğer bir yükümlülüğü de işlenen verilerin güvenliğini sağlamasıdır. Bu konuda veri sorumlusu tarafından gerekli idari ve teknik tedbirlerin alınması zorunludur. Veri güvenliğinin sağlanmaması sonucu ilgili kişinin uğrayacağı zarardan veri sorumlusu sorumlu olacaktır.


Veri sorumlusunun kişisel verisi işlenen ilgili kişiye karşı başka bir yükümlülüğü de kanunun 11. maddesinde ilgili kişiye tanınan hakların kullanımı konusunda veri sorumlusuna yapılacak başvuruya cevap verilmesidir. Bu başvuruya 30 gün içerisinde cevap verilmelidir. Cevap verilmez ya da verilen cevap ilgili kişi tarafından yeterli görülmez ise ilgili kişi Kişisel Verileri Koruma Kurumu’na şikâyet yoluna gidebilir.


KVKK

4. Veri Sorumluları Sicil Bilgi Sistemi – VERBİS

Kanunun 16. maddesinde; ” ... Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir...” hükümleri yer almaktadır.


Bu konudaki ilk karar 19/07/2018 tarih ve 2018/88 sayılı karardır. Karara göre;


Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar,

Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar,


Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar,


- Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesine karar verilmiştir.


Son olarak Kişisel Verileri Koruma Kurulunun 11/03/2021 tarih ve 2021/38 sayılı kararı ile Veri Sorumluları Siciline kaydolma süresi 31/12/2021 tarihine kadar uzatılmış olup, anılan kanun hükmü gereğince sicile kayıt yükümlülüğüne getirilen kriterler de son olarak bu kararda dile getirilmiştir. Hali hazırda bu sürenin geçmesi ve kurulca da başka bir karar yayınlanmamış olması dikkate alındığında veri sorumlularının cezai müeyyideye uğramamaları için VERBİS kayıtları yapmış olmaları gerekmektedir. Öte yandan, VERBİS kayıt yükümlülüğü doğan veri sorumlularının bu kriteri sağladığı tarihten itibaren 30 gün içerisinde kayıt yapmaları gerekmektedir.


5. Kanunun İstisnaları

Kanunun 28. maddesinde kanun hükümlerinin uygulanmayacağı istisnalar belirlenmiştir. Anılan madde hükümleri gereğince; kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi, kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi, kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi hallerinde kanun hükümlerinin uygulanmayacağı kurala bağlanmıştır.


Aynı maddenin 2. fıkrasında da; kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi, kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması, kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması durumlarında kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10., zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11. ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. maddelerinin uygulanmayacağı belirtilmiştir.


(*) KAYNAKÇA

Yararlanılan internet siteleri:


1- www.tbmm.gov.tr

2- www.kvkk.gov.tr

3- www.mevzuat.gov.tr