Verbise Kayıtlar 30 Eylül'de Son
Kişisel verilerin korunması kanunu kapsamında, yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon tl'den çok olan gerçek ve tüzel kişi veri sorumluları için veri sorumluları sicil bilgi sistemine(verbis) kayıtlar 30 eylül son gün!!!
Son zamanların en çok konuşulan konularından biri Kişisel Verilerin Korunması Konunu olmuştur. Artık günümüzde neredeyse hepimiz sosyal medya hesaplarımızda fotoğraf, ses kaydı, video gibi özel bilgilerimizi paylaşıyoruz. Bir sağlık kuruluşuna gidiyoruz muayene oluyoruz, tahliller yaptırıp sağlık verilerimizi paylaşabiliyoruz. Bankalarda hesap açtırıyoruz, bankacılık işlemleri yaptırıp mali verilerimizi paylaşıyoruz. Aslında her paylaşımımızla birlikte bize ait bir iz bırakıyoruz. Oysaki bu veriler bizi biz yapan ve diğer herkesten ayıran kişisel verilerimizdir. Bazen mecburen bazen de umarsızca paylaştığımız bu verileri bizden başka herkesin kötü ve haksız kullanımına karşı korumamızda son derece önemlidir. Nitekim kişisel veriler günümüzde Çağımızın Petrolü şeklinde tanımlanmaktadır. Dolayısıyla bu dönemde kişisel veri ülkemizin milli servetidir.
Aslında kişisel verilerin korunması Türkiye için yeni bir kavram değil. Avrupa Konseyince 28 Ocak 1981’de Strazburg’da imzalanan, Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Türkiye ilk imza koyanlardan biridir. Ancak mezkur sözleşme onaylanması 17 Mart 2016 tarihinde gerçekleştiğinden o zamandan bu zamana bağlayıcı olamamış. Sözleşmenin onaylanması ve iç hukuka dahil edilmesinin ardından 7 Nisan 2016 tarihinde 6698 Sayılı Kişisel Verilerin Korunması Kanunu Resmi Gazete’de yayımlanarak yürürlüğe girdi.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazetede yayınlanarak yürürlüğe girmiştir. Kişisel Verilerin Korunması Kanunu, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacını taşımaktadır. Bu kanuna ihtiyaç duyulmasının nedeni, internet çağının başlaması ile beraber kişisel verilerin hızla el değiştirebilmesi ve bu yönde birçok mağduriyetin ortaya çıkmasıdır.
Kişisel verilerin korunması kanunda da yer alan genel kabul görmüş, en yalın haliyle; gerçek kişiyi, belli ve belirlenebilir kılan gerçek kişiye ait her türlü bilgi demektir. Yani kişiye ait ayırt edici özellikteki bilgiler kişisel veridir. Örneğin isim, soyisim, e-mail, adres, telefon numarası, sağlık bilgileri, dini inanç vs. gibi veriler kişisel verilerdir.
Kanunumuzda kişi hakkında ayrımcılık yapılması ve mağduriyet yaratılmasına mahal verecek olanlar özel nitelikli veriler yani hassas veriler olarak ayrılmış daha farklı kanuni düzenlemelere tabi tutulmuş daha ağır sorumluluk öngörülmüştür. Örneğin kişilerin ırkı, etnik köken, siyasi düşüncesi, dini, mezhebi, sağlığı, cinsel hayatı vs. gibi veriler özel nitelikli verilerdir.
Peki kişisel verilerimizi hukukun süjesi haline getiren, verilerimizin işlenmesi, kaydedilmesi, depolanması, düzenlenmesi, 3.kişilere açıklanması veya aktarılması, sınıflandırılması, erişime açık tutulması vs. gibi üzerindeki her türlü işlemi ifade eder. Dolayısıyla verilerini paylaşan gerçek kişiler kadar işlerinin gereği olarak çalışanlarının, müşterilerinin ve iş ilişkisi içinde oldukları 3.kişilerin verilerini işleyen özel ve kamu kurum ve kuruluşlarda bu kanunun muhattabıdır. Yani veri sorumlularıdır.
Veri sorumlularının kanun uyarınca ayırt edeceği hususlar öncelikle veri sahibinden kanunda sayılan haller dahilinde ve usulünce açık rızanın alınması ve aydınlatma yükümlülüğüne uyulmuş olmasıdır. Kanunun 6. maddesi kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceğini belirtilmiştir.
Hangi verinin ne şekilde alındığı kim tarafından neden, nerede, nasıl ve ne kadar tutulacağı ne kadar işleneceği, 3.kişilere transfer edilip edilmeyeceği, ne zaman ve nasıl yok edileceği belirlenmeli ve veri envanteri hazırlanmalıdır. Yine kişisel verilerin işlendiği ve muhafaza edildiği ve işlendiği dönemde veri sorumlularının her türlü idari ve teknik tedbiri almış olması da gerekmektedir.
Kanunun getirdiği en büyük yeniliklerden biri bu kanundan sonra gerçek kişi veri sahibi ne şekilde olursa olsun kendi verisinin sahibidir. Verilerinin akıbetini tayin etmek hakkına ve tasarruf etme hakkına sahiptir. Kişiye verisiyle ilgili hesap sorma imkanı tanımıştır. Dolayısıyla veri sorumlusu kurum ve kuruluşlarda gerçek kişi veri sahiplerinin bu sorularına cevap vermek ve isteklerine göre davranmak mecburiyetindedir.
