6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR Açık Rıza Kanunun yürürlüğe girmesi sonrasında, kişisel veri ve bu verinin işlenmesi ile birlikte hayatımıza giren kavramlardan birisi de “açık rıza” kavramıdır. Kanunun 3. maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Buna göre sırasıyla Kanunun; - 5. maddesinin, 1. fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”, - 6. maddesinin 2. fıkrasında “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır”, - 8. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz”, - 9. maddesinin 1. fıkrasında “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz” düzenlemeleri yer almaktadır.
Anonim Hale Getirme (Anonimleştirme) Anonim hale getirme veya anonimleştirme, verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez. Bu noktada dikkat çekilmesi gereken husus, anonim veri ve anonimleştirilmiş veri arasındaki farktır.
Anonim veri belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade ederken, anonimleştirilmiş veri daha öncesinde bir kişiyle ilişkilendirilmiş ancak artık bağlantısı kalmamış veridir. İlgili Kişi Kanunda, yalnızca gerçek kişilerin verilerinin korunması öngörülmektedir. Bu nedenle kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Kanunun düzenlenme amacına göre korunması gereken temel esas, başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerden ibarettir. Korunması gereken kişi, düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir.Kişisel Veri Kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir.
Bu durumda kişisel veriyi, kişisel olmayan verilerden ayırabilmek için temelde iki ölçütten yararlanıldığı söylenebilir. Buna göre, kişisel veriden söz edebilmek için, verinin bir kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Kanunda kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır.
Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları gibi hususları kapsamaktadır. Kişisel Verilerin İşlenmesi Kişisel verilerin işlenmesi kavramı zincirleme bir döngüyü ifade etmektedir. Kanunun 2. maddesinde, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme, veri işleme olarak tanımlanmıştır. Kişisel veriler belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir. Kişisel veriler çeşitli şekillerde işlenebilir: - Toplama veya kaydetme: Kişisel verilerin ilk defa elde edildikleri an itibariyle işleme fiili başlamaktadır.
- Organize etme/depolama: Dijital ya da fiziksel ortamda, kişisel verilerin saklanması, barındırılması ya da depolanması işleme kapsamında kabul edilir. - Kullanma/değiştirme: Kişisel verilerin, görüntülenmesi de dâhil olmak üzere, her türlü kullanımı işleme sayılır. - Aktarma: Kişisel verilerin çeşitli yöntemlerle iletilmesi. - Yayma/erişilebilir kılma: Fiziksel olarak dağıtmak veya paylaşmak gibi, verileri dijital ortamda üçüncü tarafların erişimine açmak da bir işleme türüdür. - Engelleme/silme/yok etme/anonim hale getirme: Bunlar da bir işleme faaliyeti olarak kabul edilmektedir. Veri Sorumlusu ve Veri İşleyen Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.
Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Bir tüzel ya da gerçek kişinin aynı anda hem veri sorumlusu hem de veri işleyen olabileceğini söylemek mümkündür. Örneğin, bir turizm şirketi kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin çalışanlarının verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir.
VERİ KAYIT SİSTEMİ (VERBİS) Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Kanunda veri işleyecek gerçek ve tüzel kişilere, Veri Sorumluları Sicili’ne (VERBİS) kayıt olma zorunluluğu getirilmiştir. Kanunun gerekçesine göre, otomatik olmayan yollarla işlenen kişisel veriler bir veri kayıt sisteminin parçası değilse kanun kapsamında değerlendirilmeyecektir.
VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ (VERBİS) VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir. 6698 sayılı Kişisel Verilerin Korunması Kanununun 16’ncı maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolması gerekmektedir. Bu kapsamda, Başkanlığımızca Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) hazırlanmış olup veri sorumluları bu sisteme kayıt olacaklardır. Verbis’e kayıt için www.kvkk.gov.tr adresinde bulunan VERBİS kılavuzu aracılığıyla detaylı bilgi edinilebilecektir. Ayrıca, KVKK Bilgi Danışma Merkezi olarak görev yapmaya başlayan ALO 198 Veri Koruma Hattı aracılığı ile VERBİS hakkında teknik ve hukuki konularda Türkiye’nin her yerinden GSM ayrımı olmaksızın ücretsiz olarak ulaşılabilecek ve bilgi alınabilecektir. VERBİS’e kayıt olmak için herhangi bir ücret ödenmesi gerekmemektedir.
HANGİ VERİ SORUMLULARI VERBİS’E KAYIT OLMAKLA YÜKÜMLÜDÜR? Kanunun 162;ncı maddesine göre, kişisel verileri işleyen gerçek ve tüzel kişilerin kişisel veri işlemeye başlamadan önce Verbis'e kaydolmaları gerekmektedir. Bu kapsamda, Türkiye’de yerleşik gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının Türkiye’de kişisel veri işlemeleri halinde genel kural olarak VERBİS’e kayıt olmaları gerekmektedir.
VERİ SORUMLUSU OLAN TÜM GERÇEK VE TÜZEL KİŞİLERİN VERBİSE KAYIT OLMASI ZORUNLU MU? Faaliyetleri kapsamında, Türkiye sınırları içerisinde kişisel veri işleyen tüm gerçek kişi ve tüzel kişiler veri sorumluları genel kural olarak Verbis'e kayıt olmakla yükümlüdür. Buna göre, kanun hükümleri veya kurul kararlarıyla istisna tutulanlar hariç olmak üzere tüm gerçek kişi veri sorumlularının Verbis'e kayıt olması gerekmektedir.