EDİTÖRÜN SEÇTİKLERİ
SON YAZILAR
YAZARLARIMIZ
Ertuğrul Tuncer
Yeminli Mali Müşavir
Köker YMM Bağımsız Denetim A.Ş.
etuncer@kokerymm.com



Kişisel Verilerin Korunması İle İlgili Kimler Sicile Kayıt Olacak?

DAHA NET BİGİLENDİRMEYE İHTİYAÇ VAR

Birçok kurum ve kuruluş, kendisiyle yakın ya da dolaylı ilişkide bulunan kişilerin bilgilerini işlemek ve çeşitli amaçlarla kullanmak üzere faaliyette bulunmaktadır.

Kullanılan bilgiler, ilişkili kişilerin şahsına yönelik bilgiler olduğundan, bunların kullanılmasının da bir izne tabi olması gerekmektedir.

Kişisel verilerin uluorta kullanılmasını önlemek için getirilen 6698 sayılı Kanuna göre, çeşitli kaynaklardan toplanan kişisel bilgilerin, başkalarıyla paylaşılması, açıklanması, başka kişilerin kullanımına açık tutulması, izinsiz haberleşme, ilan reklam veya başka bir şekilde tanıtım amacıyla kullanılması yasaktır.

Bu nedenle bazı alış -veriş yerleri ile Bankalar vs. “bilgilerinizi kullanabilmek için izin” istemektedirler.

Kurum ve kuruluşlar, çalışanlarının kişisel bilgilerinin muhafazası ve izinsiz kullanıma açık tutulmaması bakımından bu Yasa kapsamında sorumluluk sahibidirler.

Ancak, bu bilgileri toplayıp işlemeyen yani kendisi dışında KULLANMAYAN ve başkalarının kullanımına sunmayan kuruluşların Kanun kapsamında sorumluluğu yoktur.

Öte yandan, Vergi Dairesi, İcra Daireleri, İstatistik Kurumu, benzeri diğer idari kurumların bilgi istemesi ve bunlara bilgi verilmesi bu konuyla ilgili değildir. O birimler kendi kanunlarına göre bilgi ister ve kullanırlar.

Toplanan kişisel veriler genellikle, iş ilişkisi içerisinde olan kişilerin hukuki ve teknik güvenliğinin temini, sunulan ürün ve/veya hizmetlerin tanıtımı, yürütülen ticari faaliyetlerin anlatılması, duyurulması amaçlarıyla kullanılmaktadır.

Kişisel veriler, elektronik posta kanalıyla (yöntemiyle) iş birliği kurulması, kurum lehine teminat alınması, sözleşme süreçlerinin yönetimi, risk değerlendirme ve fizibilite çalışmalarının gerçekleştirilmesi, performans ve verimliliğin takibi, memnuniyet ve bağlılığın artırılması, seyahat, toplantı, eğitim ve benzeri organizasyon veya etkinliklerin gerçekleştirilmesi amacıyla da kullanılabilmektedir.

6698 Sayılı Kişisel Verilerin Korunması Kanun’un 16.maddesine dayanılarak, kamuya açık bir “ Veri Sorumluları Sicili” oluşturulmuştur. Bu sicilin amacı, “kişisel veri işlemesi yapan” kurum ve kuruluşların bilinmesi ve sürekli kontrolünün yapılabilmesidir.

Kişisel verilerin toplanarak İŞLENMESİ ve KULLANILMASI şahıs hukukunu ilgilendirdiğinden, bu tarz çalışmaları yürüten kurum ve kuruluşların da envanterinin yapılabilmesi ve kayıt altına alınabilmesi için bir sicil kaydı oluşturulması ihtiyacı doğmuştur.

Veri sorumlusu, Kurul tarafından şöyle tanımlanmaktadır;

“Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.

Kanuna göre veri sorumlusu, kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.”

Buradan şunu anlamaktayız; kişisel verilere sahip olan değil, bu verileri işleyen veya işlemek amacıyla veri toplayanlar sorumludurlar. Dolayısıyla bu sorumluluğa, “veri işleme faaliyeti sorumluluğu” demek daha doğru olacaktır.

Şu halde, işin tabiatı icabı, ellerinde, çalışanların veya ilişkili kişilerin bilgileri bulunan işletmelerde, bu veriler sadece işletme içinde kullanıldığı sürece “veri işleme faaliyeti sorumluluğu” söz konusu olamayacaktır. Burada geçerli olan, kişisel verilerin korunması işlemidir.

Yasaya göre, Kişisel verileri işleyen ve kullanan gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi nedenler göz önüne alındığı için, bu işle ilgili Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna bazı istisnalar getirilmiştir.

Kanımızca bu istisnaların daha açık ve tartışmasız biçimde anlatılması, örneklenmesi gerekmektedir. Zira, yapılacak hatalar “Kabahat” olarak değerlendirilecek ve önemli para cezaları söz konusu olabilecektir.

