ERDİNÇ HUKUK | DANIŞMANLIK | ARABULUCULUK | +90 212 444 34 80 | [email protected]
Blog
Mar 17

Şirketlerin Kişisel Verilerin Korunması Kapsamında Yükümlülükleri

A. GENEL OLARAK

Teknolojik gelişmelerle birlikte, tanıdığımız ya da tanımadığımız kişilerin kişisel verilerine erişmek, bu verileri veri sahibinin bilgisi olmadan yaymak veya kötü niyetle kullanmak günümüzde maalesef yaygınlaşmıştır. Bu durum “siber zorbalık” kavramının ortaya çıkmasına neden olmuştur. Siber zorbalık, kişisel verilerin yeterince korunmaması nedeniyle ortaya çıkan bir davranış modeli olarak tanımlanabilir. UNICEF 2019 yılında yaptığı bir uyarı ile dünya çapında 15-24 yaş grubundan çevrimiçi olan gençlerin yüzde 70,6’sının internette şiddet, siber zorbalık ve dijital taciz gibi olgular yüzünden tehlikelere maruz kaldığını vurgulamıştır.

Kişisel verilerin korunması amacıyla 2010 yılında gerçekleştirilen referandumla “kişisel veri” kavramı Anayasa’ya dahil edilmiştir. 2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) yürürlüğe girmiş, akabinde konuyla ilgili çeşitli yönetmelik ve tebliğler yayımlanmıştır. Mevcut yasal düzenlemeler doğrultusunda, işletmelere birçok yükümlülük getirilmiş olup yükümlülüklerin ihlali halinde yüksek tutarda idari para cezaları öngörülmüştür.

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Diğer bir deyişle, kişisel verinin varlığından bahsedilebilmesi için, en az bir gerçek kişiyle ilgili olması, bilginin kiminle ilgili olduğunun bilinmesi ya da belirlenebilir olması gerekmektedir. Herhangi bir verinin kiminle ilgili olduğu herhangi bir kişi tarafından belirlenemiyorsa kişisel veriden bahsedilemez.

Örneğin Türkiye Cumhuriyeti kimlik numarası, adres, telefon, insan kaynakları, pazarlama, satış ve diğer departmanlar tarafından fiziki olarak tutulan kişilerle ilgili bilgilerin saklandığı iş başvuruları, sipariş formları gibi belgelerdeki tanıma uygun bilgiler, sistem giriş-çıkış zamanları, konum gibi veri tabanlarında ya da dosyalarda tutulan dijital veriler, güvenlik kamera kayıtları, parmak izi, göz retina bilgileri gibi biyometrik veriler, fotoğraflar, konuşmalar belli başlı kişisel verilerdir.

Kanun ile kişisel veriler, özel nitelikli olan ve olmayan şeklinde bir tasnife tabi tutulmuştur.

Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak kabul edilmektedir. Kanunda tahdidi (sınırlı) olarak sayılmıştır. Kanunda, özel nitelikli bu verilerin korunması için daha ağır şartlar öngörülmüştür.

Özel nitelikli olmayan kişisel veriler; özel nitelikli kişisel verilerin dışında kalan kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Kanun kapsamında, kişisel veri sahibine “ilgili kişi”; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilere “veri sorumlusu”; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiye “veri işleyen” denmektedir.

B. KANUN KAPSAMINDA VERİ SORUMLUSU OLAN İŞLETMELERE YÜKLENEN YÜKÜMLÜLÜKLER

Kanun kapsamında veri sorumlusu olan işletmelere yüklenen birtakım yükümlülükler bulunmaktadır.

1. Aydınlatma Yükümlülüğü

Kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki hususları içermesi gerekmektedir:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.

Aydınlatma yükümlülüğü Kanun’un ve ilgili Tebliğ’in öngördüğü şartlar dahilinde olmadığı takdirde geçerli kabul edilmemektedir.

Örneğin Kişisel Verileri Koruma Kurulu’nun 20/05/2020 tarihli ve 2020/404 sayılı kararında, bir işverenin, çalışanlarına ait kişisel ve özel nitelikli verileri işlerken aydınlatma yükümlülüğünü ihlal ettiği tespit edilmiştir. Kanun’un 10. maddesi uyarınca, veri sorumluları, kişisel verileri elde ederken ilgili kişilere; veri sorumlusunun kimliği, verilerin işlenme amacı, aktarılacağı kişiler, toplanma yöntemi ve hukuki sebebi ile ilgili kişilerin hakları hakkında bilgi vermekle yükümlüdür. Bu yükümlülüğün, açık rıza alınacak durumlarda dahi, diğer veri işleme şartlarından bağımsız olarak yerine getirilmesi gerekmektedir. İlgili olayda, veri sorumlusu işveren, çalışanlarından kişisel verilerin işlenmesine ilişkin muvafakatname almıştır, ancak bu metin hem aydınlatma hem de açık rıza beyanı olarak düzenlenmiştir. Oysa, mevzuata göre aydınlatma yükümlülüğü ve açık rıza alma işlemleri ayrı ayrı yerine getirilmelidir. Ayrıca, aydınlatma metninde; veri sorumlusunun kimliği, kişisel verilerin işlenme amacı, aktarılacağı kişiler, toplanma yöntemi ve hukuki sebebi ile ilgili kişilerin haklarına dair bilgilere yer verilmemiştir. Bu eksiklikler nedeniyle, Kurul, veri sorumlusunun aydınlatma yükümlülüğünü usulüne uygun olarak yerine getirmediğine karar vermiş ve 50.000 TL idari para cezası uygulanmasına hükmetmiştir.

