1-) KİŞİSEL VERİLERİN KORUNMASI KANUNUN AMACI, KAPSAMI VE DİĞER DÜZENLEMELERDEN FARKI NEDİR?
Kişisel Verilerin Korunması Kanunu, Kanun koyucunun yeni misyonlarından biri olan “mülkiyet kavramının genişletilmesi” akımı ile ortaya çıkmış kanunlardan biridir. Bu kanunlardan bir diğeri de Fikri ve Sinai Haklar Kanunudur.
Kişisel Verilerin Korunması Kanunu, Anayasal Hukuk devletinin “mülkiyetin korunması” genel ilkesinde; bir bireyin verilerinin de, bireyin mülkiyeti dahilinde olduğu ve bu sebeple korunması gerektiği düşüncesiyle olgunlaşmıştır. Sonuç olarak, mülkiyetin yani sahiplik kavramının bir kişinin mal varlığının “emtia” yani eşya ile sınırlı olmayacağı düşüncesi bu Kanunun temel yapıtaşlarını oluşturmaktadır.
Kişisel Verilerin Korunması Kanunu, kişinin; üzerinde sahipliğini (zilyetliğini) tesis etmesi çok zor olan kişisel verileri ve bu kişisel verilerin taraflarını kapsamaktadır. Genel itibarıyla, kişisel verinin tanımını, taraflarını, tarafların yükümlülüklerini ve haklarını içeren bu Kanun 7 Nisan 2016 tarihi itibariyla yayınlanıp, 7 Ekim 2016’da yürürlüğe girmiştir.
Kişisel Verilerin Korunması Kanununu diğer tüm düzenlemelerden ve yeniliklerden farklı kılan en büyük husus; var olan ve devam eden düzenin, daha önce uygulanmayan ve adaptasyonu zor olan yeni kurallarla devam etmesini istemesidir. Bu kapsamda Kanunun her iki tarafının da yani hem veri sorumlusunun hem de ilgili kişinin; tüm ilişkilerini yeniden gözden geçirmesi ve bu ilişkilerini yeni kurallara göre tertip etmesi gerekmektedir.
2-) KİŞİSEL VERİ NEDİR? KİŞİSEL VERİ-ÖZEL NİTELİKLİ KİŞİSEL VERİ AYRIMI NEDİR? SOMUT ÖRNEKLERİ NELERDİR?
Teknik tanımları bir kenara bıraktığımızda, kişisel veri; bir bireyin, her türlü bilgisi anlamına gelmektedir.
Bu veriler; Ad, Soyad, telefon numarası, banka bilgileri, adres bilgileri, kimlik bilgileri, özlük bilgileri, kıyafet bedeni, sağlık bilgileri, dini, dili, ırkı, mezhebi, cinsiyeti, cinsel eğilimleri, adli bilgileri gibi saymakla bitmeyen ve her geçen gün genişleyen tüm bilgilerdir.
Bu verilerin bir kısmı ise özel nitelikli veri olarak kategorize edilmiş olup, 6698 sayılı KVK Kanununda kazuistik (sınırlı) olarak sayılmış ve alınması, saklanması, kullanılması ve imha edilmesi daha hassas kurallar içeren bir işlem haline getirilmiştir.
Özel nitelikli kişisel veriler ise; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri şeklinde sayılmıştır.
3-) KİŞİSEL VERİLERİN KORUNMASI KURUMUNUN ALMIŞ OLDUĞU VERBİS KAYIT SÜRESİNİN UZATILMASI KARARININ SONUÇLARI NELER?
Malum olduğu üzere bu Kanunun en temel amacı kişilerin verilerinin güvenliğini sağlamaktır. Bu kapsamda veri sorumlusu olarak tabir ettiğimiz veriyi alan kişilerin yükümlülüklerini, bunların açıklamasını ve Kişisel Verileri Koruma Kurumuyla ilgili tüm bilgileri 26.09.2019 tarihli köşe yazımızda arz etmiştik.
Bu yükümlülüklerden en önemlisi Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt zorunluluğudur. Bu konuda KVK Kurumunun 27 Aralık 2019 tarihinde verdiği uzatma kararıyla son kayıt tarihleri tam 6 ay uzatılarak takvim aşağıdaki şekilde kaydırılmıştır.
Şu an itibariyle son kayıt tarihleri şu şekildedir;
Veri Sorumluları |
Kayıt Yükümlülüğü Başlangıç Tarihi |
Kayıt Yükümlülüğü Son Tarihi |
Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları |
01.10.2018 |
30.06.2020 |
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları |
01.10.2018 |
30.06.2020 |
Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları |
01.01.2019 |
30.09.2020 |
Kamu kurum ve kuruluşu veri sorumluları |
01.04.2019 |
31.12.2020 |
Peki KVK Kurumunun verdiği sürelerin uzatılmasına ilişkin karar veri sorumluları açısından bir avantaj mı?
