Kişisel verilerin korunma kanunu (KVKK), kişisel verilerin işlenmesinin kontrol altına alınması ile temel hak ve özgürlüklerin korunmasını sağlayan düzenleyici ve denetleyici kurum olarak ifade edilmektedir. Kişisel verilerin korunması kanunun geçmişine bakmak gerekmektedir. Avrupa Konseyi tarafından, tüm üye ülkelerde  kişisel verilerin aynı standartta korunması ve sınır ötesi veri akışının sağlanması için  bazı ilkeler belirlenmiştir. Bu ilkelerin belirlendiği aşama da “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme”, 28 Ocak 1981 tarihinde hazırlanmıştır. Türkiye bu sözleşmeye imza atan ilk ülkelerden biridir. Kanun maddesi 07 Nisan 2016 tarihinde resmi gazete'de yayımlanarak, kanunlaştırılmıştır. Türkiye ‘de bu konuda kanun kapsamında yükümlülük arasında yer almaktadır.  

Avrupa birliğinin uyum kapsamında hazırlanan ” 6698 sayılı Kişisel Verilerin Korunması Kanunu “ 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiştir. Söz konusu olan bu metin 24 Mart 2016 Tarihinde TBMM genel kurulu tarafından tasarı olarak kabul edilip, kanunlaştırılmıştır. 07 Nisan 2016 tarihinde resmi gazete'de yayımlanarak yürürlüğe girmiştir.

Kişisel Veri Nedir?

KVKK kanununda kişisel veriler, özel nitelikli kişisel veriler ve kişisel veri olarak iki tanımı mevcuttur

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için verinin gerçek kişiye ilişkin olması bu kişininde belirli veya belirlenebilir olması gerekmektedir. Şirkette çalışan, çalışanlarımız, müşterilerimiz ile olan ilişkilerimiz, tedarikçilerimizde olan kişiler bunlar aslında bizim kişisel verilerini aldığımız irtibatta olduğumuz kişilerdir. Buna göre de kanun kapsamında yükümlülüklerimiz mevcuttur.

Kişisel verinin üç temel unsuru bulunmaktadır.

• Gerçek kişiye ilişkin olma

• Kişiyi belirli veya belirlenebilir kılması

• Her türlü bilgi

1. Gerçek kişiye ilişkin olma: Gerçek kişi ile ilişkili olması gerekmektedir. Kişisel veri gerçek kişiye ilişkin olup, tüzel kişilerle ilişkin veriler kişisel verinin tanımının dışındadır. Bir şirketin ticaret ünvanı, adresi gibi tüzel kişilere ait bilgiler KVKK kapsamının dışındadır. Çalışanımızın aile bilgileri, sağlık bilgileri, bununla ilgili olarak cep telefonu numarası gibi bilgiler gerçek kişiye ait olduğu için kanun kapsamında yer almaktadır.

1. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri; ilgili kişinin doğrudan kimliğini gösterebileceği gibi o kişinin kimliğini doğrudan göstermemekle beraber, herhangi bir kayıt ile ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgiler kişisel veri olarak kabul edilmektedir. 

1. Her türlü bilgi: Bu ifade oldukça geniştir. bir gerçek kişinin; adı, soyadı, doğum tarihi, doğum yeri bireyin sadece kimliğini ortaya koyan bilgiler değil telefon numarası, motorlu taşıt bilgisi, sosyal güvenlik bilgileri, pasaport numaraları, özgeçmişleri , resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresleri, hobileri, tercihleri, etkileşimde bulunduğu kişiler dolaylı veya doğrudan belirlenebilir kılan tüm veriler kişisel veri olarak adlandırılabilir.

Özel nitelikli kişisel veri; başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine, ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilmez. Bu bakımdan, özel nitelikli kişisel veriler sınırlı olarak sayıldığı söylenilmektedir. 

Özel kişisel veriler nelerdir?

Özel nitelikli kişisel veriler; kişinin etnik kökeni siyasi düşüncesi, ırkı, felsefi inancı, dini, mezhebi, diğer inançları, kılık ve kıyafeti, dernek veya vakıf üyeliği, sendika üyeliği, sağlık bilgileri, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili, biyometrik ve genetik veriler kanun kapsamında özel nitelikli kişisel veri olarak bahsedilmektedir.

Veri işleme nedir?

Kanun kapsamında kişisel verileri işlerken her topladığımız kişisel veri bu kanun kapsamda yer alıp almadığı incelenmektedir. Veri işleme, kanun kapsamında kişisel verilerin işlenmesi, elde edilmesi, kaydedilmesi, bunların depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, yurt içi, yurt dışı aktarımının yapılması, elde edilebilir hale gelmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler her türlü işlemi ifade etmektedir. 

Verileri alınması, kaydedilmesi, depolanması bunlarla ilgili bir sınıflandırma yapılması, üst yönetime kişilerin çalışmalarıyla ile ilgili oturdukları yer, konum, yaş ortalaması bu doğrultuda yönetime raporların sunulması gibi kişisel verileri saklanılmakta, muhafaza edilmekte ve kullanılmaktadır. 