Bir diğer örnekte, Kişisel Verileri Koruma Kurulu’nun 01/06/2023 tarihli ve 2023/924 sayılı kararında, bir otopark işletmecisi, park borcundan kaynaklanan alacakların tahsili amacıyla araç plakası üzerinden araç sahibinin kimlik bilgilerine ulaşmıştır. Bu veri işleme faaliyeti, 6698 sayılı Kanun’un 5’inci maddesinin 2/e bendinde belirtilen “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” şartına dayanmaktadır. Ancak, veri sorumlusunun bu süreçte ilgili kişilere aydınlatma yapmadığı tespit edilmiştir. Bu nedenle, veri sorumlusunun Kanun’un 10’uncu maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmediğinden bahisle 75.000,00 TL idari para cezasına karar vermiştir.

2. Veri Güvenliğini Sağlama Yükümlülüğü

Veri sorumlusu, Kanunun sağladığı istisnalar ile aydınlatma yükümlülüğünü yerine getirerek ya da geçerli açık rızaya dayalı olarak bir kişisel veri işleme faaliyetinde bulunsa da yükümlülükleri sona ermez. Veri sorumlusu, hukuka uygun bir şekilde işlediği kişisel verilerin güvenliğini sağlamakla da yükümlüdür.

Kanuna göre veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu yükümlülüklerin yerine getirilip getirilmediğinin tespiti için düzenli aralıklarla denetim yapmak zorundadır. Elde edilen bu kişisel veriler amaçları dışında kullanılamaz ve başkasına açıklanamaz. Bu yükümlülük veri sorumlusunun ve/veya veri işleyenlerin görevi sona erse dahi devam eder.

Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde de gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmek zorundadır.

Kişisel Verileri Koruma Kurulu’nun 25/05/2023 tarihli ve 2023/892 sayılı kararında, Kooperatif ortaklığından ayrılmasına karşın kişisel verilerinin halen kullanılması üzerine yapılan şikayette, Kooperatifler Kanunu’nun “Ortaklıktan çıkmayı kabulden kaçınma” başlıklı 13’üncü maddesi hükmü gereği ilgili kişinin çıktığını bildirdiği tarihten itibarenkişisel verilerin işlenme şartlarının ortadan kalktığı dikkate alındığında veri sorumlusu tarafından ilgili kişinin kişisel verilerinin Kooperatif ortaklığından ayrılmasına rağmen genel kurul davetiyesi gönderilmesi suretiyle işlenmeye devam edildiği, söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan veri işleme şartlarına dayanmadığı dikkate alındığında Kanun’un 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülükleri yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

3. Kurul Kararlarına Aykırı Hareket Etmeme Yükümlülüğü

Kurul’a yapılan şikayetler üzerine Kurul tarafından verilen kararların Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (c) bendi gereği yerine getirilmesi zorunludur. Aksi halde Kurul kararının gereğini yerine getirmeme nedeniyle idari para cezasına hükmedilmesi söz konusu olabilecektir.

4. Veri Sorumluları Siciline (VERBİS) Kayıt ve Bildirim Yükümlülüğü

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), Veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen bilişim sistemini ifade eder. 50’den fazla çalışanı veya 25 milyon TL’den fazla cirosu olan tüm gerçek ve tüzel kişilerin VERBİS kaydı zorunluluğu bulunmaktadır. 25.07.2023 tarihi itibarıyla ciro şartı 100 milyon TL ‘ye çıkarılmıştır.

Bu sınırları aşan işletmelerde yürütülen KVKK Uyum Süreci neticesinde ortaya çıkan “veri envanteri” bahsi geçen sicile yüklenmek zorundadır. İşbu yükümlülüğün yerine getirilmesi için Kurul en son 31.12.2021 tarihine kadar süre vermiş olup işbu süre sonrasında bu süreci tamamlamayanlar idari para cezası riski ile karşı karşıyadır. Ancak önemle belirtmek gerekir ki, 25.07.2023 tarihinde yapılan ciro değişikliği nedeniyle, işbu yükümlülük kapsamına yeni dahil olan firmalar için bu süre 30.05.2023 tarihidir. İşbu tarihe kadar Sicile kayıt yapmayanlar yine idari para cezası riski ile karşı karşıyadır.