Malum olduğu üzere birçok veri sorumlusunun bu Kanundan ve yükümlülüklerinden haberi olmadığı gibi, haberi olanlar da konuyu derinlemesine incelemeye ve kendilerini bu konuda geliştirmeye fırsat bulamamışlar ek olarak bir anda alınacak birçok tedbir ile çok yakın bir son kayıt tarihi ile karşı karşıya kalmışlardır.
Pek tabi ki bu durum KVK Kurumunun da tespiti ile sabitleşince son kayıt tarihinin uzatılması hususu gündeme gelmiştir. Sonuç olarak da beklenen karar kurum tarafından açıklanmış ve son kayıt tarihleri yukarıdaki şekilde altı ay ertelenmiştir.
Kurumun bu konuda vermiş olduğu kararın gerekçesi incelendiğinde, Kanunun bilinçsiz ve önemsiz şekilde uygulanmasının; dolasıyla bilinçsiz bir VERBİS kaydının, Kanunun amaçlarına hizmet etmeyeceğini ve daha kötü sonuçlar doğurabileceğini, sürecin bu nedenle uzatıldığını net bir şekilde görmekteyiz.
Hali hazırda kamuya açık olan VERBİS kayıtlarını incelediğimizde; bu işe yaklaşık 1 yıldır odaklanan ve hazırlanan çok büyük holdinglerin bile birçok hata yaptığını görebilmekteyiz.
Bu kapsamda bu husus Kurumun da gözünden kaçmamış ve temelde bu uzatma kararını verirken de daha nitelikli, kapsamlı, güncel ve doğru bir VERBİS kaydı oluşmasını sağlamak hedefi bu kararda öncü olmuştur.
Tüm bu nedenlerle aslında bu sürenin uzatılması kararı; Veri Sorumlularını rahatlatmak için değil bu konuda herkesin daha çok odaklanarak daha nitelikli bir VERBİS kaydının oluşmasını amaçlamaktadır.
Aynı zamanda Kanun 2016 yılından bu yana yürürlükte olup VERBİS kayıt zorunluluğu haricinde mevcut olan tüm idari tedbirlerin ve yükümlülüklerin (Aydınlatma yükümlülüğü, Gizlilik taahhütnamesi, Açık Rızanın Alınması, Veri İşleme Envanterinin oluşturulması gibi) hali hazırda yerine getirilmiş olması gerekmektedir.
Tüm bunların yanında KVK Kurumu bir denetleme organı olduğu için, tüm idari ve teknik tedbirler ile VERBİS kaydının da denetlenmesinin bu uzatma kararı ile birlikte daha derin ve detaylı yapılacağı kurum tarafından üstü örtülü olarak açıklanmıştır.
Bu nedenlerle veri sorumluları; bu uzatmayı bir rahatlama-rehavet olarak görmeyip bu konuda donanımlı hale gelmek için bir fırsat olarak görmeli, bu konuda gerekli yatırımlarını yapmalı ve KVKK dönüşümünü daha başarılı, emin adımlarla, güncel, doğru ve eksiksiz bir şekilde yapmalıdırlar.
Tüm bu hususlar göz önüne alındığında, KVK Kurumu tarafından alınan son süre uzatma kararı, veri sorumlularının rahatlama düşüncesiyle rehavete dönüşmesi durumunda, veri sorumluları açısından avantaj yerine dezavantaj haline gelecek ve uzatılan bu süreyi değerlendiren diğer veri sorumlularının nitelikli yapmış olduğu KVK dönüşümü ile kıyaslandığında rehavete kapılan veri sorumluları Kişisel Verileri Koruma Kurumunun amiyane tabirle kırmızı listesine daha çabuk girmiş olacaklardır.
Sonuç itibarıyla, bizim, veri sorumlularına en büyük tavsiyemiz; bu uzatmanın son defa uygulanacak bir uzatma olduğunun unutulmaması, sürenin bir fırsat olarak değerlendirilmesi ve daha nitelikli bir dönüşüm gerçekleştirilmesi için sağlam adımlar atması olacaktır.
4-) Kişisel Verilerin Korunması Kurulu’nun uyguladığı cezalar, cezalara karşı itiraz yolları ve güncellenen ceza tarifeleri
Kişisel Verileri Koruma Kurumu herhangi bir veri ihlali olması durumunda, ihlal edilen madde başına 2019 yılı itibarıyla 5.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulamıştır. Bu kapsamda 2020 yılı itibariyle uygulanan para cezaları yeniden değerleme oranına göre artırılacak ve kurum tarafından yeniden yayınlanacaktır.