Kanunen verileri işleyen veri sorumlusu kurum ve kuruluşlara getirilen bu yükümlülüklerle birlikte bir denetim mekanizması kurulmuş olup bununla birlikte Ankara’da Kişisel Verilerin Korunması Kurumu faaliyet göstermektedir. Kurum toplumda farkındalığı arttırmak ve vatandaşlara daha aydınlatıcı bilgi vermek amacıyla ALO VERİ KORUMA adı ile Bilgi Danışma Hattı oluşturmuş Alo 198 no’lu telefon aranarak bilgi edinilebilir.
Kişisel verileri koruma kanunuyla belki çok geç tanıştık, geç bulduğumuz ancak çok hızlı mesafe alan, bu kadar kısa süre içinde hem alt düzenlemeler bakımından hem de uygulama bakımından ama daha da önemlisi kavramı içselleştirerek toplumsal bir zemine yaymaya özen göstermesi bakımından kişisel verileri koruma kurumunu da bu anlamda tebrik ettiğimi ayrıca ifade etmek isterim.
Kanunun yürürlüğe girmesi ile birlikte gerçek kişilere ait kişisel verilerin işlenmesine ilişkin olarak kişisel veri işleyen tüm gerçek ve tüzel kişilere bir takım sorumluluklar yüklemektedir. Nitekim kanun kapsamında veri işleyen kişi ve kurumların yükümlülüklerine ilişkin belirlenmiş süreler azalmaktadır. Ancak maalesef halen kanunun önemi anlaşılamamış, kişisel veri işleyen tüm gerçek kişi ve tüzel kişi kurumların kanuna uyum ile ilgili çalışmalarını halen tamamlayamadıkları görülmektedir. İlgili yasal düzenlemelere uymamanın bedeli ise çok ağır olabilmektedir. Yükümlülüklerini yerine getirmeyen kurumlar, 1.800,000-TL’ye varan para cezaları, hukuka aykırı veri işleyenler ise 1 yıldan 3 yıla kadar hapis cezaları ile karşı karşıya kalabilmektedir.
Kişisel Verilerin Korunması Kurumu VERBİS’e kayıt tarihlerini sitesinde açıklamış olup;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluların Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 30.09.2020 tarihi,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31.03.2021 tarihi,
- Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31.03.2021
bu tarihlerden sonra ciddi rakamlarda cezalarla karşılaşılabilecektir.
Özellikle 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nunda yer alan VERBİS’e kayıt ve bildirim yükümlülüğüne aykırılık kapsamında idari para cezaları 2020 yılı güncel rakamıyla,
36.053 –TL – 1.802.636-TL’dir.
Yine veri sahipleri savcılıklara Türk Ceza Kanunu’nun 135.madde ve devamı gereğince şikayette bulunabilirler. Maddi ve manevi tazminat istemiyle hukuk mahkemelerinde hukuka aykırı veri işleyen veri sorumluları aleyhine dava açabilirler.
Kişisel Verilerin Korunması Kanunu; kişisel veriler, asıl sahipleri tarafından kurum ve kuruluşlara emanet edilen bilgiler olarak değerlendirildiğinde; veriyi işleyen kurumların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili “hesap verebilir” olması için zemin oluşturmakta, kuralları tanımlamaktadır. Kanun, kişisel veriyi işleyen kurumlar için önemli bir dönüşümü de beraberinde getirmektedir. Kurumları ilgilendiren temel soru ise: “Emanet aldığımız kişisel verilerle ilgili hesap verebilir olmak için neler yapmalıyız?” Bu sorunun cevabını verebilen kurumlar, Kişisel Verilerin Korunması Kanunu da uyumlu olacaklardır. Kişisel Verilerin Korunması Kanununun karşılanmasına metadolojik açıdan bakıldığında Kurumsal Mimari, teknolojik açıdan bakıldığında ise Bilgi Güvenliği perspektifi oldukça önem kazanmaktadır.
Kişisel veri işleyen veri sorumluları geçmiş veriler de dahil olmak üzere tüm kişisel verileri Kişisel Verileri Koruma Kanununa uyumlu hale getirmeleri gerekmektedir. Dolayısıyla kişisel veri işleyen veri sorumlularının hem kanunda sayılan yaptırımlara maruz kalmamak hem ticari ve kurumsal itibarlarını korumak adına kanuna uyumluluklarını tamamlamak mecburiyetindelerdir. Uyum süreci hukuki ve teknik bilgi, uzmanlık gerektiren titiz ve yoğun bir süreçtir. Kanuna uyumlu hale gelmek isteyen kurum ve kuruluşlar mevcut hukuk ve teknik sistemlerini mevzuata uyum için gereken analizlerini yaptırmak, mevcut verileri kanuna uyumlu hale getirmek, veri işlemi için alt yapıyı kurmak, veri envanterlerini hazırlamak, veri imha politikalarını oluşturmak için mutlaka hukuki ve teknik uzman profesyonellerden danışmanlık hizmeti almalıdırlar.