Yazar: Seval Sönmez Durmuşoğlu

KVKK KAPSAMINDA AÇIK RIZA

Son yıllarda sıklıkla adını duyduğumuz 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), kişisel verileri işleyen tüm gerçek ve tüzel kişiler için, KVKK uyum kapsamında veri sahiplerinin açık rızalarını alma yükümlülüğü getirmiştir. Bu yükümlülük veri sorumlularının tüm veri işleme süreçlerini yeniden tasarlama zorunluluğunu da beraberinde getirmiştir. İşte bu noktada KVKK ile birlikte gelen en temel kavram olan açık rıza kavramını detaylı anlamak, KVKK’ya doğru şekilde uyum sağlamak açısıdan çok önemlidir. Yazımızın devamında kavramın detaylarını sizlerle paylaşmak isteriz.

Kişisel Verilerin İşlenmesinde Açık Rıza Nedir?

KVKK kapsamında açık rıza, kişilerin kişisel verilerinin işlenmesine yönelik olarak verdikleri onayı ifade etmektedir. Kişilerin sahip oldukları kişisel verilerin işlenmesine, kendi istekleri ile veya karşı tarafın talebi üzerine onay vermeleri KVKK kapsamında açık rıza vermeleri anlamına gelir. Açık rızanın, kişisel verileri işlenen kişinin –kanunun tanımına göre veri sahibinin- olumlu irade beyanını içermesi gerekmektedir. Verilen açık rıza ile ilgili kişisel verilerin hangi sınırlarda işlenebileceği, bu verileri işlemenin kapsamının ne olacağı, veri işlemenin nasıl olacağı ve ne kadar süre devam edeceği de belirlenebilmektedir.

Diğer kanunlardaki düzenlemeler saklı kalmakla birlikte, KVKK anlamında açık rızanın verilmesi şekle tabi değildir. Buna göre açık rıza ilgili kişi tarafından yazılı olarak verilebileceği gibi, elektronik ortamda veya sözlü olarak da verilebilir. Burada önemli olan nokta şudur ki, herhangi bir ihtilaf durumunda açık rızanın varlığını ispat yükü veri sorumlusunun üzerindedir.

Açık Rızanın Geçerlilik Unsurları Nelerdir?

KVKK 3. Maddede yer alan tanımına göre açık rızanın zorunlu 3 unsuru şunlardır:

  • Belirli bir konuya ilişkin olması
  • Bilgilendirmeye dayalı olması
  • Özgür iradeyle açıklanması.

Yukarıda belirtilen unsurları içermeyen rıza geçerli kabul edilmeyecektir. Şimdi bu unsurların detaylarına kısaca göz atalım:

Verilen rızanın belirli bir konuya ilişkin olabilmesi için, veri sahibine yapılan aydınlatmada verinin hangi sebeple ve amaçla alındığının açıkça belirtilmesi önem taşır. Bu aydınlatma sonrasında veri sahibinin de rızasını yine açık şekilde ve belirli konuya yönelik olarak vermesi gerekir. Aksi takdirde verilen rızanın neye ilişkin olduğunun kesin olarak belirlenememesi ve muğlak olması nedeniyle açık rıza verilmemiş kabul edilecektir. Ayrıca belirtmek gerekir ki, veri sorumlusunun verileri yurtdışına aktarmak gibi, veri üzerinde gerçekleştireceği ikincil işlemler için veri sahibinden tekrar açık rıza alması gerekecektir. Aynı gereklilik verilerin işlenme amacının değişmesi durumunda da söz konusu olacaktır.

Belirli bir konuyla veya işlemle sınırlı olmayan, genel nitelikteki açık rızalar “battaniye rıza” olarak adlandırılmaktadır. Örneğin “her türlü ticari işlem” veya “her türlü bankacılık işlemi” için veri işlenmesine rıza vermek belirli bir konuyu işaret etmediği için hukuken geçerli kabul edilmeyecektir.

Veri sahibinin açık rıza verdiği veri işleme faaliyeti konusunda veri sorumlusu tarafından detaylı şekilde bilgilendirilmiş olması gerekir. Yapılan bilgilendirmenin anlaşılabilir olması önemlidir. Burada bahsedilen “anlaşılabilirlik” somut olaya ve hedef kitleye göre değişiklik gösterecek olmakla birlikte, genel olarak bilgilendirme yapılırken sade bir dil kullanılması, mesleki ve teknik dilden kaçınılması ve gerekli görülen hallerde teknik terimlerin veri sahibine açıklanması gibi kriterlerden bahsedilebilir. Bilgilendirmenin herhangi bir yerde veri sahibi tarafından erişilebilir durumda olması yeterli olmayıp, doğrudan veri sahibine yapılması gerekir. Aksi halde yapılan veri işleme faaliyeti hukuka aykırılık teşkil edecektir.

Bir rıza beyanının hukuken geçerli kabul edilebilmesi için özgür irade ile verilmesi gerekliliği yalnızca KVKK kapsamında değil tüm mevzuat açısından önem taşır. Buna göre veri sahibi rızasını verirken cebir veya tehdit görmemiş olmalı, ayrıca hile ile kandırılmamış olmalı ve taraflardan birinin hatası bulunmamalıdır. Açık rıza verilirken sayılan bu durumlardan herhangi birinin varlığının tespit edilmesi durumunda rızayı ne ölçüde sakatladığının her somut olaya göre ayrıca değerlendirilmesi gerekmektedir. Unutmamak gerekir ki her ne kadar mevzuat veri sahibinin haklarını korumak için azami çabayı gösterse de, pratikte veri sorumlusu çoğunlukla veri sahibinden daha güçlü konumdaki bir kişi olarak karşımıza çıkmaktadır. Bu husus göz önüne alındığında somut olaylarda veri sahibine karşı doğrudan bir cebir veya tehdit uygulanmasa dahi, gücün getirdiği bir “dayatma” durumu olabileceği aşikardır. Böyle bir durumda yine açık rızanın özgür iradeye dayandığından bahsetmek mümkün olmayacak ve irade beyanı hukuken sakat olacaktır.

Açık rızanın yukarıda sayılan unsurlardan birini haiz olmaması durumunda kişisel veriler hukuka aykırı şekilde işlenmiş sayılır ve buna karşı KVKK şikayet imkanı bulunmaktadır.

Açık Rıza Geri Alınabilir mi?

