2010 yılında yapılan değişiklik sonucunda Anayasanın 20. maddesine eklenen fıkra ile kişisel verilerin korunması Anayasal güvence altına alınmış ve kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği hükme bağlanmıştır. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 07.04.2016 tarihinde yürürlüğe girmiştir. Anayasa’nın 20. Maddesine eklenen fıkra ''Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.'' hükmünü içermektedir.
Veri Sorumlusu Kimdir?
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere; kişilerin temel hak ve özgürlüklerini korumak, kişisel verilerin erişilebilirliğini sınırlandırmak gibi mahremiyete ilişkin temel gereklilikleri sağlamak amacıyla KVKK düzenlenmiştir.
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Veri sorumlusunun tespiti için kişisel verilerin işlenmesi ve işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle saklanacağı, ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi hususlara kimin karar verdiği dikkate alınır.
Eğer veri işleme faaliyeti bir tüzel kişilik tarafından gerçekleştiriliyorsa, burada veri sorumlusu tüzel kişinin kendisidir. Tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler Kanunun uygulanması bakımından veri sorumlusu sayılmazlar. Veri sorumlusunun tüzel kişi olması halinde, veri sorumlusu yükümlülüğü ilgili tüzel kişilik üzerinde doğacaktır. Bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir. Tüzel kişiliği temsil ve ilzama yetkili olan organ veya kişiler tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler. Bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmaz ve ilgili gerçek kişilerin de veri sorumlusu olarak tanımlanmasını sağlamaz. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından da Kanunda bir farklılık gözetilmemiştir. Bu çerçevede hukuki ve cezai sorumluluk bakımından, tüzel kişilerin sorumluluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.
Veri İşleyen Kimdir?
Veri işleyen, veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir. Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir. Örneğin, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir şirket bu faaliyet kapsamında veri işleyen olarak kabul edilecektir.
Herhangi Bir Gerçek veya Tüzel Kişi Aynı Zamanda Hem Veri sorumlusu Hem de Veri İşleyen Olabilir mi?
Veri sorumlusu ve veri işleyen sıfatı, veri işleme faaliyetinin niteliğine göre ilgili tarafı tanımlamaktadır. Dolayısıyla, herhangi bir gerçek veya tüzel kişi yürüttüğü farklı faaliyetleri nedeniyle aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir bulut bilişim hizmeti sunan şirket kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir.
Kanunda Sayılan Veri İşlenmesine İlişkin Yükümlülüklerin Yerine Getirilmesi Bakımından Esas Sorumlu Kimdir?
KVKK uyarınca, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusu esas alınmaktadır. Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir. Buna göre, veri işleyen yalnızca veri sorumlusunun talimatlarını yerine getirmektedir.
Bildirim Yükümlülüğü:
Veri sorumlularının bir yükümlülüğü de işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurula bildirmektir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Kişisel Verileri Koruma Kurulu tarafından, “en kısa zaman” ibaresinin veri sorumlusunca ihlalin öğrenilmesi anından itibaren 72 saat olduğu açıklanmıştır.
VERBİS’e Kayıt Yükümlülüğü:
Veri sorumlularının bir başka yükümlülüğü de VERBİS'e kayıt yükümlülüğüdür. KVVKK’un 16/2. Maddesi, ''Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.'' hükmünü ve Geçici 1.madde ise ''Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.'' hükümlerini içermektedir.
İlgili veri sorumluları için VERBİS'e kayıt son tarihleri güncel haliyle tabloda yer almaktadır:
İLGİLİ VERİ SORUMLULARI |
KAYIT İÇİN SON TARİH |
Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları |
30.06.2020 |
Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları |
30.09.2020 |
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları |
30.06.2020 |
Kamu kurum ve kuruluşu veri sorumluları |
31.12.2020 |
Önemle belirtelim ki; kişisel verilerin işlenmesinde sorumluluk taşımak için yalnızca VERBİS'e kayıt zorunluluğu getiren ''Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olma'' koşuluna tabii olmak gerekmez. Söz konusu ayrım yalnızca VERBİS'e kayıt yükümlülüğüne ilişkindir. VERBİS'e kayıt yükümlülüğü bulunmayan veri sorumluları da KVKK dahilinde tıpkı VERBİS sorumluları gibi teknik ve idari tedbirleri almak zorundadır. Aksi halde, Kişisel Verileri Koruma Kurumu’nun denetimi ve cezai sorumluluğu gündeme gelecektir.
Saygılarımızla,
Av. Demet Cengiz Uslu