C. EMSAL KURUL KARARLARI

Kişisel Verileri Koruma Kurulu’nun 04/08/2022 tarih ve 2022/797 sayılı Kararında, ilgili kişilere açık rızalarının olduğuna ilişkin genel bir aydınlatma metni imzalatıldığı, bu metnin açık rızanın unsurlarını taşımadığı, aydınlatma yapılması ve açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi şartına uyulmadığı,  veri sorumlusu tarafından ilgili kişilerin giriş-çıkış esnasında yüz tanıma sistemi vasıtasıyla biyometrik verilerini işlenmesinin Kanun’un 6’ncı maddesi kapsamında herhangi bir veri işleme şartına dayanılmaksızın gerçekleştirildiği kabul edilerek şikayet edilen firmaya Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 500.000 TL idari para cezası verilmiştir.

Kişisel Verileri Koruma Kurulu’nun 10/08/2023 Tarihli ve 2023/1356 Sayılı Kararında, ilgili kişinin özel nitelikli kişisel verisi niteliğindeki ibadethane içerisindeki ibadet etme görüntülerinin eski işvereni tarafından rızası dışında kayıt altına alınarak mahkeme sunulduğu olayda, veri sorumlusu tarafından mescitte kamera vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetine ilişkin ilgili kişinin açık rızasını özgür irade ile vermediği ve işten çıkarılma korkusu ile geriye dönük olarak kişisel verilerin işlenmesiyle ilgili diğer belgeleri de rızası olmadan imzalamak zorunda bırakıldığıkanaatine varıldığından şikayet edilen firmaya Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 300.000 TL idari para cezası verilmiştir.

Kişisel Verileri Koruma Kurulu’nun 20/05/2020 tarihli ve 2020/404 sayılı Kararında, ilgili kişinin çalışmakta olduğu veri sorumlusu şirketten 6698 sayılı Kişisel Verilerin Korunması Kanununun 11. maddesi kapsamındaki hakları kapsamında bilgi talebinde bulunduğu, söz konusu talebine yeterli cevap alamadığı olayda, aydınlatma yükümlülüğünü yerine getirmediği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (a) bendi uyarınca 50.000 TL ve çalışanların ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından Kanunun 4 üncü maddesinde yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığı görüldüğünden, Kanunun 12 nci maddesinin birinci fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

D. 2025 GÜNCEL İDARİ PARA CEZASI ORANLARI

YÜKÜMLÜLÜK İLGİLİ KANUN HÜKMÜ 2025 YILI İÇİN İDARİ PARA CEZASI
Aydınlatma Yükümlülüğünün Yerine Getirilmemesi 18/1-a, 10 68.083,00 TL1.362.021,00 TL
Veri Güvenliğine İlişkin Yükümlülüklerin Yerine Getirilmemesi 18/1-b, 12 204.285,00 TL – 13.620.402,00 TL
Kurul Tarafından Verilen Kararların Yerine Getirilmemesi 18/1-c, 15 340.476,00 TL – 13.620.402,00 TL
Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğünü Aykırı Hareket Edilmesi 18/1-ç, 16 272.380,00 TL – 13.620.402,00 TL
Yurt Dışı Veri Aktarımına İlişkin Standart Sözleşme Bildirim Yükümlülüğünün Yerine Getirilmemesi 18/1-d, 9 71.965,00 TL1.439.300,00 TL

E. SONUÇ

Özetle, mevzuatın getirdiği yükümlülükler kapsamında, en basit anlatımıyla kişisel verilerin korunması adına yapılması gerekenler şunlardır:

  • İşletme yetkilileri ve çalışanlarına kişisel verilerin korunması kapsamında eğitim verilmesi,
  • İşletmenin faaliyetleri kapsamında temin ettikleri her türlü kişisel verinin tespit edilmesi,
  • Elde edilen verilerin temin edilmesinin gerekli olup olmadığının analiz edilmesi, işletmenin kişisel veri ile temasının minimize edilmesi,
  • İşletme envanterine son halinin verilmesi,
  • Şirket içi prosedürlerin ve belgelerin envantere göre revize edilmesi,
  • İşletmenin bundan sonraki süreçte yeni her türlü faaliyetini kişisel verilerin korunması mevzuatına uygun şekilde yürütmesi ve buna uygun şekilde veri envanterinin güncelliğinin sağlanması,

Kişisel Verilerin Korunması Hukuku, birçok teknik ve hukuki detay içeren, ilgili yükümlülükler bağlamında veri sorumlusuna herhangi bir esneklik tanımayan, ülkemiz için yeni sayılabilecek olan bir kurallar bütünüdür.

Erdinç Hukuk Bürosu olarak, çeşitli sektörlerde faaliyet gösteren birçok firmanın “KVKK Uyum Sürecini” yürüterek firmaların bu teferruatlı süreci hukuka uygun şekilde tamamlamasını sağlamaktayız.

Detaylı bilgi için bizimle iletişime geçebilirsiniz.

ERDİNÇ HUKUK I DANIŞMANLIK I ARABULUCULUK