KİŞİSEL VERİLERİN KORUNMASI KANUNU AMACI Kanuna göre amaç; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” maddelerini kabul edip, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alınmasıdır. Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi amaçlanmaktadır. Bu maddeye göre Kanunun amacı: - Kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerini korumak, - Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek (disiplin altına almak), - Mahremiyet hakkının korunması, - Kişisel veri güvenliği hakkının korunmasıdır. KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMI Kanunda kamu kurumları ile özel kuruluşlar açısından ayrım yapılmamıştır. Kanunun belirlediği usul ve esaslar tüm kurum ve kuruluşlar için geçerlidir. Dolayısıyla kamu kurumlarının işlediği kişisel veriler hakkında da bu kanun hükümleri uygulanacaktır. Kişisel Verileri Koruma Kanunu’nun kapsamı son derece geniş ve bir o kadar da nettir. Bu kanun; kişisel verileri kısmen veya tamamen, otomatik olan ya da olmayan, veri kayıt sisteminin parçası olmak kaydıyla işleyen tüm gerçek ve tüzel kişiler ile birlikte kişisel verileri işlenen gerçek kişileri kapsar. Tüzel kişi grubundaki kurumlar için özel ya da kamu kuruluşu olma konusunda bir ayrım yapılmamış olup tamamı için aynı usul ve esaslar geçerli kabul edilmiştir. Verisi işlenen tarafı gerçek kişiler oluşturduğu için hak ehliyetine sahip olan herkes kanun kapsamları dahilindedir. Kanun “kişisel” verileri korumak üzerine temellendirildiği ve kanun hükümlerinde “kişisel verileri işlenen gerçek kişiler” tabiri kullanıldığı için tüzel kişilerin verileri bu kanunun dışında tutulmuştur. Ayrıca veri kayıt sisteminin parçası olmaksızın veri toplayan ve işleyen gerçek ve tüzel kişiler de kanun kapsamı dışındadır. Kanunda veri işleyecek gerçek ve tüzel kişilere, Veri Sorumluları Sicili’ne (VERBİS) kayıt olma zorunluluğu getirilmiştir. Fakat bazı durumlarda, işlenecek verinin boyutu, niteliği, konusu, amacı gibi kriterler göz önüne alınarak, kurul tarafından bazı veri sorumlularına, bu sicile kayıt olma konusunda muafiyet getirilebilir. Kanun sadece gerçek kişilerle ilgili verilere uygulanır. Tüzel kişilerle ilgili veriler bu kanun kapsamında değildir. Çünkü kanunun 1. maddesinde “kişisel verileri işlenen gerçek kişiler” ifadesi kullanılmıştır. Kanunun kişisel verilerin işlenmesine ilişkin hükümleri fiziksel olarak kayıt altına alınan ve veri kayıt sisteminin parçası olmayan kişisel verilere de uygulanmaz. 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR 1. Açık Rıza Kanunun yürürlüğe girmesi sonrasında, kişisel veri ve bu verinin işlenmesi ile birlikte hayatımıza giren kavramlardan birisi de “açık rıza” kavramıdır. Kanunun 3. maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Buna göre sırasıyla Kanunun; - 5. maddesinin, 1. fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”, - 6. maddesinin 2. fıkrasında “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır”, - 8. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz”, - 9. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz” düzenlemeleri yer almaktadır. 2. Anonim Hale Getirme (Anonimleştirme) Anonim hale getirme veya anonimleştirme, verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez. Bu noktada dikkat çekilmesi gereken husus, anonim veri ve anonimleştirilmiş veri arasındaki farktır. Anonim veri belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade ederken, anonimleştirilmiş veri daha öncesinde bir kişiyle ilişkilendirilmiş ancak artık bağlantısı kalmamış veridir. 3. İlgili Kişi Kanunda, yalnızca gerçek kişilerin verilerinin korunması öngörülmektedir. Bu nedenle kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Kanunun düzenlenme amacına göre korunması gereken temel esas, başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerden ibarettir. Korunması gereken kişi, düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir. 4. Kişisel Veri Kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir. Bu durumda kişisel veriyi, kişisel olmayan verilerden ayırabilmek için temelde iki ölçütten yararlanıldığı söylenebilir. Buna göre, kişisel veriden söz edebilmek için, verinin bir kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Kanunda kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları gibi hususları kapsamaktadır. 