KVKK Uyum Sürecinde, Bir Kâğıt Parçası Üzerine Gelişigüzel Yazılan Ad, Soyad ve Telefon Numaraları Kanun Kapsamında Sayılabilir Mi? 

6698 sayılı KVKK yürürlüğe girmesi ile birçok özel şirket KVKK uyum çalışmalarına başlamaktadır. Uyum sürecinde bir kağıt parçasını üzerine yazılan ad, soyad, telefon bilgilerinin KVKK kapsamında yer almamaktadır. KVKK kapsamında sayılabilmesi için işlenen kişisel verilerin bir kayıt sisteminin parçası olması, yani belirli kriterlere göre sınıflandırılarak işlenmesi gerekmektedir. Bir kağıt parçası üzerine ad-soyad, telefon bilgilerini yazıyorsak bu kişisel veri değildir, müşterimizin bilgilerini CRM sisteminde tutar ve sınıflandırırsak sistemde de izi varsa eğer, bu kişisel verileri koruma kanunu kapsamına girmektedir. 

Manuel yolla gelişigüzel kağıt parçasına yazılan kişisel bilgiler, kanun kapsamında sayılmayacaktır. Bu verileri keyfi bir biçimde kullanabileceğimiz anlamına da gelmemektedir. Zira 5237 sayılı Türk ceza kanunu kapsamında çeşitli yaptırımları söz konusudur. Kişisel verilerin sınırsız ve gelişigüzel toplanmasının, aslında yetkisiz kişilerin kullanması açısından amacı dışında kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi şüphesiz ki önemli bir unsurdur.

Kanun kapsamında kişisel verileri işlerken temel ilkeleri işlememiz gerekmektedir. Kişisel verileri koruma kurulu, bu temel ilkelere herhangi bir cezai durum söz konusu olduğunda bu temel ilkelere göre işlenip işlenmediğini sorgulamaktadır. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan temel ilkeler şunlardır:

• Hukuka ve dürüstlük kuralına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Beliri, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, 
• İlgili mevzuatta öngörülen ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

1) Hukuka ve Dürüstlük Kuralına Uygun Olma İlkesi: 

Hukuka ve dürüstlük kuralına uygun olması gerekmektedir. Kişisel verileri işlerken hukuka uygun olarak işlemek gerekmektedir. Örneğin; şirketler çalışanlarını işe alırken çeşitli mülakatlar yapmakta, mülakat sonuçları değerlendirilip ve iş hayatı başlamaktadır, bu iş hayatında özlük dosyasının oluşturulması iş kanunu kapsamında zorunludur. Özlük dosyasını oluştururken istenilen belgeler hukuka dayanmaktadır. Bu şekilde zaten bir işleme tabi olması söz konusudur.  

2) Doğru ve Gerektiğinde Güncel Olma İlkesi: 

Doğru ve gerektiğinde güncel olması gerekmektedir. Örnek vermek gerekirse bir kişinin veri sorumlusunda telefon numarasının doğru olmaması ya da artık ilgili kişi tarafından o telefon numarasının kullanılmaması o kişiye ilişkin gerçek bir veriyi yansıtmadığı ve bunun hatalı sonuçlar ortaya çıkarmasına neden olmaktadır. Örneğin, banka hesaplarında bulunan telefon numaraları, adres bilgileri güncel olmayabilir, bankaya adres bilgisinin değiştiğini ifade etmemiz gerekmektedir. Veri sorumlusu da bu kanun kapsamında dogru ve gerektiğinde güncel olma ilkesini temin edecek kanalları açık tutmalıdır

3) Beliri, Açık ve Meşru Amaçlar İçin İşlenme İlkesi: 

Beliri, açık ve meşru amaçlar için işlenme, örnek ile açıklamak gerekirse hazır giyim mağazasının müşterilerinin kimlik ve iletişim bilgilerinin işlenmesi meşru amaç kapsamındayken, annesinin kızlık soyadını işlemesi meşru amaç kapsamında değerlendirilmeyecektir.Bu ilkeye dayanarak firmaların bunu işlememesi gerekmektedir. Bu esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da önemlidir.

4) İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi: 

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, örneğin tekstil firması tarafından müşterilere ilişkin kimlik ya da iletişim bilgileri tutulmakta, bunlar satış işlemlerinin takibi amacı ile bağdaştırılırken, müşterinin finansal geçmiş bilgisi, finansal geçmiş bilgisine yönelik tutulan verilerin toplanması amaçla bağdaştırılamaz ve ölçülü değildir.

5) İlgili Mevzuatta Öngörülen ve İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi İlkesi: 

İlgili mevzuatta öngörülen ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi, kişisel verilerin korunması kanunu bugün itibari ile toplanan veriler değil, geçmiş yıllarda toplanan verileri de kapsamaktadır. Çalışanlarımızla ilgili on yılı geçen eski çalışanımızın dosyalarını muhafaza etmemiz gerekmektedir. Bunu idari ve teknik tedbirlere dayalı olarak verileri imha ve saklama politikası kapsamında muhafaza edilmesi gerekmektedir.

