Son zamanlarda sıklıkla duymaya başladığımız KVKK, Kişisel Verilerin Korunması Kanunu’nun kısaltılmış kullanımıdır.
2016 yılında kabul edilen kanun, (Veri Sorumluları Sicili) VERBİS’e kayıt sürelerinin yaklaşması ile daha sık gündemde yer almaya başladı. Fakat Kanunun 2016 yılında yürürlüğe girdiğini ve ertelemelerin yalnızca sicile kayıt sorumluluğuna ilişkin olduğunu unutmamakta fayda var. Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyum sağlanması için şirketler, Kanun’da öngörülen ilkelere uygun kişisel veri işlemek, veri sahiplerini aydınlatmak, belirli hallerde veri sahiplerinin rızasını almak, belirlenen saklama sürelerinin sona ermesinden sonra verileri imha etmek, veri güvenliğini temin etmek, veri sorumluları siciline (VERBİS) kayıt olmakla yükümlü kılınmışlardır. Görüldüğü gibi veri sorumluları siciline kayıt yaptırmak yükümlülüklerin yalnızca bir kısmıdır.
Son olarak resmi gazetede yayınlanan ertelenmiş süreler ise şu şekildedir:
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.09.2020 tarihine,
yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularına sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 31.03.2021 tarihine,
kamu kurum ve kuruluşu veri sorumlularına sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 31.03.2021 tarihine kadar uzatılmıştır.
İşte bu sicile kayıt zorunluluğunun ertelenmesini Kanun’un öngördüğü tüm yükümlülüklerin ertelendiği şeklinde “yanlış” anlamamakta fayda var.
Kişisel Verilerin Korunması Kanunu 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümlerine atıf yapmış durumda.
Örneğin “Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.”
Örneğin “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.”
Ceza Kanunu’na atıf yapan bu maddeler yürürlükte. Cezai müeyyideleri bilmekte elbette ki fayda var. Zira “kanunu bilmemek mazeret sayılmaz”, ceza kanununun genel ilkelerinden.
Yine Kişisel Verilerin Korunması Kanunu’nda kabahatlere de yaptırım öngörülmüş:
“Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,”
“Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar” para cezası verilmesi mümkün.
Yüksek Mahkeme tarafından “kendisinde kayıtlı olan” telefon numarasının sahibinin rızası dışında başkasıyla paylaşılmasının TCK m.136’daki verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturacağı belirtilmiştir.
Kişisel Verileri Koruma Kurulu ise, bir kimsenin bir başka kimsenin eczane açacak nitelikte olmadığı iddiası ile İl Sağlık Müdürlüğüne dilekçe verdiği olayda.
Dilekçe sahibinin İl Sağlık Müdürlüğü’nü muhatap dilekçesi eki Medula Eczane çıktılarını eşinin eczanesinden temin ettiği dikkate alındığında Eczanenin SGK ile yaptığı sözleşme çerçevesinde kullandığı Medula sistemine üçüncü kişilerin erişimini önlemek üzere gerekli güvenlik tedbirlerini almadığı dolayısıyla Eczane hakkında Kanunun 12’nci maddesinin (1) numaralı fıkrasına muhalefet etmesi nedeniyle Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 60.000 TL idari para cezası uygulanmasına,
İl Sağlık Müdürlüğü’ne yaptığı başvurusunda ilgili kişiye ait Medula Eczane çıktılarına yer veren eczacının eşi hakkında ise ilgili kişiye ait verileri ele geçirerek kullanması sebebiyle Türk Ceza Kanununun 136’ncı maddesinde belirtilen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun oluştuğu kanaatine varıldığından bu kişi hakkında savcılığa ihbaren bildirimde bulunulmasına karar vermiştir.
Kanunun 5’inci maddesinin 2’nci fıkrasının (d) bendinde yer alan alenileştirme ilkesi gereğince, ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebileceği, bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesinin verilebileceği,
alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin ne olduğuna bakılması gerektiği, zira bir kişinin kişisel verisinin herkesin görebileceği bir yerde olmasının aleni olmasını sağlamayacağı, alenileştirme durumunda kişisel verinin alenileştirme amacı kapsamında kullanılması gerektiği, somut olayda, alenileştirme bulunuyor olsa dahi ilgili kişinin reklam faaliyetleriyle ilgili kendisiyle iletişim kurulması amacıyla söz konusu kişisel verileri alenileştirmemiş ise, gerçekleştirilecek olan kişisel veri işleme faaliyetinin hukuka uygun olmayacağının değerlendirildiği,
somut olayda işlenen kişisel verilere yönelik olarak ilgili kişinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer hallerin ise bulunmadığı, bu kapsamda ilgili kişinin kişisel verilerinin Kanunun 5 inci maddesinde yer alan şartlar yerine getirilmeden reklam içerikli iletiler gönderilmesi amacıyla kullanılmasının Kanunun 12’nci maddesinin 1’inci fıkrasının (a) bendine aykırılık teşkil ettiği hususlarından hareketle veri sorumlusu hakkında Kanunun 18’inci maddesinin 1’inci fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar vermiştir.
Kişisel Verileri Koruma Kanunu’nun ve Kurul kararlarının yalnızca veri işleyen tüzel kişileri değil hepimizi ilgilendirdiği farkındalığıyla bilgi sahibi olmakta fayda var…