Kişisel Verilerin Korunması Kanunu Mevcut İş Yapış Şekillerimizi Nasıl Değiştiriyor?

Pek Kişisel Bir Yazı Dizisi

No:1

Av. Begüm FEYZİOĞLU

Kişisel Verilerin Korunması Kanunu (KVKK) 2016 yılında yürürlüğe girdi ve ayağının tozuyla veri sorumlusu gerçek ve tüzel kişilere sıkı yükümlülükler getirdi.

Günümüzde özellikle kesilen yüksek tutarlı idari para cezaları sebebiyle sıklıkla gündeme gelen, yazılı ve görsel basında konu edilen KVKK, uzun bir süre daha popülerliğini yitireceğe de benzemiyor. Hatta Kurul’un yakın zamanda denetimleri sıkılaştıracağı, daha büyük bir uzman kadro ile faaliyetlerine hız kazandıracağı ifade ediliyor.

Kurul tarafından verilebilecek güncel idari para cezaları, ihlalin niteliğine ve etkisine göre 9.013 TL’den başlıyor ve 1.802.636 TL’ye kadar çıkabiliyor. İdari para ceza tutarlarının yüksekliği elbette iş hayatında büyük yankı ve tedirginlik uyandırıyor.

Bu haliyle KVKK, mevcut iş yapış şekillerimizin değiştirilmesini mecbur kılıyor. Veri sorumlularının avukatlardan ve bilgi işlem uzmanlarından profesyonel destek alması, eksikliklerini tamamlaması büyük önem arz ediyor.

Bir de tabii konu hakkında hem veri sorumlularının, hem de veri sahiplerinin farkındalığının artması gerekiyor.

  • Veri sahiplerinin KVKK kapsamında hakları nelerdir?
  • Veri sorumlularının almaları gereken idari ve teknik tedbirler nelerdir?
  • Kurul’un çalışma ve akıl yürütme sistematiği nasıldır?

Bu konular ilk bakışta yalnızca hukukçuları ilgilendiriyor gibi gözükebilir. Ancak günümüzde kişisel verisi saklanmayan bir gerçek kişinin olma ihtimali çok düşük olduğu gibi, mal veya hizmet sunan bir kişinin de kişisel veri saklamadığına inanmak çok zor.

Dolayısıyla, kişisel verilerin korunması yalnızca hukukçuların değil, hepimizin konusu.

Bu düşünceyle yola çıkarak sizlere “pek kişisel” bir yazı dizisi hazırladık. Yazı dizisinde Kurul’un işleyiş sistematiğinden, tarafların hak ve yükümlülüklerinden bahsedecek ve somut Kurul kararlarını inceleyeceğiz. Amacımız sadece hukukçuları değil, verisi saklanan ve veri saklayan herkese, günümüz toplumunun çoğunluğunu ilgilendiren bu hukuk alanı hakkında genel bilgiler vermek. Ve elbette bunu yaparken okuyucu kitlemizin yalnızca hukukçulardan oluşmadığını da unutmamak, hukukçu olmayanları sıkıcı detaylara boğmamak. Tabii böyle bir şey mümkünse…

Öyleyse buyrun başlayalım.

Yazı dizimizin birincisinde ilgili kurum ve kurullardan bahsedeceğiz.

Kurum, Kurulsun, Kuruluz.

Kurum ve Kurul Hakkında Temel Bilgiler

Kişisel Verileri Koruma Kurumu (Kurum) kişisel verilerin korunması alanında değerlendirmelerde bulunmak ve incelemeler yapmak ile yetkilendirilmiş. Mali ve idari özerkliği var ve kamu tüzel kişiliğine sahip. Kurum’un merkezi Ankara’da ve şu an için taşrada şubesi bulunmamakta.

Kurum’un altında faaliyet gösteren Kişisel Verileri Koruma Kurul’u (Kurul), Kurum’un karar organı.

Özetle;

Bir Kurum var. Bir de Kurul var.

Kurum genel olarak kişisel verilerin korunması alanında faaliyet gösteren özerk bir kamu tüzel kişisi.

Kurul ise Kurum’un medyaya yansıyan o meşhur idari para cezalarını karara bağlayan karar organı.

Aşağıdaki görselde de görülebileceği üzere Kurul’un, yani karar organının, görev ve yetkileri son derece geniş:

  • Şikâyet üzerine veri sorumlularını denetleyebiliyor.
  • Herhangi bir şikâyet olmaksızın ihlal iddiasını öğrenmesi halinde kendiliğinden harekete geçebiliyor.
  • Yaptığı denetimlerde veri sorumlularının kanuni yükümlülüklerini yerine getirip getirmediğini inceliyor.
  • Denetlediği veri sorumlularından bilgi ve belge talebinde bulunabiliyor. (Bu halde veri sorumluları istenilen bilgi ve belgeleri 15 gün içerisinde Kurul’a ibraz etmekle yükümlü oluyor.)
  • Herhangi bir ihlal tespit etmesi halinde Kurul, veri sorumlusu hakkında idari yaptırımlara karar verebiliyor. Bu idari yaptırımlar yukarıda da ifade edildiği gibi, ihlalin niteliğine ve etkisine göre 9.013 TL’den başlıyor ve 1.802.636 TL’ye kadar çıkabiliyor.
  • Veri sorumluları hakkında idari yaptırımlara karar vermenin yanında Kurul düzenleyici işlem yapabiliyor ve mevzuatta net olarak açıklanmayan hususlara açıklama getirebiliyor.
  • Ayrıca kamuya açık bir kişisel veri sicili olan VERBİS’i de Kurul tutuyor.

Kurul kararları sade ve anlaşılabilir bir dil ile yazılıyor ve KVKK’nın internet sitesinde yayımlanıyor. Her ne kadar henüz tüm kararlar yayımlanmasa da yayımlananları okuyup incelemek Kurul’un düşünce sistematiğini anlamayı sağlıyor.

Ayrıca denetleyici bir organ olmanın yanında aynı zamanda düzenleyici işlem yapma yetkisi olan Kurul, ilgilileri bağlayıcı ve genel nitelikte hukuk kuralları yaratarak mevzuatı geliştiriyor, kanun boşluklarını dolduruyor.

Bu sebeple konu ile ilgili olan okuyucularımıza Kurul karar özetlerine bir göz atmalarını öneririz.

Birinci yazıyı bitirirken Kurum ve Kurul ile ilgili son notlar…

Kurul Kararları KVKK Uygulamasının Şekillendirilmesinde Neden Önemli?

  • Kişisel Verilerin Korunması Hukuku henüz çok yeni bir hukuk alanı,
  • Kişisel Verilerin Korunması Kanunu 2016 yılında yürürlüğe girmişse de kanun hakkındaki toplumsal farkındalık yavaş yavaş oluşmakta ve artmakta,
  • Kanun uygulaması henüz çok net değil,
  • Kanun, yönetmelikler ve ilgili sair mevzuat henüz tüm soru işaretlerini cevaplamak için yeterli değil,
  • Bu bağlamda, Kurul kararları aydınlatıcı olmakta, mevzuatın düzenlemediği alanlara açıklık getirmekte.

Şimdilik konuya burada ara verelim.

Bir sonraki yazımıza kişisel verilerin korunması hakkının ihlal edildiğini düşünen kişilerin Kurum nezdinde başvurabileceği idari yolları anlatarak devam edeceğiz.