Açık rıza vermek kişiye sıkı sıkıya bağlı bir haktır. Ayrıca kişisel verilerinin işlenmesi ile ilgili haklar tamamen veri sahibine aittir. Bu nedenle veri sahibi verdiği rızayı dilediği zaman geri almakta özgürdür. Burada üzerinde durulması gereken önemli nokta, rızanın geri alınmasının ileriye yönelik bir sonuç doğuracağıdır. Buna göre rızayı geri alma beyanı veri sorumlusuna ulaştığı andan itibaren ileriye dönük olarak hüküm doğurur. Veri sorumlusunun geri alma beyanı kendisine ulaştığı andan itibaren, o zamana kadar açık rızaya dayalı olarak gerçekleştirdiği tüm veri işleme faaliyetlerini durdurması gerekir.

Açık Rıza Ve Aydınlatma Yükümlülüğü İlişkisi

Veri sahibinin kişisel verilerinin işlenmesine açık rıza verirken bu konuda veri sorumlusu tarafından veri işleme faaliyetinin amacı, kapsamı ve sınırları hakkında detaylıca bilgilendirilmesi gerekmektedir. Bu noktada veri sorumlusunun aydınlatma sorumluluğu söz konusudur. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5. Maddesi uyarınca veri sorumlusunun aydınlatma yükümlülüğü ile veri sahibinden açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekir.

Uygulamada açık rızanın alınması çeşitli şekillerde mümkündür. Örnek vermek gerekirse işverenlerin hem iş başvurusu yapan adayların hem de halihazırda çalışanlarının kişisel verilerinin işlenmesi için onların açık rızasını almaları gerekir. İş başvurusu yapan adaylardan açık rızaları başvuru sırasında internet üzerinden alınabilirken, çalışanlar iş sözleşmeleri kapsamında yazılı şekilde açık rıza verebilirler. Ticaret hayatında kişisel verilerin işlenmesi için müşterilerden ve tedarikçilerden açık rızaları yine genellikle yazılı şekilde alınmaktadır.

E-Ticaret Kapsamında Kişisel Verilerin Korunması

Kişisel verilerin korunması konusuna Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da da ayrıca yer verilmiştir. Buna göre e- ticaret faaliyetinde bulunan gerçek ve tüzel kişiler ile başkalarına ait ticari faaliyetlerin yapılmasına e-ticaret ortamını sağlayan gerçek ve tüzel kişiler, yaptıkları işlemler nedeniyle elde ettikleri kişisel verilerin saklanmasından ve güvenliğinden sorumlu tutulmuşlardır. Elde ettikleri kişisel verileri veri sahibinin açık rızası olmaksızın üçüncü kişilere iletmeleri ve başka amaçlarla kullanmaları yasaktır.

Güncel mevzuat gelişmeleri sonrası e-ticaret şirketlerin ilgili kanun kapsamında internet sitelerinde kişisel verilerin korunması politikalarına ve buna bağlı olarak iletişim iznine yer verme konusunda hassasiyetlerinin arttığını gözlemlemek mümkündür. Bu iletişim izinlerinde veri sahiplerinin kişisel verilerinin işlenme amaçları ve hangi hukuki sebeplere dayanılarak işlendikleri, işlenen kişisel verilerin belirtilen amaçlar kapsamında aktarılabileceği 3. kişiler, kişisel veri toplama yöntemleri, resmi makamlarla kişisel veri paylaşım politikaları, çerez (cookie) kullanımları, verileri işlenen veri sahiplerinin hakları, iletişim izninde değişiklik yapılabilecek haller, iletişim izninin kabulüyle veri sahibinin nelere onay verdiği ve kanun kapsamında başvurulabilecek veri sorumlusunun iletişim bilgileri gibi bilgiler yer alır.

İnternet üzerinden alışverişi tercih eden tüketicilerin ve buna bağlı olarak e-ticaret yapan firmaların sayısı günümüzde oldukça artmış olması nedeniyle, e-ticaret alanında kişisel verilerin korunması önem taşımaktadır. E-ticaret sitelerinin de faaliyetleri sırasında elde ettikleri kişisel verileri işlemeleri için veri sahibinin açık rızasını almaları gerekir. Bunun için üyelik sırasında kişisel verilerin işlenmesi ile ilgili detaylı aydınlatma metni kullanıcılara sunulduktan sonra, buna açık rıza verdiklerini gösteren “Evet” veya “Kabul ediyorum” gibi tıklama yöntemleri yaygın olarak kullanılmaktadır.

KVKK’da düzenlenen açık rıza kavramının bir yansımasını Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“E-ticaret Kanunu”)’da görmekteyiz. İletişim veri kategorisinde anılan kişisel veriler kapsamında veri sahibi ile iletişime geçmek için ayrıca ve özel alınması gereken ve amaç ile sınırlı olarak iletişim kurmayı esas alan düzenlemeler söz konusudur. Ticari elektronik iletilerin gönderilmesi konusunda, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“E-ticaret Kanunu”) kapsamında alıcıların onayının alınması gereklidir. Buna göre esnaf ve tacirler dışındaki kişilere ticari ileti gönderilebilmesi için alıcıların yazılı olarak veya elektronik iletişim araçlarıyla onaylarının alınması gerekir.

Gönderilen ticari iletiler verilen onay ile sınırlı kalmalıdır. E-ticaret şirketleri gönderdikleri ticari iletilerde kendi iletişim bilgilerine yer vermeli ve alıcıların dilediği zaman bu iletilerin gönderimini reddedebilmeleri için gereken bilgileri iletmelidir. Alıcılar ticari iletileri almaktan herhangi bir sebep göstermeksizin vazgeçme hakkına sahiptir. Bu durumda en geç 3 iş günü içinde ticari iletilerin gönderiminin durdurulması gerekir.

Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller

Kanunlarda açıkça öngörülmesi durumunda veri sahibinin açık rızası alınmadan kişisel veriler işlenebilmektedir. 2559 sayılı Polis Vazife ve Salahiyet Kanunu’nun 5. maddesinde düzenlenen kolluğun şüphelilerin parmak izini alma yetkisi,İş Kanunu gereğince çalışana ait özlük bilgilerinin tutulması, Vergi Usul Kanunu gereği fatura üzerinde ad soyad bilgisine yer verilmesi bu duruma örnek olarak gösterilebilir.

Veri sahibinin bilincinin kapalı olması durumu gibi, açık rıza alınmasının fiili olarak imkansız olması durumunda yine açık rıza aranmayacaktır. Bilincini kaybeden bir kişinin hayatını korumak amacıyla ad soyad, kan grubu, telefon numarası gibi kişisel verileri işlemek bu duruma örnek olarak verilebilir.

Sözleşmelerin kurulması ve ifası için gereken kişisel veriler, yalnızca sözleşme kapsamında kullanılmaları koşuluyla, veri sahibinin açık rızası olmadan işlenebilir. Örneğin sözleşmeden doğan para borcunun ödenebilmesi için banka hesap bilgilerinin alınması veya teslimin gerçekleşmesi için adres bilgisinin alınması bir zorunluluktur.

