6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) HAKKINDA DOĞRU BİLİNEN YANLIŞLAR

1) 6698 sayılı Kişisel Verilerin Korunması Kanununa (6698 sayılı Kanun) göre tüzel kişilerin verileri de korunmakta mıdır? 6698 sayılı Kanun tüzel kişilerin verilerini korumamaktadır. 6698 sayılı Kanunun 2. maddesinde, Kanun hükümlerinin kişisel verileri işlenen gerçek kişiler hakkında uygulanacağı ifade edilmiştir. Buna göre Kanun, kural olarak sadece gerçek kişilerin verilerini koruma kapsamına almış olup verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur.

2) Bir kâğıt parçası üzerine gelişigüzel yazılan ad, soyad ve telefon numaraları Kanun kapsamında sayılabilir mi? Bir kâğıt parçası üzerine gelişigüzel yazılan ad, soyad ve telefon numaraları Kanun kapsamında değildir. Kişisel veri işlemenin Kanun kapsamında sayılabilmesi için işlenen kişisel verilerin bir veri kayıt sisteminin parçası olması yani belirli bir takım kriterlere göre yapılandırılarak işlenmesi gerekmektedir. Ad, soyad ve telefon numarası gibi veriler bir indeks, fihrist vb. bir veri kayıt sistemi dâhilinde yazılmışsa, söz konusu veri işleme faaliyeti Kanuna tâbi olacaktır. Manuel yolla ve gelişigüzel bir biçimde bir kâğıt parçası üzerine yazılan kişisel veriler Kanun kapsamında olmayacaktır. Bununla birlikte, bir veri kayıt sisteminin parçası olmadan işlenen kişisel verilerin 6698 sayılı Kanuna tâbi olmaması durumu, bu verilerin keyfi bir biçimde kullanılabilecekleri anlamına gelmemektedir. Zira konusu suç teşkil eden durumlar 5237 sayılı Türk Ceza Kanunu kapsamında ele alınmaktadır.

3) Bir veri kayıt sistemi aracılığıyla işlenen kişisel veriler Kanun kapsamında mıdır? Bir veri kayıt sistemine bağlı olarak işlenen kişisel veriler, 6698 sayılı Kanun kapsamındadır. Kanunda “veri kayıt sistemi”; kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi şeklinde tanımlanmıştır. Dolayısıyla kişisel veriler; fihrist, numara, ad - soyad,alfabe, kategori, sıralama gibi belirli kriterlere göre işleniyorsa Kanun kapsamında olacaktır.

4) Otomatik olmayan yollarla kişisel veri işleyenler Kanundan istisna mıdır? Kanun, otomatik olmayan yollarla kişisel veri işlenmesini tamamen Kanun kapsamı dışında tutmamaktadır. Otomatik olmayan yolla veri işleme eğer bir veri kayıt sisteminin parçası olarak gerçekleştiriliyorsa bu durumda söz konusu veri işleme faaliyeti de Kanun kapsamında kabul edilmektedir. Dolayısıyla otomatik olmayan yolla işlenen kişisel veriler, bir veri kayıt sisteminin parçası ise Kanun kapsamında olacaktır.

5) Bilgisayarda bazı kişisel veriler sadece depolama amacıyla dosya halinde tutulmakta ise, bu durumda kişisel veri işlenmiş sayılır mı? Sadece depolama amacıyla dosya halinde bilgisayarda kişisel verilerin tutulması da kişisel veri işleme kapsamındadır. 6698 sayılı Kanunun 3. maddesinde kişisel verilerin işlenmesi; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır. Buna göre, kişisel veriler sadece depolama amacıyla dosya halinde tutulsa ve üzerinde başkaca bir işlem yapılmasa bile kişisel verilerin işlenmesi olarak değerlendirilecek ve bu faaliyet de Kanun kapsamında kabul edilecektir.

6) Kişisel Verileri Koruma Kurumu (“Kurum”) bünyesinde vatandaşların kişisel verileri saklanıyor mu? Kurum bünyesinde, vatandaşların kişisel verileri saklanmamaktadır. Ayrıca Kurumun, Türkiye’de işlenen tüm kişisel verileri kaydetmek ve bunları Kurum içerisinde muhafaza etmek gibi bir yetkisi ve görevi de bulunmamaktadır. Kişisel veriler, Kanunda belirtilen işleme şartlarının mevcut olması halinde veri sorumluları tarafından işlenmektedir. İşlenen kişisel verilerin kendisi veya bir kopyasının Kuruma iletilmesi gibi bir durum da söz konusu değildir.