Biz burada, Kanunun 28. Maddesinde yer alan “genel” istisnaları açıklamakla yetinmeliyiz. Zira, sorumluluğun sınırının belirlenmesinde bu bilgilere öncelikle ihtiyaç bulunmaktadır. Zira, bu istisnalar, veri işlenmesinin sınırını belirlemektedir. (Dolayısıyla, veri sorumlusu olmanın sınırlarını…)

Yasanın 28. maddesinin 1 numaralı fıkrasına göre “ Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz”:

a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Görüldüğü gibi elde mevcut kişisel bilgileri sadece işletme içinde kalmak ve yukarıda belirtilen hallerde kullanmak kaydıyla, veri işleme ve veri sorumluluğu söz konusu olmayacaktır. Dolayısıyla sicile kayıt da söz konusu olmayacaktır.

Bu konu önemlidir zira, 6698 Sayılı Kişisel Verilerin Korunması Kanun’un Kabahatler başlıklı 18.maddesine göre Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası ile cezalandırılabileceklerdir.

Şahsi düşüncemizi belirtmeden önce, getirilen “sicil oluşturulması ve sicile kayıt” konularında şu hususların altının çizilmesi gerekmektedir;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den yüksek olan gerçek ve tüzel kişiler çalışanlara ait bilgiler açısından veri sorumlusudurlar. Ancak, Veri Sorumluları Siciline kayıt olmaları gerekip gerekmediği tartışmalıdır. Bu konuda, Kurul’un acilen bir tebliğ yayınlayarak, konuyu kamuya net ve kolay anlaşılır/ tartışmasız biçimde açıklaması uygun olacaktır.
  • Kurul kararında yer alan “Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü bulunmaktadır.” İfadesi kafaları karıştırmaktadır.
  • Halbuki bu ifade tersinden okunduğu takdirde, “50 personel ya da 25 milyon TL ciro ölçüsüne giren her kuruluş veya işletme sicile kayıt olmak zorundadır.” anlamı çıkmaktadır. Aslında veri sorumluları sicili sadece verileri işleyerek çeşitli amaçlarla kullanan kurum ve kuruluşlar için kurulmuştur. İstisnalar göz önünde bulundurulduğunda, her veri sahibinin veri sorumlusu olamayacağı anlaşılmaktadır.
  • Açıklığa kavuşturulması gereken bir diğer husus, veri sorumluları siciline hangi kişi ya da kuruluşların kaydolacağının netliğe kavuşturulmasıdır. Yoksa, 50 den fazla personel istihdam eden her işletmenin bu sicile kayıt olmasının anlamsızlığı zihinleri kayıt süresi sonuna kadar meşgul edecektir.
  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yaptırmaları için 30.09.2019 tarihi olarak tanınan süre 31.12.2019 tarihine kadar uzatılmıştır.
  • Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü bulunmaktadır ve sicile kayıt tarihi de 31.12.2019 olmuştur.

Bize göre;

  • 50 den fazla sayıda eleman istihdam eden veya 25 milyon TL ciroyu aşan işletmeler, çalışan personelinin bilgilerini muhafaza konusunda zaten veri güvenliği sorumluluğu mevcuttur ama bu bilgileri işlemediği yani KULLANMADIĞI sürece 6698 sayılı Kanun kapsamında değildir. Bu sonuca Yasanın 28. Maddesindeki istisna tanımlarıyla da ulaşılmaktadır. Bunlar için yapılması gereken özel bir durum yoktur.
  • Yasa, sadece, bilgileri toplayarak KULLANAN veya başkalarının kullanımına açan kurum ve kuruluşlar içindir. Sicile kayıt için bu şartın gerçekleşip gerçekleşmediğine bakılmalıdır. Yasada, kişisel verilerin işlenmesi konusunda süreklilik veya arizilik açıklaması yer almadığından, veri işleme /kullanma işlemini yapmış olanlar bu sicile kayıt olmak zorundadır.
  • Kişisel verilerden yararlanılarak işletme dışına taşmamak kaydıyla yapılacak, duyuru, uyarı, bilgilendirme gibi işlemler veri işleme sayılmazlar. Ancak, çalışanların kişisel verileri kullanmak suretiyle, kişinin dışındaki (ailesi ve yakınları/arkadaşları/çevresi) insanlara ulaşılması veri işleme fiilidir.

Kişisel verilerinizin nasıl, ne zaman, ne şekilde, kime verildiği veya hangi amaçla ya da platformda kullanıldığını her zaman sorabilme hakkı bulunmaktadır. Haksız, izinsiz ve toplanma amacına aykırı bilgi kullanımlarında, kişilerin, İtiraz etme ve zarar görürse tazminat talep etme hakkı bulunmaktadır

11.09.2019

Kaynak: www.MuhasebeTR.com
(Bu makale kaynak göstermeden yayınlanamaz. Kaynak gösterilse dahi, makale aktif link verilerek yayınlanabilir. Kaynak göstermeden ve aktif link vermeden yayınlayanlar hakkında yasal işlem yapılacaktır.)

GÜNDEM