"Kişisel Verilerin Korunması Hakkında Kanun"un getirdiği yükümlülükler ve yaptırımlar...
24 Mart 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu, 9 Temmuz 2018’de (Cumhurbaşkanı’nın and içerek göreve başladığı tarihte) yürürlüğe girdi.
Kanun, kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi amaçlıyor. (KVKK m.1)
Kişisel Verilerin İşlenmesi:
Kanunun amacında yer alan "kişisel verilerin işlenmesi" kavramı, kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır. Verilerin toplandıktan sonra silinmesi, yok edilmesi ya da anonim hale getirilmesi faaliyeti de yine kişisel verilerin işlenmesi kapsamında sayılmaktadır.
Açık Rıza - Battaniye Rıza Kavramı:
Kişisel verilerin işlenebilmesi, kanunda sayılan zorunlu haller dışında, ilgili kişinin açık rızasına bağlıdır. (KVKK m. 5) Kişisel verilerin aktarılabilmesi de yine kanunda sayılan istisna haller dışında ilgilinin açık rızasına bağlıdır. (KVKK m. 8) Açık rıza kavramı kanunda, ‘’belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza’’ şeklinde tanımlanmıştır. (KVKK m. 2)
Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar, “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. (Örneğin; “her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi…)
Kişisel Veri - Özel Nitelikte Kişisel Veri:
Buna göre, kimliği belirli veya belirlenebilir GERÇEK KİŞİYE ilişkin her türlü bilgi (kimlik, meslek, maaş, adres, telefon, mail vb.) kişisel veri olarak kabul edilir ve ilgili kişinin açık rızası olmaksızın elde edilemez, kaydedilemez, depolanamaz, muhafaza edilemez, değiştirilemez, yeniden düzenlenemez, açıklanamaz, aktarılamaz. Kanun, kişisel veri kapsamına yalnızca GERÇEK KİŞİLERE ait olan bilgileri almıştır. Tüzel kişilere ait veriler KVKK kapsamında değildir.
Öte yandan kanun, kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini mezhebi ve diğer inançları, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ise özel nitelikli kişisel veri olarak kabul etmiş, özel nitelikli kişisel verilerin işlenebilmesini daha sıkı şartlara bağlamıştır. (KVKK m. 6)
Veri Sorumlusu ve Yükümlülükleri:
Kanun, kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ‘’veri sorumlusu’’ olarak tanımlamıştır. Bu kapsamda tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi veri sorumlusu olarak kabul edilmiş, kanunda belirtilen tüm hukuki sorumlulukların tüzel kişinin şahsında doğacağını öngörülmüştür. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir.
Veri sorumlusu, kendi kurum veya kuruluşunda, kişisel verilerin hukuka aykırı işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemenin yanı sıra kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak ve KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (KVKK m. 12)
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının 31 Aralık 2019 tarihine kadar VERBİS (Veri Sorumluları Sicili) sistemine kayıt yükümlülüğünü bulunmaktadır. VERBİS kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000-TL’den 1.000.000-TL’ye kadar idari para cezası verilecektir. (KVKK m. 18/1-ç)
Kişisel Verileri Koruma Kurumu:
KVKK ile, idari ve mali özerkliğe sahip Kişisel Verileri Koruma Kurumu kurulmuştur. Kişisel Verileri Koruma Kurumu, Başkanlık ve Kişisel Verileri Koruma Kurulu’ndan oluşmaktadır. Kurul dokuz üyeden oluşur. Beş üyesi TBMM, dört üyesi ise Cumhurbaşkanı tarafından seçilir. Kurul üyelerinin görev süresi 4 yıldır. Süresi biten üye yeniden seçilebilir.
Kurulun temel görevi, kişisel verilerin temel hak ve özgürlüklere uygun işlenmesini sağlamaktır. Bu kapsamda, kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikayetleri kurul tarafından karara bağlanır. (KVKK m. 22)
Şikayet ve Tazminat Hakkı:
İlgili kişiler kanunun uygulanmasıyla ilgili taleplerini veri sorumlularına iletebilir, talebin 30 gün içinde sonuçlandırılmaması halinde Kişisel Verileri Koruma Kurulu’na başvurabilir. Kurul, talebi 60 gün içinde sonuçlandırır. Şikayet üzerine veya re’sen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması halinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar 30 gün içinde yerine getirilmek zorundadır. (KVKK m. 13-14-15)
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğrayan ilgili kişi, genel hükümlere göre tazminat talep edebilir.