Açık rıza ve aydınlatma yükümlülüğü günümüzde kanunun kapsamına girdiğinden beri karşımıza çıkan kavramlardır. Açık rıza ve aydınlatma yükümlülüğü birbirine karıştırılmaktadır.

Açık Rıza: Kişisel verileri işlerken, belirli bir konuya ilişkin bilgilendirmeye dayanan özgür iradeyle açıklanan rıza şeklinde tanımlanmaktadır. Buna göre açık rızanın üç unsuru vardır: 

1. Belirli bir konuya ilişkin olması
2. Rızanın bilgilendirmeye dayanması
3. Özgür iradeyle açıklanması

Örneğin bir alışveriş sırasında kişisel verilerimin işlenmesi ve paylaşılmasını kabul ediyorum, şeklinde rıza alınarak kişisel verilerin işlenmesi kanun kapsamında değildir, açık rıza bir metin çerçevesinde hangi kişisel veriyi firmadan veya kişiden alacağımızla alakalı olarak o kişiyi aydınlatma yükümlülüğü ve burdan açık rıza alma olayıdır. Belirli bir çerçevesi vardır, bununla ilgili olarak sözlü, yazılı, elektronik ortamda açık rıza alınabilmektedir. Herhangi bir ceza geldiği takdirde sözlü olarak alınan açık rıza kanıtlanamayacağı için elektronik ortamda ve yazılı bir şekilde alınması önerilmektedir.

Aydınlatma Yükümlülüğü

Kanun, kişisel verileri işlenen ilgili kişilere, bu verilerin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği aynı zamanda kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımaktadır. Bu hususlar çerçevesince, veri sorumlusunun kvkk aydınlatma yükümlülüğü kapsamında ele alınmaktadır. Tüketicilerin verileri işlenmeden önce aydınlatma yükümlülüğü maddesine bağlı olarak bilgi verilmeli, işlenmesi, paylaşılması ve benzeri durumlar için tüketicilerin açık rıza alınarak aydınlatılması kanun kapsamında zorunlu hâle getirilmiştir.

Verbis Kayıt Sistemi, veri sorumlularının kayıt olmak zorunda oldukları bir sistemdir. Bu sistemde, veri işleme faaliyetleri ile ilgili bilgileri de beyan ederler. Verbis kayıt sistemi, veri sorumlusu dediğimiz şirket tarafından yapılmak zorundadır. Veri sorumlusu olarak adlandırdığımız ilgili kurum, kuruluş, firmalar veri sorumlusudur. 

Verbis’e Hangi Firmalar Kayıt Yaptırmak Zorunda ?

• Yıllık çalışan sayısı 50’den fazla olan gerçek ve tüzel kişi veri sorumluları
• Yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları
• Yurt dışında yerleşik tüm veri sorumluları gerçek ve tüzel kişi veri sorumluları
• Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az gerçek ve tüzel kişi veri sorumluları
• Ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler veri sorumluları 
• Kamu kurum ve kuruluşu veri sorumluları

KVKK kimler için zorunlu? Kanuna göre, kamu kurumları dahil, kişisel verileri işleyen tüm kurum, işletme ve işverenler kanun kapsamındadır. Kanun kapsamında olan tüm kurum ve kuruluşların veri sicil sistemine kayıt olması gerekir. Kişisel Verileri Koruma Kurumu'na hangi kişisel verileri, hangi amaçla, hangi kanuni dayanakla ve ne kadar süreyle işleyeceklerini bildirmeleri gerekmektedir. Aksi halde, hapis cezası dâhil ağır cezaları bulunmaktadır.

İşletmeler KVKK yükümlülüklerini yerine getirmediği takdirde herhangi bir yaptırım söz konusu mudur? Şirketlerin yükümlülükleri nelerdir? 

Firmaları sıkıntıya sokan konu yükümlülük altında bahsettiğimiz işletmeler sorumlu olarak geçmektedir. Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte firma ve işletme sahiplerine idari para cezaları uygulanır. Hatta bazı durumlarda hapis cezaları da söz konusudur.

6698 Sayılı KVKK ile Gelen Ağır Cezalar Nelerdir?

İdari para cezaları;

• Kişisel veri ihlâli,
• Aydınlatma yükümlülüğünün ihlâli, 
• Veri güvenliği yükümlülüğünün ihlâli, 
• Sicile kayıt yaptırmamak, 
• Kurul kararlarına muhalefet

Hapis cezaları;

• Kişisel veri ihlâli,
• Kişisel verileri hukuka aykırı olarak kaydetmek,
• Kişisel verileri hukuka aykırı olarak yaymak, başkalarına verme veya ele geçirme,
• Kişisel verileri süresi geçmesine veya ilgili kişi istemesine rağmen yok etmeme

Hem idari hem cezai yaptırımlar söz konusu kanun kapsamındadır. Firmalara önerimiz bir an önce bu işlemleri gerçekleştirip bu yaptırımlardan kaçınmalarıdır.