Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasını ifade etmektedir.

Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır. Bu sözleşme 17 Mart 2016 tarihli ve 29656 sayılı Resmi Gazetede yayımlanarak iç hukuka dâhil edilmiştir. 108 Sayılı Sözleşmenin 4. maddesi çerçevesinde, iç hukukta kişisel verilerin korunmasına yönelik yasal düzenleme yapılması gerekli hale gelmiştir.

Bu bağlamda kişisel verilerin korunması hakkı ülkemizde 2010 yılında anayasal teminata bağlanmıştır. Bu tarihe kadarki dönemde ise kişisel veriler daha çok genel hukuki düzenlemelerde yer alan hükümler ile korunmaktaydı. Türk Medeni Kanunu ve Türk Ceza Kanununda kişilik hakkı ile kişisel verilerin korunmasına yönelik hükümler ve yaptırımlar bu düzenlemelere örnek gösterilebilir. 2010 yılında ise, Anayasanın 20. Maddesine eklenen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir…” hükmü ile kişisel verilerin korunması ilk kez anayasal bir hak statüsüne kavuşmuştur. Aynı zamanda Anayasanın 20. maddesinin 3. fıkrasında bu hakkın korunmasına ilişkin usul ve esasların belirlenmesi çıkarılacak bir kanuna bırakılmıştır. Bu kapsamda 24 Mart 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

En temel anlamıyla kişisel veri; kimliği belirli ya da belirlenebilir nitelikteki gerçek kişiye ilişkin her türlü bilgidir. Kişisel veriden söz edebilmek için, verinin gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.

Kişisel verilerin işlenmesi, Kanun’un 5. Ve 6. Maddeleri uyarınca verisi işlenen ilgili kişinin açık rızasına bağlı kılınmıştır. Fakat, her kişisel veri toplama faaliyeti için açık rızanın alınması hayatın olağan akışına aykırı olacağı için, Kanun açık rıza alınmasına bir takım istisnalar getirmiş ve Veri Sorumlusu sıfatını haiz gerçek ve tüzel kişilere gerekli kolaylığı sağlamıştır. Fakat her halükarda kişisel verilerin işlenmesi için ilgili kişiye karşı aydınlatma yükümlülüğünün yerine getirilmesi şarttır.

Buna göre, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, kanunun 11. maddesinde sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.

Kanunun getirdiği bir diğer önemli yükümlülük ise veri güvenliğinin sağlanmasıdır. Buna göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Ayrıca; veri sorumluları, kendi kurum veya kuruluşlarında, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumluları bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerektiği hallerde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Kanunun getirdiği en önemli yükümlülük ise VERBİS adı verilen Veri Sorumluları Sicili’ne kayıt yükümlülüğüdür. Kanun hangi veri sorumlularının sisteme kayıt olacağı konusunda Kurul tarafından çıkarılacak kararlara ve yönetmeliklere atıf yapmıştır. Bu bağlamda, Kurul tarafından aşağıdaki kriterleri sağlayan şirketler, belirtilen tarihlere kadar VERBİS kaydını gerçekleştirmekle yükümlü olacaktır :

– Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline son kayıt tarihi 31.12.2019,

– Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline son kayıt tarihi 31.12.2019,

– Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline son kayıt tarihi 31.03.2020,

– Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt son tarihi 30.06.2020

olarak belirlenmiştir.

Şirketleri en çok ilgilendiren konulardan biri ise Kanun kapsamında getirilen cezalar olarak göze çarpıyor. Kurul, bugüne kadar verdiği cezalarla, gelecekte de en az bu kadar caydırıcı olacağını ortaya koymuştur. Örnek olarak, Facebook, Ziraat Bankası, Marriott Hotel, Dubsmash Inc., Cathay Pasific Airway Limited, Mimar Sinan Üniversitesi gibi birçok köklü kuruma milyonlarca Türk Lirası cezalar kesildi.

Henüz KVKK uyum sürecinin gerçekleştirmeyen şirketlere de gelecekte ağır cezalar uygulanması kaçınılmaz olarak görülüyor. Bu nedenle büromuz, bu alandaki derin tecrübesi ve bilgisiyle şirketlere hizmet vermeye devam etmektedir. Websitemizin iletişim bölümünde yer alan telefon numarası, mail adresi veya iletişim kutusunu kullanarak bu alandaki ihtiyacınızı bize iletebilir, avukatlarımızdan daha detaylı bir bilgi edinebilirsiniz.