07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu  başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla hazırlanmış ve yürürlüğe konmuştur. Globalleşen iletişim ve uluslararası ilişkilerin artması ve özellikle dijital dünyada yaşanan hızlı gelişmeler karşısında kişisel verilerin korunması ve kişilerin temel hak ve özgürlüklerinin korunması yüksek önem arz etmeye başlamıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, amacı ve hükümleri doğrultusunda gerçek ve tüzel kişilerin kişisel verilere karşı saldırılarını engelleyici ve kişisel verileri koruyucu bir mahiyete sahiptir. Kanunla kurulan sistemlerden biri olan ve ülkemizin hala alışma sürecinde olduğu VERBİS sistemi, Kişisel Verilerin Korunması Kurulu tarafından belirlenen kriterlerin sağlanması halinde gerçek ve tüzel kişilerin kayıt zorunluluğu bulunan, hangi kişisel verilerin nasıl işlendiğinin, saklandığının, imha edildiğinin ve aktarıldığının bilgisinin kamu ile paylaşılmasını sağlayan bir sistemdir. VERBİS’e kayıt zorunluluğunun olmaması 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerinden muaf olunduğu anlamına gelmez. Bu yazımızda VERBİS’e kayıt zorunluluğundan muaf olmanın, kanundan muaf olmak anlamına gelmediğini ve tüm veri işleyenlerin VERBİS kayıt zorunluluğu olmasa bile kanuna uyum sağlamak zorunda olduğundan bahsedeceğiz.

VERBİS KAYIT ZORUNLULUĞUNDAN MUAF OLMAK KANUNDAN DA MUAF OLUNDUĞU ANLAMINA GELMEZ.

Kişisel Verilerin Korunması Kanunu’nun kapsamı ile Veri Sorumluları Sicil Bilgi Sistemi(VERBİS)nin kapsamları birbirinden farklıdır. VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir. Kişisel Verilerin Korunması Kurulu tarafından 6698 sayılı Kişisel Verileri Koruma Kanunun 16ncı maddesi doğrultusunda sicile kayıt zorunluluğuna istisnalar getirilebilir. Bu sebeple Kurul kararları doğrultusunda kayıt zorunluluğu açıklanan veri sorumlularının sicil kaydı yaptırması zorunludur. Bunun dışında kalan ya da Kurul tarafından belirlenen istisna gruplarının sicile kayıt zorunluluğu yoktur.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Kapsam başlıklı 2nci maddesinde “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” Hükmü getirilmiştir. Hüküm açıkça VERBİS kaydının olup olmaması şartını düzenlememiş, tüm veri işleyen gerçek ve tüzel kişiler hakkında kanunun uygulanacağını düzenlemiştir.

VERBİS kayıt zorunluluğu olmayan ya da kayıt zorunluluğundan muaf tutulanların kanunu ihlal etmesi halinde kanun hükümleri aynen uygulanacaktır. Kayıt zorunluluğunun olmaması ya da kayıttan muaf tutulmuş olmak kanunu ihlal etmenin mazereti haline getirilemez. VERBİS henüz yeni ve gelişmekte olan bir sistemdir, bu sistemin tamamen yerleşmesi ve tam performans ile faaliyet göstermesi elbette ki zaman alacaktır ancak bu süre içerisinde kanunun ihlal edilmesi halinde öngörülen cezalardan kaçınmak mümkün değildir. İcra edilen işin mahiyeti gereği kişisel verilerin kanuna uygun şekilde işlenmesi, saklanması, aktarılması ve imha edilmesinin mümkün olmadığı da ileri sürülemez. Kişisel veriler basit anlamı ile kişiye ait belirli veya belirlenebilir her türlü bilgiyi ifade eder.

KİŞİSEL VERİLERİN KORUNMASI KANUNU, KAPSAMINA GİREN HER KONUDA UYGULANIR.

Kişisel Verileri Koruma Kanunu’nda yer alan her düzenlemeye Türkiye Cumhuriyeti’nde yürürlüğe giren her kanun gibi uyulması zorunludur.

  BEŞİNCİ BÖLÜM
Suçlar ve Kabahatler
Suçlar      
MADDE 17- (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.
(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
Kabahatler
MADDE 18- (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.  

Kişisel Verilerin Korunması Kanunu amacı doğrultusunda yaptığı düzenlemelere aykırılıklara karşı Suçlar ve Kabahatler başlığı altında adli ve idari cezaları barındırmaktadır. Yukarıda paylaştığımız kanun maddelerinden yalnızca bir fıkra VERBİS’e kayıt ve bildirim yükümlülüğüne aykırılığı düzenlemiştir. Bunun dışında kalan tüm cezalar VERBİS’ten tamamen bağımsız olarak kanunun kapsamına aldığı tüm gerçek ve tüzel kişilere uygulanacak şekilde düzenlenmiştir.

Kişisel veri işlemeyi gerektiren her iş kolunda Kişisel Verilerin Korunması Kanunu’na uygun hareket etme zorunluluğu vardır. Aynı anda birden fazla kişinin kişisel verisinin işlenmesinin gerekli olduğu hallerde tüm gerçek veya tüzel kişi veri sorumlularının kanun ve yönetmelikler kapsamında her türlü önlemi alması ve kişisel verilerin yetkili kimseler dışında başkaları tarafından öğrenilmesinin önüne geçmesi zaruridir. Kişisel Verilerin Korunması Kurulu tarafından verilen kararlarda da görüleceği üzere veri güvenliğinin sağlanması, kanun kapsamında alınması gereken en önemli tedbirlerden biridir.

Kişisel veriler hakkında, kanunla tam bir uyum halinde sürecin yönetilmesi için kanun ve yönetmeliklerde yer alan yükümlülüklerin yerine getirilmesi gerekmektedir. Kişisel verilerin işleniş ve saklama politikaları, aydınlatma metinleri, ihtiyaç halinde açık rıza beyanları, gizlilik sözleşmeleri, kişisel verilerin imha ve anonimleştirme politikaları, veri güvenliğinin dijital ve fiziksel olarak sağlanmasına yönelik güvenlik politikası, veri sorumlusuna başvuru yolları ve bunlara ilişkin başvurucunun iletişimini sağlayacak ön çalışmalar, kişisel veri envanteri, Kişisel Verilerin Korunması Kurulu karalarının takip edilmesi ve verilen kararların derhal uygulanması gibi yazılı, fiziki ve dijital hazırlıkların tamamlanması ile kanuna uyum süreci gerçekleştirilebilir.

Konuya kısaca örnek vermek gerekirse VERBİS kayıt zorunluluğundan muaf tutulan mali müşavirlerin çalıştıkları mükelleflere ilişkin bir bilgiyi yanlışlıkla dahi olsa gizlilik sözleşmesi ile yetkili olmayan kişilerle paylaşması veri güvenliğini ihlal edecek dolayısıyla kanuna aykırı davranış oluşturacaktır. Aynı şekilde noterlerin aynı anda birden fazla başvurana hizmet etmeleri sebebiyle örneğin duyma yoluyla kişilerin birbirlerine ait kişisel verileri öğrenmesinin önüne geçmemiş olması kanunu ihlal ettikleri anlamını taşır. İzah etmeye çalıştığımız sebeplerle VERBİS kayıt yükümlülüğünden muaf tutulmuş olunan gerçek veya tüzel kişiler bakımından Kurul tarafından istisna gruplarına alınmış olmaları, kanuna aykırı davranma hakkı vermez. Dolayısıyla kanuna uygun hareket etmek için VERBİS kayıt yükümlülüğünün yerine getirilmesi bir ön şart değildir.