blog-hero-left-bg blog-hero-right-bg
Kişisel verileri koruma ve VERBİS
Blog-hero
HUKUK/VERGİ

Kişisel verileri koruma ve VERBİS

Son yıllarda gündemden düşmeyen bir konu olan kişisel verilerin korunması, 07.04.2016 tarihli Resmi Gazetede, 6698 sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNU olarak yayımlanmış olup 07.10.2016 tarihinde yürürlüğe girmiştir. Bu yazıda KVKK'nın uygulamaya yönelik kısımlarına ve VERBİS’in işleyişine ilişkin bilgiler bulacaksınız.

Sima Baktaş, Avukat

Ortalama okuma süresi 11 dk

Önceleri uygulamada ilgili kanuna KVKK denilse de son zamanlarda KVK yani sadece Kişisel Verilerin Korunması olarak kısa adını görmekteyiz.

Aradan neredeyse 4 yıl geçmesine rağmen gerçek ve tüzel kişilerin gündemini oldukça meşgul eden ve meşgul etmeye devam edecek bir sistem olarak karşımıza çıkmaktadır.

Kanunun amacı nedir?

Son yıllarda hızla gelişen teknoloji ile kişilerin verileri kontrolsüz bir şekilde birçok platformlarda kullanılmakta ve 3. kişilerle yine kontrolsüz bir şekilde paylaşılmaktadır. Bu verilerin paylaşımı birçok kişinin mağdur olmasına yol açmaktadır. Işık hızıyla web sitelerinde “okudum- kabul ediyorum” dediğimizde dahi birçok verimizin haberimiz olmadan birçok platformda kullanıldığını görmekteyiz. Öyle genelgeçer müşteri/kullanıcı/hizmet alan izin alıp tüm verileri dilediğiniz yerde işlemek de değil. Bunu yaptığınız zaman hem hukuki hem de cezai sorumluluğunuz olacaktır.

Bu yasal düzenleme ile başta Avrupa olmak üzere verilerin hukuksuz bir şekilde elde edilmesi, paylaşılması, sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmış böylece kişisel verilerin işlenmesi disiplin altına alınması anlayışı ortaya çıkmıştır. Türk Hukuku’nda geç de olsa mevzuat oluşturulmuş ve Kişisel Verileri Koruma Kurumu tüzel kişiliği kurulmuştur. Kanunda kişisel verilerin işlenmesinde uyulması gereken genel ilkeler belirlemiştir.

Bu ilkeler nelerdir?

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sıralanmıştır.

Tabii bu ilkeler oldukça yoruma açık ve tam olarak netlik kazanmamış durumda. Ancak son zamanlarda verilen kurul kararları neticesinde bazı soru işaretlerine cevap verilmiştir. Kurulun kendi içinde içtihat oluşturması ve paralel şekilde mahkeme nezdinde de emsal kararların çıkması, tam olarak verilerin nasıl korunacağına açıklık getirecektir. Tabii ilgili mevzuat bununla kalmıyor, oldukça geniş bir biçimde yayınladığı yönetmelik ve tebliğlerle daha fazla detaya giriyor. Daha anlaşılır olması açısından detaya girmeyeceğim.

Kişisel veriler nasıl işlenebilir?

Kanun belirli şartlar çerçevesinde kişisel verilerin işlenmesine olanak vermektedir. Bunlar:

  • İlgili kişinin açık rızasının varlığı,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yasada Veri Sorumlusu ve Veri İşleyen diye bir tanımla karşı karşıyayız. Bu tanımlar yasanın doğru yorumlanması ve uygulanması açısından oldukça önem arz ediyor.

Veri sorumlusu kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Görüldüğü üzere yasa tanımı oldukça geniş tutmuş. Yani Veri Sorumlusu kısaca: Kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Veri işleyen kimdir?

Veri işleyen, veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir. Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır.

Veri İşleyen: Ben teknik işler yaparım veri sorumlusu ne derse onu yaparım talimatlara uyarım herhangi bir ihlalden sorumlu değilim diyemez. Zira kanun müştereken sorumludur diyor. Her ne kadar talimatlara uyulsa da yapılan teknik çalışmalar hukuka uygunluk halleri veri işleyen açısından da önem arz etmektedir.

Bir de VERBİS diye bir şey çıktı. Birçok şirket telaş içinde aman ne zaman nasıl olacak nasıl kayıt olacağız bunun teknik ve hukuki alt yapısı nedir gibi yüzlerce soru havada uçuşmakta. Hemen açıklayalım.

Nedir bu VERBİS?

Veri Sorumluları Sicili, veri sorumlularının kaydedildiği, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir. Diğer bir deyişle VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kayıt olmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir. Böylece ‘Veri Sorumlularına’ oldukça sorumluluk yüklenmiştir. VERBİS’e veri sorumlularınca girilen bilgiler kurumun www.kvkk.gov.tr adresi üzerinden yapılmaktadır.

Peki VERBİS güvenilir mi neden merkezi bir sisteme bilgilerimizi paylaşalım?

