Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.

Kanunda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım yoluna gidilmediğinden, kapsamının genişletilmesi mümkündür. Önemli olan verinin kişi ile ilişkilendiriliyor olması ya da onu tanımlayabilmesidir.    

Örneğin, takma isimler tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir. Ayrıca, sıkça kullanılan kimliği belirli veya belirlenebilir gerçek kişiyle ilişkili müşteri şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları gibi raporlar, ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları gibi kayıtlar, özgeçmiş, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri gibi belgeler ve mektup, davet yazıları gibi yazılar/kayıtlar içinde yer alan veriler de kişisel veri olarak addedilebilir. Ancak yine de bunların kişisel veri olup olmadığı her somut olayın özelliğine göre “kişiyi tanımlayabilme” kabiliyeti dikkate alınarak değerlendirilmelidir.

 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmî Gazetede yayınlanarak yürürlüğe girmiştir. Kişisel Verilerin Korunması Kanunu, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri isleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacını taşımaktadır.

KİŞİSEL VERİLERİN KORUNMASI NE DEMEKTİR?

Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. Kişisel verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır.

Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki” önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir.

Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.

Bu noktada vurgulanması gereken şudur: Veriyi korumak, verinin kullanılmasının yasaklanması değil; verinin kim tarafından hangi amaca yönelik olarak ve nasıl kullanacağının kararını, verinin sahibinin vermesini sağlamak ve veri sahibinin bu konuda bilgi talep etme hakkını daimî kılmaktır.

KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN AMACI NEDİR?

Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır.

Bu kapsamda, Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

KİŞİSEL VERİLERİN KORUNMASINA NEDEN İHTİYAÇ DUYULMUŞTUR?

Gerek kamu gerekse özel kurum ve kuruluşlar, bir görevin yerine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri, uzun süredir toplamaktadırlar. Bu durum, bazen kanunlardan kaynaklanmakta bazen kişilerin rızasına veya bir sözleşmeye dayanmakta bazen de yapılan işlemin niteliğine bağlı olarak ortaya çıkmaktadır.

Belirtmek gerekir ki, kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir. Ayrıca, sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin toplanması kaçınılmaz olmakla birlikte, kişisel verilerin sınırsız ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası, amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi gereklidir.

KANUN KİMLER İÇİN ZORUNLU HALE GETİRİLMİŞTİR ?

Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için VERBİS'e kayıt olmak zorunludur.

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.

Bu Kanun gerçek kişilere ait olan kişisel verilerin işlenmesini konu almaktadır dolayısıyla bu verileri (otomatik veya değil) bir kayıt sisteminin parçası olarak işleyen tüm gerçek ve tüzel kişiler bu Kanun kapsamındadır.

Kanun esas itibarı ile yürürlükte olup, İşlenen Kişisel Verilerin, Veri Envanterinin yapılarak Veri Sicil Sistemine (VERBİS) kaydının bildirilmesi; Büyük işletmelerin (50 Kişiden fazla çalışanı olan/veya 2018 Bilanço büyüklüğü 25.000.000,00 TL ve üstü olanlar) 30.09.2020, Bunun altında yer alan ve faaliyet konusu özel nitelikli veri işleyen diğer işletmelerin 31.03.2021 ve Kamu kurumlarının ise 31.03.2021 tarihine kadar kayıt olmaları ve Kişisel Verileri Koruma Kurumu’na hangi kişisel verileri, hangi amaçla, hangi kanuni dayanakla ve ne kadar süreyle işleyeceklerini bildirmeleri gerekmektedir.

6698 SAYILI KANUNDA ÖNGÖRÜLEN CEZALAR

KVKK ile gelen ağır idari para ve hapis cezaları bulunmaktadır.

Hiçbir işletme ağır cezalara maruz kalmak istemez. 6698 Sayılı KVKK ile gelen ağır cezalar nelerdir?

Hapis Cezaları

Kişisel Verileri Hukuka aykırı olarak kaydedilmesi

 1-3 Yıl

Kişisel Verileri Hukuka aykırı olarak yayma, başkasına verme, ele geçirme

2-4 Yıl

Kişisel Verileri süresi geçmesine, ilgili kişi istemesine rağmen yok etmeme

                1-2 yıl

İdari Para Cezaları

KABAHAT

Alt Limit (TL)

Üst Limit (TL)

Kanun 2019

Kanun 2019

Aydınlatma

     5.000,00 TL

100.000,00 TL

Yükümlülüğün İhlali

7.350,00 TL

147.000,00 TL

Veri Güvenliği

15.000,00 TL

1.000.000,00 TL

Yükümlülüğün İhlali

22.050,00 TL

1.470.000,00 TL

Kurul Tarafından Verilen Kararların Yerine Getirilmemesi

25.000,00 TL

36.750,00 TL

1.000.000,00 TL

1.470.000,00 TL

Veri Sorumluları Siciline Kayıt Olma Yükümlülüğünün İhlali

20.000,00 TL

     29.400,00 TL

1.000.000,00 TL

1.470.000,00 TL

Not; İdari Para Cezaları yeniden değerleme oranında arttırılmaktadı

Kişisel verileri Koruma kanunu kapsamında kurulacak olan veri güvenliği altyapısında amaçlanan ilk hedef “hesap verilebilirlik” ve “doğrulanabilirdik” kriterlerini yerine getirmek olmalıdır. Kanuna uyum süresince veri güvenliğine ilişkin alınacak teknik tedbirler, bu kriterler ışığında uygulanmalıdır.

Kişisel Verileri Koruma ve Kanuna uyum, başta yönetim kurulu olmak üzere tüm yönetimin sorumluluğu ve sahipliği ile mümkündür. Etkin ve sistematik bir yönetim ise kurum içerisindeki ilgili tüm birimlerin bu sürece katılmasını zorunlu kılmaktadır.