Kişisel veri sahibi tarafından aleni hale getirilmiş ise, bu verinin işlenmesi için yine ayrıca açık rıza aranmayacaktır. Veri sorumlusunun kendisine tanıtım ve reklam yapılması için iletişim bilgisi bırakan müşterisinin iletişim bilgisini yalnızca bu amaçla işlemesi bu duruma örnek olarak verilebilir.

Veri sorumlusu kendisine ait yükümlülükleri yerine getirebilmek için de kişisel verileri saklamak durumunda olabilir. Örneğin bir okulun öğrencileriyle ilgili gereken bilgilendirmeleri yapabilmesi için velilerin iletişim bilgilerini saklaması gerekir.  Veri sorumlusunun çalışanlarına ücretlerini ödemesi için çalışan hesap bilgilerini işlemesi de bu duruma örnek olarak verilebilir.

Veri sorumlusunun bir hakkının kurulması, kullanılması veya korunması adına veri sahibinin verilerini kullanması zorunluluğu söz konusu olduğunda yine açık rıza aranmayacaktır. Eski bir çalışanı hakkında tarafına haciz ihbarnamesi gönderilen veri sorumlusunun kişinin Şirket ile hizmet akdinin sona erdiğini bildirmesi de bu duruma örnek olarak verilebilir.

Veri sorumlusunun meşru menfaatleri için zorunlu olması halinde veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla açık rıza olmaksızın veri işleme hakkına sahiptir. Şirket’in işyeri güvenliğini sağlamak için çalışanların kişisel verilerini işlemesinin zorunlu olması halleri bu duruma örnek olarak verilebilir.

AYDINLATMA YÜKÜMLÜLÜĞÜNÜ KVKK KAPSAMINDA İNCELEME

Günlük hayatta birçok işlem yapılırken kişisel verilerin başkalarıyla paylaşılması söz konusu olmaktadır. Modern hayatın geldiği bu noktada kişisel verilerin hukuki koruma altına alınması ihtiyacı doğmuştur. Bu amaçla yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında, kişisel verileri işleyecek olan gerçek ve tüzel kişilerin -kanunun deyimiyle veri sorumlularının- öncelikle veri sahiplerini aydınlatma yükümlülüğü bulunuyor.

KVKK Kapsamında Aydınlatma Nedir?

Kişisel verileri işleyen tüm gerçek ve tüzel kişilerin, KVKK kapsamında veri sahiplerinin açık rızalarını almaları gerekmektedir. Veri sahibinin açık rızası olmaksızın yapılan veri işleme faaliyetleri hukuken geçerli kabul edilmeyecektir. Kişisel verilerin işlenmesi için gereken açık rızanın geçerlilik unsurlarından biri bilgilendirmeye dayalı olmasıdır. Bu noktada veri sorumlusunun aydınlatma yükümlülüğü karşımıza çıkmaktadır. Kişisel verilerin işlenmesinde kanun veri sorumlusuna aydınlatma yükümlülüğü getirmektedir. Bu yükümlülük KVKK m.10’da düzenlenmiştir. Veri sorumlusu yapılacak olan veri işleme faaliyetinin detayları hakkında veri sahibini bilgilendirmelidir.

Yapılan bilgilendirmenin veri sahibi tarafından “anlaşılabilir” nitelikte olması, aydınlatma yükümlülüğünün yerine getirildiğinin kabulü için büyük önem taşımaktadır. Elbette ki burada bahsettiğimiz “anlaşılabilirlik” hedef kitleye ve somut olaya göre değişiklik gösterecektir. Bununla birlikte yapılan bilgilendirmede genel olarak sade bir dil kullanılması, teknik kelimeler ile mesleki jargondan kaçınılması ve ihtiyaç duyulan yerlerde teknik terimlerin veri sahibine açıklanması gibi kriterler hukuki geçerlilik değerlendirilirken göz önünde bulundurulacak temel kriterler olarak sayılabilir.

Burada dikkat edilmesi gereken bir diğer husus da bilgilendirmenin doğrudan veri sahibine yapılması zorunluluğudur. Aydınlatma metninin veri sahibinin ulaşabileceği herhangi bir yerde bulunuyor olması yeterli değildir. Veri sorumlusu aydınlatma metnini doğrudan veri sahibine sunmakla mükelleftir. Uygulamada özellikle karşılaştığımız hatalardan biri de bu husustur. Örneğin KVKK Uyum danışmanlığı sürecinde titiz çalışmalar sonucu web site üyeliğinde işlenen kişisel veriler hakkında veri sahibine gösterilmesi için hazırladığımız aydınlatma metinlerinin üyelik aşamasında veri sahibine gösterilmediğini, web sitesinde herhangi bir yerde paylaşıldığını görmekteyiz. Önemli olan muhataba en geç veri elde edildiği sırada bu aydınlatmanın yapılmasının sağlanmasıdır. Aksi halde aydınlatma doğru şekilde yapılmamış olacaktır.

Aydınlatma Metninde Nelere Yer Verilmelidir?

Veri sorumlusu veya bu konuda yetkilendirdiği üçüncü bir kişi, aşağıda belirtilen konulara aydınlatma metninde yer vererek, verileri işlenecek olan veri sahiplerini bilgilendirmelidir:

  1. Veri sorumlusunun ve varsa temsilcisinin kimliği:

Burada veri sorumlusu olan şirketin tam unvanı, MERSİS numarası ve iletişim bilgileri gibi asgari kimlik bilgilerine yer verilmesi gerekir.

  1. Kişisel verilerin hangi amaçla işleneceği:

Kişisel verilerin işlenme sebepleri aydınlatma metninin bu bölümünde detaylandırılır. Örneğin şirket ile veri sahibi arasında akdedilen satış veya hizmet sözleşmesinin yerine getirilebilmesi, iş yeri güvenliğinin sağlanabilmesi, kanunlar kapsamında hukuki yükümlülüklerin yerine getirilebilmesi, sözleşme kapsamında ödemelerin yapılabilmesi gibi amaçlar tek tek bu metinde belirtilir.

Örneğin şirketler çalışanlarının ad, soyad gibi kimlik bilgileri ile adres, iş veya özel e-posta adresi, ve telefon numarası gibi iletişim bilgilerini işleyebilmektedir. Ayrıca yine şirketler tarafından çalışanlarının kimlik doğrulama ve hesap erişimi için kullandıkları parola ve benzer güvenlik ve işlem bilgilerinin de işlenmesi gerekebilir. Çalışanların aileleri ve yakınları ile ilgili veriler de (eş durumu, çocuk sayısı, vb.) yine şirketler tarafından işlenen kişisel veriler arasında yer alır.

