İZSİAD-İzmir Sanayici ve İş İnsanları Derneği tarafından çıkarılan dergiye yazdığımız makaleyi paylaşıyoruz.
KİŞİSEL VERİLERİN KORUNMASI
Sevgili İZSİAD Üyeleri, kaleme aldığımız makalemiz ile Ülkemiz’de son günlerde çokça sorulan ve Şirketlerimizin gündemine giren Kişisel Verilerin Korunması Kanunu çerçevesinde, sizlere genel bilgi paylaşımı yapmayı amaçlamış bulunmaktayız.
Kişisel veri kavramı Türkiye’de son dönemde ele alınmıştır. Aslında, gerek dünyada ve gerekse Avrupa Ülkeleri’nde de çok eskiye dayanmamaktadır. Özellikle iletişim teknolojisinin gelişmesi, cep telefonlarımızın birer mini bilgisayar haline gelmesi, kötü niyetli bir takım kimselerin sizin kişisel bilgilerinizi bir şekilde ele geçirmeleri ile istenmeyen adli sonuçları olan olaylarla karşılaşmanıza da neden olmaktadır.
Avrupa Parlamentosu ve Avrupa Konseyi’nin 24/10/1995 tarihli ve 95/46/EC sayılı, Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Direktifi başlığı ile hazırlanan direktif ile İnsan Hakları ve Temel Özgürlüklerin Korunması Hakkındaki Avrupa Sözleşmesi’nde ve Birliğe Üye Devletler’in anayasaları ve yasalarında tanınan temel haklar üzerinden demokrasiyi geliştirerek, barış ve özgürlüğü koruyup güçlendirerek halkların yaşama koşullarının sürekli iyileştirilmesi amaçlanmıştır.
Avrupa Birliği yurttaşlarının kişisel verilerin korunması amaçlı olarak, 2016/679/EU sayılı General Data Protection Regulation kısaca GDPR (Genel Veri Koruma Yönetmeliği) oluşturulmuştur. 14/06/2016 tarihinde Avrupa Parlamentosu’nda onaylanan bu düzenleme 25/05/2018 tarihinde yürürlüğe girmiştir. Bu yönetmelik, 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Direktifinin yerini almıştır. Sözkonusu mevzuat ile Avrupa Birliği’ne üye ülkelerin tüm kurumlarında ve özel şirketlerinde, Birlik üyesi ülkelerde yaşayan yurttaşlara ait kişisel verilerin, belirli kurallar altında korunması amaçlanmıştır.
Ülkemizde ise 24/03/2016 tarihinde kabul edilen ve 07/04/2016 tarih, 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren (bir kısım maddelerin bilahare yürürlüğe girmesi düzenlenmiştir) 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel veri güvenliği konusu, hukuk sistemimiz içerisine girmiş bulunmaktadır.
Gerek Avrupa ve gerekse Ülkemizde yasal düzenlemenin amacı kişisel verilerin korunması olduğuna göre kişisel veri tanımının ne olduğu önem kazanmaktadır.
GDPR’nin Tanımlar başlıklı 1. Maddesinin (a) fıkrasında Kişisel Veri;
“fiziksel, fizyolojik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özel bir veya daha fazla faktöre veya bir kimlik numarasına atıf başta olmak üzere doğrudan veya dolaylı olarak tespit edilebilen bir tespit edilebilir kişi; tespit edilmiş veya tespit edilebilir gerçek kişiye ilişkin herhangi bir bilgiyi kastedecektir,” şeklinde tanımlanmıştır.
6698 sayılı KVKK’nın tanımlar başlıklı 3.maddesinin 1. Fıkrasının (d) bendinde Kişisel Veri; “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır.