Kurul der ki:

  • Veri Sorumluları Sicili hiçbir şekilde kişisel veri barındırmayacaktır.
  • VERBİS sistemine, ilgili kişilerin kişisel verileri değil, aksine başlıklar halinde kategorik bazda hangi tür kişisel verilerin hangi amaçlarla işlendiği, ne kadar süreyle muhafaza edileceği ve kategorik bazda nerelere aktarılabileceği gibi bilgiler girilecektir.
  • Bu nedenle, VERBİS kesinlikle kişisel veri içermeyecek ve dolayısıyla da kişisel verilerin kamuya ifşa edilmesi gibi bir durum da söz konusu olmayacaktır.

Yani sistemde kesinlikle verilerin detaylı olarak tutulmadığı ve tamamen KORUMALI bir sistem olduğu söylenmektedir.

VERBİS sicile kayıt yükümlülüğü olan veri sorumluları

  • Yurtiçinde Yerleşik Gerçek / Tüzel Kişi,
  • Yurtdışında Yerleşik Gerçek / Tüzel Kişi,
  • Kamu Kurum ve Kuruluşları

VERBİS’ e kayıt yaptırmak zorunda olmayanlar

*Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,

  • Noterler,
  • Dernek ve Vakıflar
  • Siyasi Partiler,
  • Avukatlar
  • Gümrük müşavirleri,
  • Arabulucular,
  • Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar.

Yukarıda sayılanlar VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur. Ancak ben nasıl olsa istisnayım bana bir şey olmaz dememeli keza kurul KVK’ya aykırılık söz konusu olduğunda yaptırımlar uygulanır diye ayrıca uyarıda bulunmuştur.

Kişisel verileri işlenenlerin ya da işlendiğinden şüphe edenlerin ne gibi hakları vardır?

Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

  1. Kişisel verilerinin işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. Maddenin (3) ve (6) bentlerinde belirtilen düzeltme, silme ve yok etme talepleri doğrultusunda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Ancak şunu unutmamak lazım. Önce ilgili kişi ‘Veri Sorumlusuna’ başvurmak zorundadır. Aksi takdirde doğrudan kurula başvuramaz.

Kişisel verilerinizin hukuka aykırı işlendiğini tespit ettiniz. Bu durumda ne yapmalısınız?

Önce Veri Sorumlusuna başvuruyoruz o konuda artık eminiz.

  • Veri Sorumlusu en geç otuz gün içinde kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabı ilgili kişiye yazılı veya elektronik ortamda bildirmesi gerekir.
  • İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve veri sorumlusuna başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
  • İlgili kişi kurul dışında kişilik haklarının ihlal edildiği gerekçesi ile Savcılığa şikayete bulunabileceği gibi özel hukuk genel hükümlere göre tazminat da talep edebilir.
  • Kurul şikayet üzerine mi hareket eder? Hayır KURUL re’sen de gerekli incelemeleri yapma hakkına sahiptir.
  • Ayrıca Kanunda telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, Kurula veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verme yetkisi tanınmıştır.
veri sorumlusu şikayet

Kurul kişisel verilerin hukuka aykırı olarak işlendiğine karar verdiği takdirde:

  • Aydınlatma ve Veri Güvenliğini Sağlama,
  • İdari Para Cezası Yaptırımına Karar Verme (Her yıl kurul tarafından belirlenmektedir.) yaptırım kararlarına karşı yargı yolu açıktır.

Kişisel veriler için geçiş süresi nedir?

VERBİS’e kayıt zorunluluğunda en son tarih 31.12.2019 iken yine birçok kurumun VERBİS’e kaydını yetiştirememesi nedeni ile tarih tekrar uzatıldı.

VERBİS'e son kayıt tarihleri

Veri Sorumluları Kayıt Yükümlülüğü Başlangıç Tarihi Kayıt için Son Tarih
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları 01.10.2018 30.06.2020
Yurtdışında yerleşik veri sorumluları 01.10.2018 30.06.2020
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 30.09.2020
Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 31.12.2020

VERBİS’deki bilgilerin kamuoyuna açık tutulması ilkesi nedir?

Kişisel verisi işlenen gerçek kişilerce verileri üzerinde kontrolün sağlanabilmesi, kişisel verilerini işlediği gerçek kişilere her zaman hesap verebilir olması ve şeffaflık ilkeleri gereği VERBİS’e girilen bilgilerin görüntülenebilmesi ve varsa ihlalin tespiti için Kanun, kamuya açıklık ilkesini benimsemiştir. İşte tam bu nedenle VERBİS Hizmetlerinin artık e-Devlet üzerinden incelenmesi imkanı verilmiştir. e-Devlet (turkiye.gov.tr) Platformu üzerinden “Kurumlar” başlığı altından giriş yaparak “Kişisel Verileri Koruma Kurumu” bölümü aracılığıyla ulaşılabilecektir.

Size olabildiğince genel çerçeveyi kısaca aktarmaya çalıştım. İlgili mevzuatın hukuk sistemimiz açısından yeni bir sistem olmasından dolayı hukukçulara danışmanızı öneririm.

Kaynak :

  • 6698 sayılı Kanun (KVK )
  • KVK Tebliğ -Yönetmelik
article-cloud-right

Yeni çıkan yazılarımızdan haberdar olmak ister misiniz?