Bilişim Firmaları Neden Kişisel Verileri Koruma Kanunu nu Bilmek Zorundadır
Kişisel Veri Nedir? Kişisel Verileri Neden Korumak Gerekmektedir?
Öncelikle belirtmek gerekir ki Kişisel Veri Koruma Kanununda bahsedilen veri kişisel veri özel kişilerin verilerini ilgilendirmekte olup, tüzel kişilikleri ( şirket, dernek, vakıf vb.) gibi ilgilendirmemektedir. Kişisel veri sanılanın aksine sadece isim, adres vb. gibi veriler değil, kişi ile ilgili her türlü bilgiyi kapsar. 6698 Sayılı Kişisel Veri Koruma Kanunu kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlamıştır.
Örneğin kişinin ses kaydı, üye olduğu Whatsapp grupları, hobileri, özgeçmişleri vb. kapsar. Aslında kişisel verilerin ne olduğuna dair kesin bir sınır mevcut değildir. Önemli olan verinin bizi o kişiye götürmesidir.
Kısacası bir verinin kişisel veri olup olmadığı her spesifik olaya göre ayrıca değerlendirilecektir.
Ayrıca belirtmek gerekir ki kişisel veriler genel ve özel nitelikli kişisel veriler olarak kabaca ikiye ayrılabilir. Kanun özel veri olarak kişilerin ırkı, siyasi düşünceleri, sağlığı, cinsel hayatı, sabıkası gibi hususlar özel veri sayılmıştır. Özel nitelikli veriler kanun uyarınca genel nitelikli verilere göre daha sıkı korunmuştur.
İlerleyen teknoloji ile birlikte kişisel verilerin izinsiz bir şekilde paylaşılması, kötü amaçlar için kullanılması ihtimalleri artmaktadır. Hatta bunlar ihtimalin de ötesine geçmiş olup, bu hak ihlalleri yaygın hale gelmeye başlamıştır.
Bu nedenle Kişisel Verilerin Korunması Kanunu aslında her bir bireyi yakından ilgilendirmektedir. Ancak bu kanun özellikle veri işleme potansiyeli çok yüksek olan bilişim firmalarını çok daha yakından ilgilendirmektedir. 6698 Sayılı Kişisel Veri Koruma Kanunu şikayet üzerine verinin rıza dışında işlendiğinin tespiti halinde hem idari para cezası hem de hapis cezası söz konusu olacaktır.
Kişisel Veri İşlenmesi Nasıl Olmaktadır?
Kişisel veri birçok farklı yolla işlenmektedir. Kanun bu işlemenin yöntemini depolamak, değiştirmek, aktarmak, yeniden düzenlemek vb. gibi sınırlı sayıda olmayan örnekleme yolu ile yapmıştır. Sanılanın aksine Kişisel Veri sadece bir bilginin kaydedilmesi değil, mevcut olan bir verinin değiştirilmesi, devralınması, açıklanması şeklinde de olabilir. Kısacası daha sonra detaylı bir şekilde bahsedeceğimiz veri işlemekten sorumlu olan kişi sadece veriyi kaydederken değil, veri üzerindeki en küçük işlemde dahi dikkatli olmak zorundadır.
Veri işlenmesi sadece bilgisayar sistemlerinde olmayıp, örneğin bir hastanede doktorların nöbet sisteminin kaydedildiği defter, bir plazada misafir girişlerinin deftere kaydedilmesi şeklinde de olabilir. Kanunun tek aradığı şart bu verilerin bir veri kayıt sisteminin parçası olmasıdır.
Kişisel Verilerin Güvenliğinden Kimler Sorumludur?
Bu sorunun cevabını vermeden önce kanunda bahsedilen Veri İşleyen ve Veri Sorumlusu kavramlarını açıklayalım. Veri İşleyen Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Örneğin bir şirkette çalışanların özlük dosyalarını düzenleyen ve sisteme kaydeden personel veya bir şirketin dışarıdan hizmet alarak çalıştığı veri işleyen şirket olabilir.
Veri İşleyenin sorumluluğu Veri Sorumlusuna göre çok daha sınırlıdır. Veri İşleyenin sorumluluğu Veri Sorumlusunun talimatı dışında bir eylemi gerçekleştiği zaman meydana gelebilir.
Veri Sorumlusu ise verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri belirlemektedir. Veri kayıt sisteminden birazdan bahsedeceğiz.
Kısacası Veri Sorumlusu tüm bu veri işleme sürecini kontrol eden gerçek veya tüzel kişidir. Tüzel kişi olması halinde sorumluluk tüzel kişi yetkilileri üzerinde doğacaktır. Yukarıda bahsettiğimiz gibi veri işleme işinin başka bir firma aracılığı ile yapılması şirketin sorumluluğunu ortadan kaldırmaz.
Veri Sorumluları Sicili Nedir? Tüm Şirketler Kayıt Olmak Zorunda mıdır?
Veri Sorumluları Sicili(VERBİS) veri sorumlularının kaydolunduğu, Kişisel Verileri Koruma Kurumu gözetiminde tutulan kamuya açık sicildir.
Bilindiği ve geçmişte görüldüğü üzere bir kanunun hayata geçirilmesi, uygulamasının oturması belirli bir zaman sonra olmaktadır. 6698 Sayılı Kişisel Veri Koruma Kanununun uygulamasının oturması da tahminimizce 2 yıl sonra olacaktır.
Ancak kişisel verilerin koruması kurumu 18.08.2018 tarihinde yayımladığı karar ile bazı şirketler için kayıt zorunluluğu getirmiştir.
Buna göre ;
• Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan veri sorumluları 1.10.2018 tarihinden 30.09.2019 tarihine kadar,
• Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları
1.10.2018 tarihinden 30.09.2019 tarihine kadar, kayıt yaptırmak zorundadırlar.
Bu nedenle bu şartları sağlayan bilişim şirketleri VERBİS’e bugünden başlayarak, 30.09.2019 tarihine kadar kaydolmak zorundadırlar.
Bu kısa açıklamalarımızdan da görüleceği üzere, her bilişim şirketinin Kişisel Veri Koruma Hukuku alanında uzman kişilerle çalışmasına ihtiyacı vardır.
Av. Ozan Genco Gürgöz