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)’nde kişisel verileri işleme amaçları kategoriler halinde belirtilmiştir. Burada çok sayıda alt kategori bulunmakla birlikte başlıca insan kaynakları süreçlerinin planlanması, eğitim faaliyetlerinin yürütülmesi, mal veya hizmet alım/satım süreçlerinin yürütülmesi, hukuk işlerinin takibi, vb. amaçlar sayılabilir. KVKK’ya uyum tüm kişisel veri işleme operasyonlarınızdaki amaçlarınızı sorgularken VERBİS’te belirlenen bu amaçlar da size rehberlik edecektir. Ayrıca yine amaçlarınızı belirlerken amaçlarınızın meşru ve ölçülü olmasına dikkat etmeniz gerekmektedir. Bu hususun somutlaşması açısından Mobil Uygulamalarda Veri Toplama ve İşleme’nin yasal boyutu yazımızı inceleyebilirsiniz.

  1. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği:

Kişisel verilerin işlenmesinde belirli bir veri sorumlusuna açık rıza verdikten sonra, bu verilerin üçüncü kişilere aktarılmasının gerektiği durumlar sıklıkla doğmaktadır. Bu noktada verilerin paylaşılacağı üçüncü kişilerin kimler olduğu, hangi verilerin aktarılacağı ve ne amaçla aktarılacağı konusunda veri sahipleri bilgilendirilmelidir. Bu bilgilendirme yine aydınlatma metni aracılığıyla mümkün olabilecektir. Örneğin fatura gönderimi yapılabilmesi için kargo şirketlerine, ihtilaf halinde savunma hakkının kullanılabilmesi için veri sorumlusunun avukatlarına veya fatura süreçlerinin yürütülebilmesi için mali müşavirlik şirketlerine kişisel verilerin aktarılması söz konusu olabilir. Bu örnekler çok çeşitli olabileceği gibi, aydınlatma metninde tüm olasılıkların tek tek sayılması önem taşımaktadır. Aksi halde kişisel verilerin hukuka aykırı şekilde üçüncü kişilere aktarımı söz konusu olacaktır.

  1. Kişisel veri toplamanın yöntemi ve hukuki sebebi:

Aydınlatma metninde kişisel verilerin hangi yöntemle toplandığı bilgisine de yer verilmelidir. Örneğin müşteri hizmetleri ile yapılan görüşmelerde sıklıkla karşımıza çıktığı üzere, müşterilerin konuşmalarının kayıt altına alınması bir veri işleme faaliyetidir. Telefon görüşmelerinin kayıt altına alınma amacı ise hizmet kalitesinin sağlanması ve herhangi bir ihtilaf yaşanması durumunda bu kayıtlara başvurulabilmesidir. Bir diğer örnek internet ve sosyal medya aracılığı ile verilerin toplanması olabilir. Burada kişisel verilerin toplanma yönteminin yanı sıra hangi hukuki sebeple toplandıkları da önem taşımaktadır. Buna yönelik en yaygın örnek veri sahibi ile veri sorumlusu arasında kurulan sözleşmenin ifa edilmesi için kişisel verilerin toplanıyor olmasıdır.

  1. Veri sahibinin kanunda belirtilen diğer hakları:

Burada veri sahibinin KVKK m.11 kapsamında veri sorumlusunun yaptığı veri işleme faaliyetine karşı sahip olduğu haklar söz konusudur. Bu haklar şu şekilde sıralanabilir:

– Kişisel verilerinin işlenip işlenmediğini öğrenme,

– Kişisel verilerin işlenmiş olması durumunda buna yönelik bilgi talep etme,

– Kişisel verilerinin işlenme amacını ve bu amaca uygun şekilde kullanıp kullanılmadığını öğrenme,

– Yurt içinde ve/veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri öğrenme (varsa),

– Kişisel verilerinin eksik veya yanlış işlenmiş olması durumunda gerekli düzeltmelerin yapılmasını talep etme ve bu kapsamda yapılan düzeltmelerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

– Kişisel verileri KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmakla birlikte, bunların işlenmesini gerektiren sebeplerin ortadan kalkması durumunda kişisel verilerinin silinmesini veya yok edilmesini isteme ve yine bu kapsamda yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

– İşlenen verilerin yalnızca otomatik sistemler vasıtasıyla analiz edilmesi yoluyla aleyhine bir sonuç ortaya çıkmış olması durumunda bu sonuca itiraz etme,

– Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde, zararın giderilmesini talep etme.

Aydınlatma Yükümlülüğünün Yerine Getirilme Yöntemleri

Aydınlatma yükümlülüğü veri sorumlusu tarafından sözlü veya yazılı şekilde yerine getirilebileceği gibi, ses kaydı dinletilmesi ve çağrı merkezi gibi elektronik bir ortam kullanılmak suretiyle de gerçekleştirilebilir. Belirtmek gerekir ki veri sorumlusunun yetkilendirdiği bir üçüncü kişi de aydınlatma yükümlülüğünü yerine getirebilir. Ayrıca veri sahibinin kişisel verilerinin işlenmesi konusunda aydınlatılması gerekliliği, ilgili kişinin talebine bağlı değildir.

Uygulamada yaşanması muhtemel ihtilafların çözümü açısından aydınlatma yükümlülüğünün yazılı şekilde yerine getirilmesi pratik olacaktır. Bu noktada karşımıza “KVKK aydınlatma metni” kavramı çıkmaktadır.

E-ticaret sitelerinde veri sahiplerinin aydınlatılması genel olarak kişisel verilerin korunması hakkında ayrılan bir sayfa aracılığıyla sanal ortamda yapılır. Bunun dışında şirketler de yine internet sitelerinde bu aydınlatma metinlerine yer vermektedirler. Burada aydınlatma metninin kolayca erişilebilir olması önem taşır. İnternet sitelerinde çerezler yoluyla toplanan kişisel veriler hakkında ayrı bir sayfa ayrılmadan, veri sahibi sayfalarda gezinirken kenarda açılan pop-up pencereler aracılığıyla da aydınlatma sorumluluğu yerine getirilebilir.

Buna ek olarak veri sorumlusu veya yetkilendirdiği kişi tarafından sözlü bilgilendirme yapılması, bina girişinde bir bilgilendirme levhası asılması, kamera kaydı alınan durumlarda kameranın altına yine bir bilgilendirme yazısı asılması gibi yöntemlerle de aydınlatma yükümlülüğü yerine getirilebilecektir. Çağrı merkezlerinde sıkça karşılaştığımız, görüşme öncesi veri sahibine bilgilendirme amaçlı dinletilen ses kayıtları da yine veri sorumlusunun aydınlatma yükümlülüğünün bir parçasıdır.

Aydınlatma yükümlülüğünün yerine getirilmesi konusunda önemli noktalardan biri de veri sahibinin bilgilendirilmesi ile açık rızasının alınmasının ayrı ayrı yapılması gereken işlemler olduğudur. Zira aydınlatma yükümlülüğünün amacı ilgili kişinin kişisel verilerinin işlenmesi hakkında bilgilendirilmesi iken, açık rıza alınmasındaki amaç veri sorumlusu tarafından gerçekleştirilen veri işleme faaliyetlerinin hukuki olarak temellendirilmesidir. Dolayısıyla veri sahibi olan kişinin aydınlatma metni aracılığıyla kişisel verilerin işlenmesine ilişkin bilgi sahibi olması, metinde yer alan hususlara onay verdiği anlamını taşımamaktadır. Bunun için ayrıca açık rıza vermesi gerekir. İşlemeye konu olan kişisel verilerin doğrudan veri sahibinden değil de bir üçüncü kişiden elde edilmesi durumunda, yine veri sahibinin aydınlatılması yükümlülüğü devam edecektir.

VERBİS KAYDI VE KİŞİSEL VERİ İŞLEME ENVANTERİ

Bu yazımızda KVKK kapsamında getirilen yükümlülüklerden biri olan Kişisel Veri İşleme Envanteri hazırlama ve VERBİS kayıt zorunluluğu gibi yükümlülüklerinden bahsedeceğiz. Teknolojinin hayatımıza girmesiyle geçmişten beri tarihi, politik ve ekonomik olarak önemi olan kişisel veriler, aynı zamanda ticari bir değer kazanmıştır. Modern yeniliklerin kişisel verileri her alanda farklı şekilde değerlendirilme ve işlemeye açık hale getirilmesi karşısında gerçek kişinin hukuki koruma altına alınması zorunluluğu doğmuştur. Bu amaçla yürürlüğe konulan 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’na kişisel verileri işleyen tüm gerçek ve tüzel kişilerin uyması gerekmektedir.  Kişisel verileri işleyecek olan veri sorumlularının bu yükümlülükleri eksiksizce yerine getirmeleri KVKK’ya uygun veri işleme yönetimi ve aykırılıkların doğurduğu sonuçlar itibariyle büyük önem taşımaktadır. Kişisel Veri İşleme Envanteri hazırlama ve VERBİS kayıt zorunluluğu en önemli yükümlülüklerin başında gelmektedir.

Kişisel Veri İşleme Envanteri Nedir?

Kişisel Veri İşleme Envanteri’nin ne olduğu Veri Sorumluları Sicili Hakkında Yönetmelik’te (“Yönetmelik”) açıkça belirtilmiştir. Buna göre veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirdikleri kişisel veri işleme faaliyetlerini detaylandırdıkları belge, Kişisel Veri İşleme Envanteri’dir (“Envanter”). Envanter oluşturmak veri sorumlusunun veri işleme süreçlerinin detaylı bir analizini yapmayı gerektirir. Bu kapsamda veri sorumlularının, organizasyonel yapısı kapsamında varsa finans, müşteri ilişkileri, insan kaynakları, reklam ve pazarlama, ithalat ve ihracaat, depo, e-ticaret ve bunlar gibi birimler özelinde detaylı kişisel veri işleme analizi yapmaları ve her veri kategorisi üzerinde asgari olarak aşağıdaki hususları ayrı ayrı değerlendirmeleri gerekir. Söz konusu detaylandırmada aşağıdaki hususların belirtilmesi gerekir:

  • Veri kategorisi
  • Kişisel verileri işleme amaçları
  • İlgili verileri işlemeye dayanak olan hukuki sebepler
  • Eğer varsa ilgili kişisel verilerin aktarıldığı alıcı grubu
  • İlgili kişisel verilerin işlenmesinin amacına hizmet edebilmesi için gereken azami muhafaza süresi
  • İşlenen kişisel verilerin yabancı ülkelere aktarımı öngörülüyorsa hangi verilerin aktarımının yapılacağı ve bu aktarım sürecinde verilerin güvenliği için alınacak güvenlik önlemlerinin detayları.

Buna göre Envanter aslında bir tür rapor olarak tanımlanabilir. Bu raporda kişisel verileri işlemekte olan veri sorumluları tüm süreçleri değerlendirir ve süreçler kapsamındaki faaliyetlerini detaylandırır. Bunu yaparken her faaliyetle ilgili olarak işlenen kişisel veriler tek tek belirlenir. İlgili kişisel verilerin ne amaçla ve hangi hukuki sebebe dayanarak işlendiği, üçüncü kişilere aktarılıp aktarılmadığı, eğer aktarıldıysa kime aktarıldığı bilgisi, işlenen kişisel verilerin kime ait olduğunun yanı sıra verilerin saklanma süresi, yurtdışına aktarılıp aktarılmadığı ve buna yönelik alınan güvenlik önlemlerinin neler olduğu detaylı analiz yapılarak Envanter’de belirtilir.

Kişisel verileri işleyen veri sorumlularına Envanter hazırlama yükümlülüğü getirilmesindeki amaç, bu süreçte KVKK’ya uyumlu olarak hareket etmelerini sağlamaktır. Bu sayede kanuna aykırı bir kişisel veri işlenmesi durumunda bunun kolaylıkla tespit edilmesi ve önlenmesi hedeflenmektedir. Envanter aslında veri sorumlularının KVKK’ya uyumluluk konusunda kendi kendilerini denetleyebilmelerine olanak sağlayan bir mekanizmadır.

Kişisel Veri İşleme Envanteri Hazırlamakla Yükümlü Olanlar

Yönetmelik, 5. Maddesinin 1. Fıkrasının (ç) bendi ile Envanter hazırlamakla yükümlü olanları belirlemiştir. Buna göre sicile kayıtla yükümlü olan veri sorumluları, Envanter hazırlamakla yükümlü olan kişilerdir. Kişisel verileri işlenen ilgili kişilerin başvuruları yanıtlanırken ve açıklayacakları açık rızanın kapsamı belirlenirken, Envanter’e dayalı olarak sunulan ve Veri Sorumluları Sicili’nde yayınlanan bilgiler esas alınır. Veri sorumlularının ayrıca Envanter’e uygun olarak, kişisel veri saklama ve imha politikası da belirlemeleri gerekir.

VERBİS Nedir ve VERBİS Kayıt Yükümlülüğü Kimler İçin Öngörülmüştür?

VERBİS, “Veri Sorumluları Sicili Bilgi Sistemi”nin kısaltmasıdır. KVKK kapsamında

  1. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları,
  2. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları,
  3. Yurtdışında yerleşik veri sorumluları ve
  4. Kamu kurum ve kuruluşlarının,

VERBİS’e kayıt olma zorunlulukları bulunmaktadır. Veri işleyen gerçek ve tüzel kişilerin VERBİS’e kayıt olmaları ve veri işleme faaliyetlerine ilişkin bilgileri kategorik olarak sisteme kayıt etmeleri önem taşımaktadır. Bu sayede kişisel verileri işleyen gerçek ve tüzel kişilerin veri sorumlularının kimler olduğu açıklanmış olmakla birlikte, kişisel verileri koruma noktasında nasıl bir plan yaptıkları da sisteme girilmiş olur.

Gerçek veya tüzel bir kişi olabilen “Veri Sorumlusu”, kişisel verilerin işlenme amacını ve bunların nasıl işleneceğini belirler. Buna göre veri işleme faaliyetinin neden yapıldığı ve yapılma yönteminin ne olduğu sorularının muhatabı olan kişi veri sorumlusudur. Verileri işleyen bir tüzel kişi ise, tüzel kişinin kendisi bizzat veri sorumlusu olur. Veri işlemeden doğan her türlü hukuki sorumluluk tüzel kişiye aittir. Bu noktada kamu hukuku tüzel kişileri ile özel hukuk tüzel kişileri arasında bir ayrım yapılmamıştır.

VERBİS Kayıt Zorunluluğu İstisnaları

Yukarıda da açıklandığı üzere kişisel verileri işleyen gerçek ve tüzel kişilerin VERBİS kayıt zorunluluğu vardır. Bununla birlikte KVKK m.16 Kişisel Verileri Koruma Kurulu’na (“Kurul”), VERBİS’e kayıt zorunluluğu konusunda istisnalar getirme yetkisi vermektedir. Kurul kararı ile VERBİS’e kayıt zorunluluğundan muaf tutulan gerçek ve tüzel kişiler şunlardır:

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
  2. Noterler,
  3. Siyasi partiler,
  4. Avukatlar,
  5. Gümrük müşavirleri,
  6. Arabulucular,
  7. Serbest muhasebeci mali müşavirler ve yeminli mali müşavirler,
  8. Dernekler, vakıflardan ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  9. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar.

VERBİS’e Kayıtta İrtibat Kişisi Kimdir ve Sorumlulukları Nelerdir?

Kişisel Verileri Koruma Kurumu ile veri sorumluları arasındaki iletişimin sağlanabilmesi amacıyla “İrtibat Kişisi” kavramı doğmuştur. Yönetmelik irtibat kişisini “İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar.” şeklinde tanımlar.

Buna göre irtibat kişisi, Envanter üzerinde bir güncelleme yapılması gerektiği zaman VERBİS’e girerek ilgili düzenlemeyi yapacak olan kişidir. Bununla birlikte veri sorumlusunun veri işleme faaliyetlerinden doğan sorumluluk tamamen kendisine ait olup, irtibat kişisi bu faaliyetler nedeniyle sorumlu tutulamaz. İrtibat kişisi yalnızca iletişim aracılığı yapmakla yükümlüdür.

Gerçek kişi olan veri sorumluları, irtibat kişisi olarak kendilerini belirleyebilirler. Tüzel kişi olan veri sorumluları ise, şirket içinden veya dışından olması önem arz etmeksizin herhangi bir gerçek kişiyi irtibat kişisi olarak atayabilirler. Bununla birlikte irtibat kişisinin 18 yaşından büyük olması, Türkiye’de yerleşik olması ve Türkiye Cumhuriyeti vatandaşı olması zorunludur.

Bir gerçek kişi birden fazla veri sorumlusunun irtibat kişisi olamayacağı gibi, bir veri sorumlusunun da birden fazla irtibat kişisi ataması mümkün değildir. Veri sorumlusu, irtibat kişisini dilediği zaman değiştirme hakkına sahiptir.

KVKK VERBİS Kayıt Kategorileri Nelerdir?

VERBİS’e işlenmesi gereken veriler kategorilere ayrılmıştır. Buna göre veri kategorileri genel hatlarıyla şunlardır:

Kimlik: Nüfus cüzdanı, ikametgah, ehliyet, pasaport, avukatlık kimliği, evlilik cüzdanı ve benzeri dokümanlarda yer alan, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen ad-soyadı, T.C. kimlik numarası, uyruk bilgisi, anne baba adı, doğum yeri, doğum tarihi, cinsiyet, işyeri bilgisi, kan grubu, sicil no., vergi numarası, unvan, biyografi gibi bilgileri ifade eder.

İletişim: Telefon, elektronik posta, faks numarası,  sosyal medya hesapları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Lokasyon: Uydu yön bulma sistemleri marifetiyle belirlenen belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen konum bilgisini ifade eder.

Özlük: Öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, CV, aldığı kurslar, izin, kıdem baz tarihi, izin kıdem ilave gün, izin grubu, çıkış/dönüş tarihi, gün, izine çıkış nedeni, izinde bulunacağı adres/telefon, pozisyon adı, departmanı ve birimi unvanı, son işe giriş tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik, sosyal güvenlik no, esnek saatlerde çalışma durumu, seyahat durumu, çalışma gün sayısı, çalıştığı projeler, aylık toplam mesai bilgisi, kıdem tazminatı baz tarih, kıdem tazminatı ilave gün,grevde geçen gün, çalışan internet erişim logları, giriş çıkış logları elde edilmesine yönelik işlenen her türlü kişisel veri       ve çalışanın bulunduğu pozisyonda ilerleyebilmesi için gerekli olan performans, eğitim ve beceriler, hangi tarihte hangi eğitimi aldığı bilgisi, e-posta,  imzalı katılım formu, müşteri ile görüşme kalite değerlendirme formu, aylık performansının değerlendirilmesi ve hedef gerçekleştirme durumu, aktivite bilgileri gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Hukuki işlem: Haciz ihbarnamesi ve benzeri mahkeme/icra daireleri evrakları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Müşteri işlemleri: İrsaliye, fatura bilgileri ve sipariş bilgileri gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Fiziksel mekan güvenliği: Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, taşıt plaka bilgileri, güvenlik noktasında alınan kayıtlar, telefon aramalarında alınan ses kayıtları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

İşlem güvenliği: İnternet trafik verileri, ağ hareketleri, IP adresi, ziyaret verileri, zaman ve tarih bilgileri gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Risk yönetimi: Ticari, teknik ve idari risklerin yönetilmesi için kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen veri türlerini ifade eder.

Finans: Banka  hesap  numarası, banka hesap bilgileri,(IBAN no, hesap sahibi vb.) kredi kartı bilgisi, çalışanlara ilişkin finansal ve maaş detayları, bordrolar, prim hak edişleri, prim tutarları, icra takip dosyalarına ilişkin dosya ve borç bilgileri, banka hesap cüzdanı, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder

Mesleki deneyim: Çalışanın eski çalıştığı yerler ve edindiği mesleki sertifikalar gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Pazarlama: Çerez teknolojisi ile edinilen kullanıcı davranışları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Görsel ve işitsel kayıtlar: Fotoğraf, ses ve görüntü kayıtları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Irk ve etnik köken: Kişinin ırk ve kökenini gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Siyasi düşünce: Kişinin desteklediği siyasi parti ve görüşler gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Felsefi İnanç, Din, Mezhep Ve Diğer İnanç: Kişinin benimsediği din, mezhep ve inançlarını gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Kılık ve Kıyafet: Kişinin benimsediği kılık kıyafet stili kapsamında kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Dernek üyeliği: Kişinin üye olduğu dernekleri belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Vakıf üyeliği: Kişinin üye olduğu vakıfları belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sendika üyeliği: Kişinin üye olduğu sendikaları belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sağlık: Sağlık raporu, maluliyet raporu gibi belgelerde kişinin sağlık durumunu belirten kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Cinsel hayat: Kişinin cinsel yönelimleri kapsamındaki kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Ceza mahkûmiyeti ve güvenlik tedbirleri: Kişinin uğradığı ceza mahkumiyeti ve güvenlik tedbirlerini belirten sabıka kaydı gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Biyometrik ve Genetik veri: Kişinin parmak izi, avuç içi, retina, yüz tarama, ses gibi verilerini ve genetik bilgilerini gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

VERBİS Kaydı İçin Son Tarih Ne Zamandır?

VERBİS kayıt şartları uyarınca sisteme kayıt olmakla yükümlü olan veri sorumluları için, Kurul tarafından bu yükümlülüğün başlangıç ve bitiş tarihleri belirlenmiştir. Bununla birlikte bitiş tarihleri birkaç kere uzatılmış olup, en son 23 Haziran 2020 tarihinde VERBİS kayıt süresi olarak aşağıdaki son güncel tarihler belirlenmiştir. Buna göre:

  1. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için, VERBİS kayıt süresi 30 Eylül 2020 tarihi itibariyle dolmuştur. Verileri Koruma Kurulu tarafından yapılan inceleme ve değerlendirme sonucunda; COVID-19 ile mücadele kapsamında fiili, teknik ya da hukuki imkânsızlık nedeniyle bazı veri sorumlularının Sicile kayıt yükümlülüğünü yerine getiremediği göz önüne alınarak, Veri Sorumluları Sicili Hakkında Yönetmeliğin 8 inci maddesi uyarınca ve Kanunun Geçici 1 inci maddesiyle Kurula verilmiş olan yetki çerçevesinde, Sicile kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bu durumun bir yazı ile bildirilmesi Kurulun 01.10.2020 tarihli ve 2020/760 sayılı kararı ile uygun bulunmuş olup söz konusu yazıyla Kurul tarafından kendilerine bildirilen süre içerisinde, ilgili veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri gerekmektedir.
  2. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumluları için ise VERBİS kayıt süresi 31 Mart 2021 tarihine kadar uzatılmıştır.

VERBİS’e Nasıl Kayıt Olunur?

Kişisel Verileri Koruma Kurumu’nun internet sitesi olan www.kvkk.gov.tr üzerinden ilgili adımlar takip edilerek VERBİS kayıt işlemi tamamlanabilir.

VERBİS’e Kayıt Yaptırmamanın Cezai Sonuçları Nelerdir?

KVKK uyarınca VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket eden gerçek ve tüzel kişi veri sorumluları için, 2020 yılı için 36 bin TL ile 1 milyon 802 bin TL arasında idari para cezası öngörülmüştür. Bu cezalar her yıl güncellenmektedir.

 

KVKK IŞIĞINDA TEMEL KAVRAMLAR

Kişisel verilerin önemi ve bu önem üzerine inşa edilen 6098 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) biz hukukçuları ve aslında veri sahibi gerçek kişiler de dâhil herkesi ziyadesiyle ilgilendiren bir konu olarak gündemimize girdi. Uygulamada hala birçok veri işleyen kurum ve kuruluşun mevzuattaki gelişmelerden ve yaptırımlardan bihaber olduğunu gözlemlesek de 12 Ocak 2017’de Kişisel Veri Koruma Kurulu’nun yemin ederek göreve başlamasıyla dikkatlerin daha da yoğunlaştığı kişisel verilerin korunması konusu ve KVKK, hem veri sahipleri hem de veri sorumluları için büyük önem arz ediyor.

Bu konuda kısaca Türkiye’deki gelişmelere bakacak olursak, 2004 yılında kişisel verilerin hukuka aykırı kaydedilmesi Türk Ceza Kanunu’nda suç olarak tanımlandı. 2010 yılında herkesin kişisel verilerinin korunmasını isteme hakkı bir anayasal hak olarak tanındı. Bu hakkın nasıl kullanılacağı veya kişisel verilerin işlenmesine ilişkin sınırlamaların neler olacağı bu konuda çıkarılacak bir kanuna bırakıldı. Gerçekten de hem Türk Ceza Kanunu’ndaki suç tanımının iyi anlaşılması hem de bu konudaki anayasal hakkın sağlıklı şekilde kullanılması için konunun temel prensiplerini ve detaylarını belirleyecek bir kanuna ve beraberinde yayımlanacak yönetmeliklere ihtiyaç vardı. Nihayetinde yıllardır merakla beklediğimiz kanun olan KVKK 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlandı ve tüm hükümleriyle 7 Ekim 2016 tarihinde yürürlüğe girdi.

Kişisel verilerin korunması ve KVKK, mühim ve detaylandırıldıkça derinleşen bir konu olduğundan bitimsiz bir yazıya mahal vermemek adına, KVKK ile birlikte hayatımıza giren kavramları ve konuyla ilgili temel prensipleri bu yazımda özetle sizlerle paylaşacağım.

  1. Kişisel veri nedir?

Kişisel verilerin korunma prensiplerini iyi anlamak adına kişisel verinin bir gerçek kişiyi belirli hale getiren veya belirlenebilir kılan her türlü veri olduğunun altını çizmek gerekir. Bu kapsamda tüzel kişilerin verilerinin kişisel verilere konu olmadığını – örneğin bir anonim şirketin ticari sırlarının kişisel veri olamayacağını- kişisel veriden söz etmek için gerçek kişiden yani insandan söz etmek gerektiğini görmekteyiz. Ayrıca bu veriler öyle veriler olmalıdır ki; veri sahibi gerçek kişiyi ortaya çıkarmalı ya da ortaya çıkarmaya elverişli hale getirmelidir. İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nün istatistiklerine göre Türkiye’de 33.000 Mehmet Yılmaz adında gerçek kişi olduğu bilgisinden yola çıkarak yalnızca Mehmet Yılmaz adının kişisel veriye karşılık gelmeyeceğini, bu ad ile birlikte bahsettiğimiz kişiyi belirli kılacak adres, yaş, meslek gibi diğer kişisel verilere de ihtiyacımız olduğunu söyleyebiliriz. Bu kapsamda işlenen veriler değerlendirilirken, eldeki verileri bu en temel prensibi gözeterek değerlendirmek gereklidir.

KVKK’da bir de özel nitelikli kişisel veriler tanımlanmıştır ve bu kişisel veriler daha hassas bir korumaya tabi tutulmuştur. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. Kısaca açıklamak gerekirse;

Irk ve etnik köken: Kişinin ırk ve kökenini gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Siyasi düşünce: Kişinin desteklediği siyasi parti ve görüşler gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Felsefi İnanç, Din, Mezhep Ve Diğer İnanç: Kişinin benimsediği din, mezhep ve inançlarını gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Kılık ve Kıyafet: Kişinin benimsediği kılık kıyafet stili kapsamında kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Dernek üyeliği: Kişinin üye olduğu dernekleri belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Vakıf üyeliği: Kişinin üye olduğu vakıfları belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sendika üyeliği: Kişinin üye olduğu sendikaları belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sağlık: Sağlık raporu, maluliyet raporu gibi belgelerde kişinin sağlık durumunu belirten kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Cinsel hayat: Kişinin cinsel yönelimleri kapsamındaki kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Ceza mahkûmiyeti ve güvenlik tedbirleri: Kişinin uğradığı ceza mahkumiyeti ve güvenlik tedbirlerini belirten sabıka kaydı gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Biyometrik ve Genetik veri: Kişinin parmak izi, avuç içi, retina, yüz tarama, ses gibi verilerini ve genetik bilgilerini gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

  1. Açık rıza ve aydınlatma yükümlülüğü nedir?

KVKK’daki bir diğer önemli kavram ise “açık rıza” kavramıdır. Kural olarak kişisel verilerin işlenmesinin hukuka uygun olması için açık rızanın alınması gereklidir. Veri sorumlusu öncelikle verisini işleyeceği ilgili kişiyi veri sorumlusunun kimliği, kişisel verileri hangi amaçla işleyeceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ilgili kişinin Kanun’dan doğan hakları konularında aydınlatmakla yükümlüdür. Veri sorumlusu bu aydınlatma yükümlülüğünü yerine getirdikten sonra ilgili kişi “şüpheye mahal vermeyecek şekilde” ve “özgür iradesiyle” kişisel verilerinin işlenmesine onay vermelidir. Aydınlatma yükümlülüğünün gerçekleştirilmesi ve akabinde şüphesiz bir özgür iradeyle onay verilmesiyle açık rıza hukuka uygun şekilde alınmış olacaktır. Kanun veya yönetmeliklerde açık rızanın alınma şekli ile ilgili bir düzenleme bulunmadığından, veri sorumluları bu rızayı yazılı veya sözlü alabileceklerse de herhangi bir uyuşmazlık durumunda açık rızanın alındığının ispatı veri sorumlusu tarafından yapılması gerekeceği gözden kaçırılmamalıdır.

  1. Kişisel veri işleme kapsamı nedir?

Aydınlatma yükümlülüğünü yerine getirmeyi ve ilgili kişiden açık rıza almayı gerektiren fiiller; kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde etme, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hâle getirme, sınıflandırma ya da kullanılmasını engellemedir. Bu fiillerin yalnızca birini gerçekleştirmek ya da birden çoğunu gerçekleştirmek arasında açık rıza almak açısından bir fark bulunmamaktadır. Örneğin kişisel veriyi yalnızca muhafaza etmek de muhafaza edip, sınıflandırarak aktarmak da açık rıza almayı gerektirecektir.

  1. Açık rıza gerektirmeyen istisnalar Kanun’da düzenlenmiş midir?

KVKK’da kişisel verileri işlemek için açık rıza gerektirmeyen bazı istisnalar düzenlenmiştir. Kanunlarda açıkça öngörülmesi durumunda açık rıza almak gerekmeyecektir. Örneğin Sosyal Güvenlik ve İş Hukuku mevzuatı gereği işçi hakkında tutulması işverenlere zorunlu hale getirilmiş kişisel veriler için işçinin onayını almak gerekmeyecektir.

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda da açık rıza aranmayacaktır. Örneğin; hürriyeti tahdit edilen bir kişinin kurtarılması amacıyla, kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir.

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde de açık rıza aranmayacaktır. Örneğin bir e-ticaret şirketinin müşterisine satın aldığı ürünü göndermesi için adres bilgisinin kaydedilmesi ifa için zorunludur. Bu durumda da bu verinin kaydedilmesi için açık rızanın varlığı aranmayacaktır.

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel verinin işlenmesinin zorunlu olması ve bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması da açık rızanın aranmadığı istisnalardandır.

İçinde bulunduğumuz dijital çağda paylaşılan veriler düşünüldüğünde dikkate ve tartışmaya değer istisnalardan biri de kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olmasıdır. Bir örnekle açıklamak gerekirse; bir kişinin herkese açık sosyal medya hesaplarında kendisine dair paylaştığı fotoğraflar, bilgiler, bulunduğu konumlar gibi birçok veri, kişi kendisi bu verileri alenileştirdiği için açık rızası olmaksızın işlenebilecektir.

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması da açık rıza gerektirmez. Buna göre, örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaati cümlesindendir.

  1. Özel nitelikli kişisel verileri işleme sınırlamaları nelerdir?

Kural olarak özel nitelikli kişisel veriler de açık rıza olmaksızın işlenemez. Kanun özel nitelikli kişisel verilerin işlenmesi için de bir takım istisnalar getirmiştir. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Hastanelerin, eczanelerin ya da Sosyal Güvenlik Kurumunun hastalarla ilgili veri işlemesi bu kapsamda değerlendirilecektir.

Sağlık ve cinsel hayata ilişkin kişisel verilerin ise daha sınırlı hallerde işlenmesine izin verilmiştir. Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Bir başka yazımızda KVKK’nın getirdiği diğer hükümlere ve yaptırımlara değinmek umuduyla kişisel verilerin korunması konusunda tedbir almayan veri sorumlularına daha fazla geç kalmaksızın veri gizliliği ve güvenliğine ilişkin politikalarını oluşturmayı tavsiye ediyorum. bu yazıda bahsettiğim kavramları öğrenmenin, veri koruma stratejilerini oluştururken veri sorumlularının aynı zamanda hukuk uygun hareket etmelerini sağlamasını umut ediyorum.

                                                                                                                   Av. Seval Sönmez Durmuşoğlu