KİŞİSEL VERİ NEDİR?
KVK Kanunu gerekçesinde kişisel veri “Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi” şeklinde ifade edilmiştir.” KVKK’da ise kişisel veri “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu tanımlar kapsamında kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin her türlü bilgi kişisel veri olarak nitelendirilebilir.

KVKK (KİŞİSEL VERİLERİN KORUNMASI KANUNU) NEDİR
KVKK kişisel veriler ile ilgilenen kurum ve kişilerin uyması gereken yükümlülükleri belirleyen, kişisel verilerin mahremiyetini düzenleyen, verilerin korunması ile ilgili prosedürleri ortaya koyan, veri koruma ilkelerini açıklayan yasadır.

KİŞİSEL VERİLERİ KORUMA YÜKÜMLÜLÜĞÜ
Kişisel verileri korumakla yükümlü kişilere veri sorumlusu denmektedir. Veri sorumlusu 6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” şeklinde tanımlanmıştır. Buna göre veri işleyen her kurum, şirket, dernek veya kişi veri sorumlusudur. Dolayısıyla her şirket KVKK’ya uygun hareket etmek ve Kanun’da belirtilen yükümlülüklere uymak zorundadır.

VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
Veri sorumlusu KVKK’da “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.” şeklinde tanımlanmıştır. Kanun’a göre veri sorumlusu olanlar veri güvenliği konusunda aşağıdaki maddelerden sorumludur:

-Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
-Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
-Kişisel verilerin muhafazasını sağlamak.

Veri sorumlusunun bu yükümlülükleri yürütebilmek için her türlü teknik ve idari tedbir almak zorundadır.

Kişisel Verileri Koruma Kurumu tarafından yayımlanan İdari Tedbirler aşağıdaki gibidir:
1. Kişisel Veri İşleme Envanteri Hazırlanması
2. Kurumsal Politikaların Hazırlanması (Erişim, Bilgi Güvenliği, Kullanım vb.)
3. Saklama ve İmha Politikasının Hazırlanması
4. Veri İşleme Sözleşmelerin Revize Edilmesi
5. Gizlilik Taahhütnamelerinin İmzalanması
6. Kurum İçi Periyodik ve/veya Rastgele Denetimlerin Gerçekleştirilmesi
7. Risk Analizlerinin Yapılması
8. İş Sözleşmelerinin Revize Edilmesi
9. Disiplin Yönetmeliğinin Revize Edilmesi
10. Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
11. Eğitim ve Farkındalık Faaliyetleri
12. Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

Kişisel Verileri Koruma Kurumu tarafından yayımlanan teknik tedbirler aşağıdaki gibidir:
1. Siber Güvenliğin Sağlanması
2. Kişisel Veri Güvenliğinin Takibi
3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
4. Kişisel Verilerin Bulutta Depolanması
5. Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı
6. Kişisel Verilerin Yedeklenmesi

Veri Sorumlusunun KVKK’da Öngörülen Yükümlülükleri
GENEL İLKELERE UYUM SAĞLAMA YÜKÜMLÜLÜĞÜ Veri sorumlusu kişisel verilerin işlenmesi sırasında, “hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uymakla yükümlüdür.

AYDINLATMA YÜKÜMLÜLÜĞÜ
Veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini, kişisel veri toplamanın yöntemi ve hukuki sebebi, ilgili kişinin haklarını bildirmekle yükümlü kılınmıştır.

KİŞİSEL VERİLERİN SİLİNMESİ YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ YÜKÜMLÜLÜĞÜ
Veri sorumlusunun kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde re ’sen ya da ilgili kişinin talebi üzerine verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.

DENETİM YÜKÜMLÜLÜĞÜ
Veri sorumlusunun kendi kurum veya kuruluşunda, KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

VERİ SORUMLULARI SİCİLİNE KAYIT YÜKÜMLÜLÜĞÜ
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Kişisel Verileri Koruma Kurulu’nun gözetiminde tutulan Veri Sorumluları Sicili ’ne kaydolmak zorundadır.

KVKK YÜKÜMLÜLÜKLERİNİN İHLALİ HALİNDE UYGULANACAK CEZALAR
KVKK’nın “Kabahatler” başlıklı 18. maddesi uyarınca aşağıdaki yaptırımlar öngörülmüştür:
- Aydınlatma yükümlülüğüne aykırılık halinde 5.000 ila 100.000 TL,
- Veri güvenliğine ilişkin yükümlülüklere aykırılık halinde 15.000 ila 1.000.000 TL,
- Kurul tarafından verilen kararları yerine getirmeme halinde 25.000 ila 1.000.000 TL,
- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket etme halinde 20.000 ila 1.000.000 TL idari para cezası.
KVKK’nın 18. madde gerekçesinde, yukarıda belirtilmiş olan idari yaptırımların veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişilerine uygulanacağı belirtilmiştir.

KVKK YÜKÜMLÜLÜKLERİNE UYULMAMASI HALİNDE BAŞVURULACAK MERCİ
KVKK’da işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirmesi gerektiği, Kişisel Verileri Koruma Kurulunun ise gerekli görmesi halinde bu durumu kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır. Veri sorumlularının Kişisel Verileri Koruma Kurumunun internet sitesi üzerinden Kişisel Veri İhlali Bildirim Formunu doldurarak Kişisel Verileri Koruma Kuruluna başvuru yapması gerekmektedir. Fakat dikkat etmek gerekir ki Kişisel Veri İhlali Bildirim Formunun yalnızca veri sorumlusu tarafından doldurulması gerekir. Kişisel şikayet ve ihbarların ise yine Kişisel Verileri Koruma Kurumunun internet sitesinde bulunan KVKK şikayet modülü üzerinden yapılması gerekmektedir.

Av. Reşit SELİMOĞLU