7) Veri sorumlusu, Kanun ile verilen görevleri yerine getirmek üzere atanan bir gerçek kişi midir? Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Buna göre veri sorumlusu ifadesi ile, kişisel veri işleme faaliyetini gerçekleştiren bir görevli, çalışan, yönetici veya bu faaliyetten sorumlu olan bir gerçek kişi kastedilmemektedir. Kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir tüzel kişi (örneğin bir şirket) nezdinde gerçekleştirilmesi halinde veri sorumlusu, tüzel kişinin bizzat kendisidir. Benzer şekilde, kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir gerçek kişi (örneğin eczane) adına işlenmesi halinde de bu gerçek kişi veri sorumlusudur.

8) Bir şirket, veri sorumlusu olarak kimi belirlemelidir? Bir tüzel kişinin (örneğin şirket) bir “veri sorumlusu” belirlemesi gibi bir durum söz konusu değildir. Zira tüzel kişilikte veri sorumlusu, tüzel kişiliğin bizzat kendisidir. Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak

tanımlanmıştır. Ayrıca Veri Sorumluları Sicili Hakkında Yönetmeliğin 11. maddesinde tüzel kişilerde veri sorumlusunun, tüzel kişiliğin kendisi olduğu, tüzel kişiliğin Kanunun uygulanması bakımından bir veya birden fazla kişiyi görevlendirebileceği, bu görevlendirmenin tüzel kişiliğin sorumluluğunu ortadan kaldırmayacağı belirtilmiştir.

9) Bir Bakanlık, veri sorumlusu olarak kimi belirlemelidir? Bir Bakanlığın, veri sorumlusu sıfatını taşıyan kamu kurum ve kuruluşunun veya kamu kurumu niteliğindeki meslek kuruluşunun bir veri sorumlusu belirlemesi durumu söz konusu değildir. Tüm bu kurum ve kuruluşlarda veri sorumlusu, kurum veya kuruluşun bizzat kendisidir.

10) Bir Bakanlığa bağlı, ilgili ve ilişkili birimler, veri sorumlusu sayılır mı? Kanunda “veri sorumlusu”; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Bir Bakanlığa bağlı, ilgili ve ilişkili kuruluşlar kişisel veri işleme amaç ve vasıtalarını kendisi belirlemiyorsa ve kişisel verilerin işlendiği veri kayıt sisteminin kurulması ve yönetilmesinden de sorumlu değilse veri sorumlusu sayılmayacaktır. Bu birimlerin işlemekte oldukları tüm kişisel verilerle ilgili yükümlülükler, bağlı oldukları Bakanlık tarafından yerine getirilecektir.

11) Bir şirketler topluluğuna bağlı her bir şirket ayrıca veri sorumlusu sayılır mı? Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Buna göre, veri sorumlusu statüsüne sahip olunup olunmadığını belirleyebilmek için bu üç unsurun varlığına bakmak gerekmektedir. Bağlı şirketlerin her biri, kişisel

veri işleme amaç ve vasıtalarını kendileri belirliyorsa ve bir veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlularsa, Kanuna göre veri sorumlusu statüsüne sahip olacaklardır.

12) Bir şirketin çalışanları veya birimleri veri işleyen midir? Bir şirketin çalışanları veya alt birimleri “veri işleyen” değildir. Kanunda “veri işleyen”; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Veri işleyen mutlaka veri sorumlusunun bünyesi dışında olmalıdır. Bu nedenle şirket çalışanları veya şirketin kişisel veri işlemekte olan ilgili birimi, veri işleyen olarak nitelendirilemez. Örneğin bir şirket, çağrı merkezi hizmetini kendi çalışanları veya birimi ile değil de dışarıdan hizmet alımı yoluyla başka bir firma ile sözleşme yapmak suretiyle karşılamaktadır. Bu durumda şirket veri sorumlusu iken, şirket adına çağrı merkezi hizmeti sunan firma da veri işleyendir. Çağrı merkezi hizmeti veren firma, çağrı merkezini telefonla arayan kişilerin kişisel verilerini kendisi adına değil bu hizmet kapsamında şirket adına işlemekte olup veri işleyen statüsündedir.

KVKK danışmanlığı uzmanlık gerektiren bir süreç olup, ofisimiz İzmir ve çevresinde müvekkillerine KVKK danışmanlığı hizmeti sunmaktadır.