5. Kişisel Verilerin İşlenmesi Kişisel verilerin işlenmesi kavramı zincirleme bir döngüyü ifade etmektedir. Kanunun 2. maddesinde, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme, veri işleme olarak tanımlanmıştır. Kişisel veriler belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir. Kişisel veriler çeşitli şekillerde işlenebilir: - Toplama veya kaydetme: Kişisel verilerin ilk defa elde edildikleri an itibariyle işleme fiili başlamaktadır. - Organize etme/depolama: Dijital ya da fiziksel ortamda, kişisel verilerin saklanması, barındırılması ya da depolanması işleme kapsamında kabul edilir. - Kullanma/değiştirme: Kişisel verilerin, görüntülenmesi de dâhil olmak üzere, her türlü kullanımı işleme sayılır. - Aktarma: Kişisel verilerin çeşitli yöntemlerle iletilmesi. - Yayma/erişilebilir kılma: Fiziksel olarak dağıtmak veya paylaşmak gibi, verileri dijital ortamda üçüncü tarafların erişimine açmak da bir işleme türüdür. - Engelleme/silme/yok etme/anonim hale getirme: Bunlar da bir işleme faaliyeti olarak kabul edilmektedir. 6. Veri Sorumlusu ve Veri İşleyen Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir. Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Bir tüzel ya da gerçek kişinin aynı anda hem veri sorumlusu hem de veri işleyen olabileceğini söylemek mümkündür. Örneğin, bir turizm şirketi kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin çalışanlarının verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir. 7. VERİ KAYIT SİSTEMİ (VERBİS) Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Kanunda veri işleyecek gerçek ve tüzel kişilere, Veri Sorumluları Sicili’ne (VERBİS) kayıt olma zorunluluğu getirilmiştir. Kanunun gerekçesine göre, otomatik olmayan yollarla işlenen kişisel veriler bir veri kayıt sisteminin parçası değilse kanun kapsamında değerlendirilmeyecektir. VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ (VERBİS) VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir. 6698 sayılı Kişisel Verilerin Korunması Kanununun 16’ncı maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolması gerekmektedir. Bu kapsamda, Başkanlığımızca Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) hazırlanmış olup veri sorumluları bu sisteme kayıt olacaklardır. Verbis’e kayıt için www.kvkk.gov.tr adresinde bulunan VERBİS kılavuzu aracılığıyla detaylı bilgi edinilebilecektir. Ayrıca, KVKK Bilgi Danışma Merkezi olarak görev yapmaya başlayan ALO 198 Veri Koruma Hattı aracılığı ile VERBİS hakkında teknik ve hukuki konularda Türkiye’nin her yerinden GSM ayrımı olmaksızın ücretsiz olarak ulaşılabilecek ve bilgi alınabilecektir. VERBİS’e kayıt olmak için herhangi bir ücret ödenmesi gerekmemektedir. HANGİ VERİ SORUMLULARI VERBİS’E KAYIT OLMAKLA YÜKÜMLÜDÜR? Kanunun 16'ncı maddesine göre, kişisel verileri işleyen gerçek ve tüzel kişilerin kişisel veri işlemeye başlamadan önce Verbis'e kaydolmaları gerekmektedir. Bu kapsamda, Türkiye’de yerleşik gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının Türkiye’de kişisel veri işlemeleri halinde genel kural olarak VERBİS’e kayıt olmaları gerekmektedir. VERİ SORUMLUSU OLAN TÜM GERÇEK VE TÜZEL KİŞİLERİN VERBİS'E KAYIT OLMASI ZORUNLU MU? Faaliyetleri kapsamında, Türkiye sınırları içerisinde kişisel veri işleyen tüm gerçek kişi ve tüzel kişiler veri sorumluları genel kural olarak Verbis'e kayıt olmakla yükümlüdür. Buna göre, kanun hükümleri veya kurul kararlarıyla istisna tutulanlar hariç olmak üzere tüm gerçek kişi veri sorumlularının Verbis'e kayıt olması gerekmektedir. VERİ SORUMLULARININ İŞLEDİĞİ TÜM VERİLER VERBİS’E KAYDOLMALI MIDIR? Veri sorumlularınca VERBİS’e kayıtta girilecek bilgiler; kişisel verileri işlenmiş olan gerçek kişilere ait kişisel veriler değil, veri sorumlularının işlemekte oldukları verilerin sadece üst başlıklar halinde kategorik bazdaki bilgiler olacaktır. Örneğin bir kamu kurumu, kurumu ziyarete gelen gerçek kişilere aydınlatma yükümlülüğünü yerine getirmek suretiyle ad, soyad, telefon numarası, TC kimlik numarası, plaka numarası gibi bazı kişisel verilerini işlemektedir. Bu durumda VERBİS’e; gerçek kişilere ait ad, soyad, telefon numarası, TC kimlik numarası, plaka numarası gibi verileri değil bunların üst kategorisi olan ve zaten VERBİS’te de seçimlik alan olarak yer alan “kimlik kategorisi” ve “iletişim kategorisi” işlediğine dair bilgi girişi yapacaktır. KVKK KAPSAMINDA KULLANILACAK SÖZLEŞMELERİN HAZIRLANMASI E-ticaret siteleri kapsamında kullanılacak olan Kvkk Metni, Aydınlatma Metni, Açık Rıza Metni vb kanun kapsamında izin alınması için kullanılacak sözleşmeler hazırlanmalıdır. Hazırlanacak kvkk içerik metinleri kanun kapsamında, hukuk danışmanları eşliğinde hazırlanmalıdır. Kvkk içerikleri firmaya, sektöre, tutulan verilere göre farklılıklar gösterebilir. Hazırlanan içerikler e-ticaret altyapısında kullanılan tüm alanlara eklenmelidir. Eklenen içerikler her zaman kullanıcıların kolayca ulaşabileceği, detaylı olarak inceleyebileceği şekilde sunulmalıdır.