Suçlar ve Kabahatler:
Kanunun "Suçlar" başlıklı 17. maddesi Türk Ceza Kanunu’na atıf yapmaktadır. TCK ‘nın 135. maddesinde, ‘’kişisel verilerin kanuna aykırı kaydedilmesi’’ suçu için 1 yıldan 3 yıla; 136. maddesinde, "verileri hukuka aykırı verme veya ele geçirme" suçu için 2 yıldan 4 yıla; 138. maddesinde ‘’kişisel verileri yok etmeme’’ suçu için 1 yıldan 2 yıla kadar hapis cezası öngörülmüştür.
Kanunun 18. maddesinde ise "Kabahatler" sayılmıştır. Buna göre Kurul tarafından; Kanunun 10. maddesindeki "aydınlatma yükümlülüğünü yerine getiremeyenler" hakkında 5.000-TL’den 100.000-TL’ye kadar,
12. maddesindeki "veri güvenliğine ilişkin hükümleri yerine getirmeyenler" hakkında 15.000-TL’den 1.000.000-TL’ye kadar;
15. maddesindeki "kurul tarafından verilen kararları yerine getirmeyenler" hakkında 25.000-TL’den 1.000.000-TL’ye kadar;
16. maddesinde sayılan "VERBİS kayıt ve bildirim yükümlülüğüne aykırı hareket edenler" hakkında 20.000-TL’den 1.000.000-TL’ye kadar İDARİ PARA CEZASI VERİLİR.
Kurul Kararlarından Bazı Örnekler:
25.03.2019 ve 31.05.2019 tarih, 2019/ 81 ve 2019/165 no’lu karar özetleri:
Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kurul tarafından, spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (2) numaralı fıkrasında yer alan "İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi ile bağdaşmadığı, öte yandan özel nitelikli kişisel verilerin Kanun kapsamında ancak ilgili kişilerin açık rızasına ya da Kanunun 6 ncı maddesinin (3) numaralı fıkrasında sayılan şartlar çerçevesinde işlenebileceği, bu kapsamda adı geçen veri sorumlusu tarafından avuç içi izi verisinin işlenmesi için kişilerden açık rızalarının alınması yoluna gidildiği ancak açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıkları dikkate alındığında üyelerden alınan açık rızanın Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına, Kişisel Verileri Koruma Kurulunun 21/12/2017 tarih ve 2017/62 sayılı “Banko, Gişe, Masa Gibi Hizmet Alanlarında Kişisel Verilerin Korunması”na ilişkin Kararı çerçevesinde üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında idari para cezası uygulanmasına karar verilmiştir.
31/05/2019 tarih, 2019/ 166 no’lu karar özeti:
İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili kurula yapılan başvuru sonucunda; gerek bir şirketler grubuna borçlu olduğu belirtilen ve şikayetçinin yeğeni olduğu anlaşılan şahsa ait ad, soyad ve hizmet numarasının şikayetçiye ait hatta gönderilmesi, gerekse şikayetçiye ait telefon numarasının, Kanunda düzenlenen işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti sonucunda Kanunun 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği anlaşılan veri sorumlusu avukat hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
08.07.2019 tarih, 2019/ 204 no’lu karar özeti:
Bir yatırım şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi ve reklam/bilgilendirme amaçlı aranması hakkında Kurula yapılan başvuru sonucunda; veri işleme şartları açısından değerlendirildiğinde Şirketin Şikayetçinin telefon numarasını işlemesinin 6698 sayılı Kanunun 5 inci maddesinde sayılan şartlardan herhangi birine dayanmaması nedeniyle Şirketin hukuka aykırı bir veri işleme faaliyetinde bulunduğu sonucuna ulaşıldığından, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı hareket etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi gereğince Şirket hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