Görüldüğü üzere, GDPR’de kişisel veri tanımı, 6698 sayılı KVKK’da yapılan kişisel veri tanımına göre daha detaylı olarak düzenlenmiştir. Somutlaştırmak gerekirse, hangi tanım içerisinde yer bulursa bulsun, kişilerin ad-soyadları, e-posta adresleri, kişisel bilgisayarlarının IP adresleri, taşıtlarının plaka bilgileri, sağlık durumları, etnik kimlikleri, inançları vb. gibi çok sayıda bilgi kişisel veri kapsamındadır. Ancak, kişisel verile içerisinde saydığımız örneğin sağlık bilgileri, ırkları, cinsel tercihleri veya etkinlikleri gibi bilgileri ise Özel Nitelikli Kişisel Veri olarak değerlendirilmektedir. Özel Nitelikli Kişisel Veriler, 6698 sayılı KVKK’nın 6.maddesinde düzenlenmiş olup, buna göre “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde tariflenmiştir. Tanımdan da görüleceği üzere özel nitelikli kişisel verilerin önemli bir kısmı, kişilerin doğumu ile sahip oldukları statü olup, tercihleri sözkonusu değildir. Bu verilerin 3. Kişilerce öğrenilmesi hali, bilgisine ulaşılan kişinin lehine veya aleyhine bir durum yaratabilecek potansiyele sahip verilerdir. Dolayısıyla aynı maddenin 2.fıkra düzenlemesine göre, ancak kişinin açık rızası olması halinde bu veriler işlenebilecektir. Sağlık bilgileri ile ilgili ifade edeceğimiz önemli uyarı şudur, özellikle çalışanlarımızın sağlık durumları konusunda işvereni bilgilendirme yükümlülüğü bulunan işyeri hekimlerimizin artık bu bilgileri işveren ile paylaşmasına sınır gelmiş bulunmaktadır. Örn. Mutfak bölümünde görev yapan çalışanımızın ellerinde çıkan ve bulaşıcı olan bir rahatsızlığını işyeri hekiminin bildirmesi gerekirken, aynı personelin kansere yakalanmış olduğunu, kendi açık rızası olmadan işveren ile paylaşamayacağı yasal düzenleme gereği olmuştur.
Kişisel Verilerin Korunması ile ilgili olarak 6698 sayılı KVKK 19. maddesi ile Kişisel Verileri Koruma Kurumu kurulmuştur. Madde düzenlemesi “Bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur.” şeklinde olmuştur. Tanımdan anlaşıldığı üzere, Kurum, idari ve mali özerkliği olan ve kamu tüzel kişisi statüsündedir. Yasanın 21. Maddesi ile Kurum bünyesinde Kişisel Verileri Koruma Kurulu kurulmasını düzenlemiş olup, 22. Madde ile Kurulun görev ve yetkileri düzenlenmiştir. İncelendiğinde, Kurul mevzuat oluşturma, oluşturduğu mevzuatın gereklerinin yerine getirilmesini takip etme ve uymayanlar hakkında idari yaptırım kararları verme görevlerini ifa edebilmektedir. Kısacası, kanun ile Kuruma bir nev’i, yasama, yürütme ve yargı yetkisi tanınmış olmaktadır.
Kişisel Verileri Koruma Kurulu’nun 2018/88 sayılı kararına göre, yıllık çalışan sayısı 50’den çok veya bilanço toplamı 25 milyon TL’den yüksek olan gerçek ve tüzel kişiler, yurtdışında yerleşik gerçek ve tüzel kişiler, çalışan sayısı ile cirosuna bakılmaksızın ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler ile kamu kurum ve kuruluşlarının 31 Aralık 2019 tarihine kadar VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt olma zorunluluğu bulunmaktadır.(Süre 30/06/2020 tarihine uzatılmıştır.) Özellikle, çalışan sayısı hesaplanmasında kafa karışıklığı olduğu tarafımıza gelen sorulardan anlaşılmaktadır. Çalışan sayısının hesaplanmasında tamamlanmış bir yıl esas alınır ve bu bir yılın en az 7 ayında Muhtasar ve Prim Hizmet Bildirgesinde bildirilen çalışan sayısı hesaplamada dikkate alınır. Önemli uyarımız, bu 7 ayın ardışık olması şart olmayıp, 12 ayın tümü içerisinde 7 ayda çalışan sayısının 50 üzeri olmasına dikkat edilmesi gereğidir. Bir diğer önemli uyarımız da, bilanço toplamı tanımı, aktif ya da pasif bölümündeki toplam rakamı ifade edecek olup, kesinlikle ciro veya net satış tutarı olarak algılanmaması gereğidir. Ancak en önemli uyarımız da, istisna olmadığı halde VERBİS sistemine kayıt yaptırmayanlar ile ilgili olarak KVKK’nın 18. Maddesi uyarınca 1.000.000.-TL’sına kadar idari ceza verilebileceği gerçeğidir.
Hepinize idari cezasız, bol kazançlı ve hayırlı yeni bir yıl dileğiyle.
Avukat Tayfun OZANKAYA
İlgili Mevzuat;
- Kişisel Verilerin Korunması Kanunu
- Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
- Veri Sorumluları Sicili Hakkında Yönetmelik
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
- Kişisel Sağlık Verileri Hakkında Yönetmelik
- Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik