SON DAKİKA

Aslı Şarman

Aslı Şarman

[email protected]

Kişisel verilere dair

İlk kez 2010’da anayasal teminata bağlanan, 24 Mart 2016 tarihinde, 6698 sayılı kanunla yasallaşan, 7 Nisan 2016 tarihli, 29677 sayılı Resmi Gazete’de  yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) ve kanunla aynı adı taşıyan Kişisel Verileri Koruma Kurumu, bu tarih itibariyle iş dünyasının gündemine girdi. 2 yıllık yürürlük süresi 6 Nisan 2018 tarihinde tamamlanan KVKK, şirket ajandalarının en önemli maddesi olma özelliğini  ise son 1 yılda daha da artırdı. 

KİŞİSEL VERİ NE DEMEK VE KENDİ İÇİNDE AYRIŞIYOR MU?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ediyor. Kişisel veriler 4 ana unsur içeriyor: Kimliği belirli veya belirlenebilir, gerçek kişiye (tüzel kişilikler hariç), ilişkin her türlü bilgi. Bu tanıma bakıldığında ad & soyad verisi kişisel veri oluyor, ama bunun haricinde TCKN, GSM numarası, e-mail gibi birçok bilgi de kişisel veri kapsamına dahil oluyor. Kişisel veriyi tanımlarken kanunda bahsi geçen ve listelenen 4 ana unsuru göz önünde bulundurmak şart. Örneğin; müşterinin bankayı telefon ile arayarak sesli talimat vermesi ve bunların kaydedilmesi halinde, ilgili ses kayıtları kişisel veri olarak değerlendirilebilir. ‘Özel nitelikli kişisel veriler’ başlığı altında tanımlanan ve kanunda nasıl tutulup işlenmesi gerektiği detaylıca belirtilen bir grup daha bulunuyor. Bu hassas veriler, kişisel verilerin daha fazla koruma uygulanan küçük bir grubu olarak değerlendirilebilir. Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.
 
KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel verinin işlenmesi, KVK Kurumu tarafından “Herhangi bir kişiye ait kişisel verinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” şeklinde tanımlanıyor. Firmalar, bu tanımı yanlış değerlendiriyor ve “Ben müşteri verisini işlemiyorum, sadece fatura kesiyorum” şeklinde yorumluyor. Oysaki, kurumun tanımına baktığımızda, herhangi bir gerçek kişinin ad-soyad-email gibi kişisel veri tanımına giren verilerini, şirketin herhangi bir programı veya mail ortamında tutmak ya da bir dosyada yazılı olarak arşivlemek, ‘veri’nin işlenmesi” anlamına geliyor.

KANUNDAKİ ÖNEMLİ ROLLER NELER?

Kişisel verilerin korunması hukukunda veri işleme süreçleri bakımından aktif rol ve sorumluluk üstlenen üç taraf bulunuyor:

Veri sahibi / İlgili kişi  (Data subject) : Kişisel verisi işlenen birey. 
Veri sorumlusu (Data controller) : Kişisel verilerin neden ve nasıl işleneceğini, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Örneğin; perakende sektöründe çalışan bir şirket, çalışanları ve müşterileri açısından veri sorumlusudur.
Veri işleyen (Data processor) : Kişisel verileri, veri sorumlusu adına kendisine verilen talimatlara uygun  işleyen kişi veya organizasyondur. Örneğin, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına çağrı merkezi hizmeti veren bir şirket, veri işleyendir.
 
HUKUKİ YÜKÜMLÜLÜKLERİN YERİNE GETİRİLMESİ BAKIMINDAN  ESAS SORUMLU KİM?

Kanunda, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesinde esas sorumlu, veri sorumlusudur. Peki; veri sorumlusu ile veri işleyen arasındaki fark nedir?  Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve metotlarını, kanallarını belirleyen, veri kayıt sisteminin  (veri ambarları/ veri tabanları) kurulmasından, yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise veri sorumlusunun verdiği yetkiye, talimatlara dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir. 

VERİ SAHİBİNİN HAKLARI

Kanun çerçevesinde kişisel verisi işlenen bireylerin/kişilerin hakları; bilgi edinme, verisi aktarılan 3’üncü kişileri öğrenme, kendi kişisel verileri için ilgili tüzel kişilerden ‘silme’ veya ‘yok etme’yi talep etme, 3’üncü kişilere bildirim yapılması, sonuca itiraz etme, eksikliğin veya yanlışlığın giderilmesi ve zararın giderilmesini talep etme olarak 7 başlık altında sıralanıyor.

KVKK NEDENİYLE ŞİRKETLER, KİŞİSEL VERİLERİ DEPOLAYAMAYACAK MI?

Elbetteki hayır. Gerek kamu gerekse de özel sektörde faaliyet gösteren firmalar, işleri veya hizmetleri gereği müşterilerine, çalışanlarına, tedarikçilerine ait kişisel verileri almak ve depolamak durumunda oldukları için kişisel veri depolayıp işleyecekler. Ancak bunu yaparken kişisel verisi alınan, depolanan ve işlenen kişiden açık rıza almaları gerekiyor. Açık rızanın ise üç unsuru bulunuyor: Belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması ve özgür iradeyle yapılması…
 
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI 

1-Açık rıza alınmış olması.
2-Kanunlarda açıkça öngörülmesi.
3-Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. 
4-Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
5-Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
6-İlgili kişinin kendisi tarafından alenileştirilmiş olması
7-Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
8-İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. 

VERİ SORUMLUSU SİCİLİ (Verbis) 

Veri Sorumlusu Sicili, veri sorumlularının kaydedildiği, Kişisel Verileri Koruma Kurulu’nun gözetiminde, başkanlık tarafından kamuya açık olarak tutulan sicildir. Firmalar için sicile kayıt başvurusu bir bildirimle yapılır ve bu bildirim şu hususları içerir: Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler ve kişisel verilerin işlendikleri amaç için gerekli olan azami süre. Verbis Sistemi’ne başvuru için konulan son süre ise 30 Eylül 2019.

VERİ ENVANTERİ NEDİR?

Veri sorumlusu olan şirketlerin KVKK kapsamında yer alan tüm süreçlerini faaliyet açıklamaları ile birlikte kişisel verilerin hangi amaçla işleneceği, kişi grubu ve grupları ile bu kişilere ait veri kategorileri, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler ve kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirttikleri bir envanterdir.
  
DOĞRU BİLİNEN EN ÖNEMLİ 4 YANLIŞ

1-KVKK kapsamına sadece müşteriler girer: Hayır sadece müşteriler değil; çalışanlar, stajyerler, çalışan adayları, eski çalışanlar, ziyaretçiler, tedarikçiler de girebilir. Yani herhangi bir nedenle kişisel verisi alınan herkes bu kapsamdadır.
2-30 Eylül 2019’a kadar vaktimiz var: Hayır, belirtilen bu tarih, sadece Verbis sistemine kayıt olup veri envanterini Verbis’e yükleme tarihidir. Kanun, 7 Nisan 2018 tarihinden bu yana yürürlükte. Dolaylısıyla kamu ve özel sektör kurumlarının bu sürece uyumlanmış olması gerekiyor.
3-Veri envanterini yazdım, iş bitti: Hayır, bu süreci yönetmek gerekmektedir. Envanterinizde yazdığınız her süreci birebir uygulamanız, süreçlerinizdeki en ufak bir değişikliği dahi envanterinizde güncellemeniz gerekiyor.
4-Kişisel verileri depolamak sadece elektronik ortam anlamındadır: Hayır, fiziki ortamda da depolanması kapsam dahilindedir. Ayrıca e-mail, dosya vb. ortamlarda duran veriler de bu kapsama dahildir.