Kişisel Verilerin Korunması Kanunu Nedir
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK veya Kanun”) hayatımıza 2016 yılında katılmıştır. Birçok şirkete, devlet kurumuna, sağlık kuruluşları ile doktorlara yükümlülük getiren bu kanun nedir?
Günümüzde özel kuruluşlar ile kamu kurumları biz vatandaşlara ilişkin birçok bilgiye sahip. Elde edilen bilgiler ve teknolojinin de gelişmesi ile bilgiler kuruluşlar arasında kolayca aktarılmaya başlanmıştır. Anayasal haklarımızdan olan kişilik ile gizlilik haklarının korunması için KVKK yürürlüğe girmiştir.
Kişisel Veri nedir?
Kişisel veri Kanunun 3. Maddesinde tanımlanmıştır. Buna göre kişisel veri:” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” anlamına gelmektir. Görüldüğü üzere bir verinin kişisel veri olabilmesi için 3 unsura ihtiyaç vardır:
1) Gerçek kişiye ait olması.
Yani özel kuruluşlara veya kamu kurumlarına ilişkin bilgiler kanun kapsamında değil. Örneğin anlaşmalı olduğunuz ilaç firmasının vergi kimlik numarası kişisel veri olmasa da aynı şirketin çalışanın telefon numarası gerçek kişiye ait kişisel veri olduğundan kanun kapsamında olcaktır.
2) Kişiyi belirli ya da belirlenebilir kılması.
Kişiyi belirli kılması kolayca anlaşılabilir olsa da belirlenebilir kılması soru işareti yaratabilir. Örneğin klinik içerisindeki sarı saçlı ve gözlüklü kadın denildiğinde ve o sırada sadece 1 kişi bu tanıma giriyor ise bu veriler de kişisel veri sayılıyor.
3) Her türlü bilgi
Kanun her türlü bilgi diyerek kapsamı olabildiğince geniş tutmuştur. Bu nedenle gerçek kişiye ait aklınıza gelebilen her türlü veri kanun kapsamında olcaktır.
Özel Nitelikli Kişisel Veri Nedir?
Kanunun 6. Maddesinde özel nitelikli kişisel veri sınır olarak sayılmıştır. Buna göre sadece kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
• Örneğin: Kan Grubu, Dini İnanç, Parmak İzi, Adli Sicil Kaydı
Veri Sorumlusu Nedir?
Kanun veri sorumlularını birçok yükümlülük ve sorumluluk getirmiştir. Kanun asıl olarak veri sorumlularını hedef almıştır demek yanlış da olmaz. Veri sorumluları Kanunda “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Görüldüğü üzere gerçek kişi veri sorumlusu olabileceği gibi tüzel kişiler de veri sorumlusu olabilir.
Veri Sorumlusunun Yükümlülükleri Nelerdir?
Kanun ve sonrasında çıkan yönetmelikler ile birlikte birçok yükümlülük getirilmiştir. Bu yükümlülüklerin hepsini bu yazıda kısaca anlatıcaz. Sonraki yazılarımızda her bir yükümlülüğü ayrıntılı olarak inceleyeceğiz.
1) Veri sorumluları kişisel verileri işlerken Kanun’un 5. Maddesinde belirtilen kişisel veri şartlarına uygun ve 4. Maddesinde belirtilen ilkelere uyarak veri işleme faaliyetini gerçekleştirmelidir
Peki kişisel veri işlemek nedir?
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla;
· Elde edilmesi
· Kaydedilmesi
· Depolanması
· Muhafaza edilmesi
· Değiştirilmesi
· Yeniden düzenlenmesi
· Açıklanması
· Aktarılması
· Devralınması
· Elde edilebilir hâle getirilmesi
· Sınıflandırılması
· Kullanılmasının engellenmesi
Kişisel verilerin işlenmesi faaliyeti olarak adlandırılır.
2) Kişisel verileri aktarırken Kanunda belirtilen işleme şartlarına veri sorumluları uymak zorundadır. Kişisel verilerin işlenme şartları ayrıntılı olarak incelenecektir.
3) Veri sorumlusu işlediği kişilere bir aydınlatma yapmak zorundadır. Kanunun 10. Maddesine göre her veri işleme faaliyetinde bulunan veri sorumlusu ilgili kişileri işleme faaliyeti hakkında aydınlatmak zorundadır.
4) Veri sorumlusu gerekli teknik ve idari tedbiri almak zorundadır.
5) Veri sorumluları Veri Sorumluları Sicil Bilgi Sistemi yani VERBİS’e kayıt almak zorundadır.
VERBİS Nedir?
Veri sorumlularının kayıt olmak zorunda oldukları bir sicildir. Bu sicile veri sorumluları veri işleme faaliyetleri ile ilgili bilgileri beyan ederler.
Kişisel Verileri Koruma Kurumu, veri sorumlularına dair sicile kayıt olma zorunluluğuna istisna getirme yetkisi vardır.
Kimler VERBİS’e Kayıt Olmak ile Yükümlüdür?
1) Yıllık çalışan sayısı 50`den fazla veya yıllık mali bilanço toplamı 25 milyon TL`den çok olan şirketler
2) Hastaneler, özel muayenehaneler, diş hekimleri, fizyoterapistler, eczaneler
3) Kamu Kurum ve Kuruluşları
4) Merkezi yurtdışında olan şirketler
İdari Para Cezaları-Yaptırımlar-Cezalar
Kanun 18. Maddesinde yükümlülüklerini yerine getirmeyen veri sorumlularına yaptırım öngörmüştür. Buna göre 2021 yılı itibari ile;
· VERBİS’e kayıt olmayan ve bildirim yükümlülüğüne aykırı hareket eden veri sorumluları hakkında “36.053 TL – 1.802.641 TL”
· Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında “9.013TL-180.264TL”
· Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında “27.040 TL -1.802.641TL”
· Kurul tarafından verilen kararları yerine getirmeyenler hakkında “45.066 TL - 1.802.641 TL”
İdari para cezasına hükmedilir.
Cezai ve Hukuki Sorumluluk
Kişisel verilerin hukuka aykırı kaydedilmesi, ele geçirilmesi, verilmesi veya yok edilmesi aynı zamanda suç oluşturur. Türk Ceza Kanunu’nun 135 ve 140. Maddeleri arasında cezalar düzenlenmiştir. Suçlara göre değişiklik gösterse de 6 yıla kadar çıkabilen hapis cezaları öngörülmüştür.
Hukuki Sorumluluk
Kanununun 14. maddesinin üçüncü fıkrasına göre, “kişilik hakları ihlâl edilenlerin, genel hükümlere göre tazminat hakkı saklıdır”.
Buna göre kişilik hakları ihlal edilen ilgili kişiler veri sorumlularına karşı maddi ve manevi tazminat davası açabilirler.
KVKK Danışmanlığı İçin tıklayın
Trdoktor; blog sayfasıdır. Trdoktor blog sayfası üzerinde doktorların yazdığı makale ve videoları görünütleyebilirsiniz.