AV. ESRA AYDIN EKİCİ – Kişisel veri ülkemiz için yeni bir kavram. Aslında ülke olarak öğrenme sürecindeyiz diyebiliriz. Kişisel veri hayatımıza 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun ile girdi. Kanun 24.3.2019 da kabul edildi ve 07.04.2016 tarihinde yayınlandı. Bu yılın sonuna kadar da literatürdeki tabiri ile uygulamada bir hoşgörü süresi tanındı. Bu kanunun çıkarılmasının en önemli nedeni ise, artık kişileri rahatsız edecek boyuta ulaşan gelişen teknoloji ile kolayca ulaşılabilen kişisel verilerin işlenmesi ve üçüncü kişilerle paylaşılmasının kişilerin hukuki güvenliğini tehdit edecek boyuta ulaşması.
Mevzuatla ilgili kısa bir bilgiden sonra kişisel veri nedir ona bakalım. Kişisel veri kanundaki tanımıyla Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Kişisel veriler şunlardır diye kanunda sınırlı sayıda sayılan veya sayısı belirlenebilen veriler değildir. Bu da demektir ki, gerçek kişiyi ilgilendiren her türlü bilgi kişisel veridir. Kimlik, kan grubu, sağlık raporu, din, ırk, biyometrik veri, fotoğraf, kılık kıyafet, medeni hali, felsefi inaç vs. kişisel verilere örnek olarak verilebilir.
Kişisel veriler bakımından daha fazla korumaya ihtiyaç duyulan bir alan vardır ki onlarda özel nitelikli kişisel verilerdir. Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir. Bu veriler ise, yukarıda bahsedilenin aksine kanunda sınırlı olarak sayılmıştır. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Bunların arttırılması da, özel nitelikli veri olmaktan çıkarılması da mümkün değildir. Bu verilerin işlenmesi ise kanunen gerekli görülen hallerde işlenebilir. Bu hallerin dışında ise ancak kişilerin açık rızası ile mümkün olmaktadır.
Genel olarak özellikle şirketlerde kişisel verilerin işlenmediğine dair inanç bulunmaktadır. Fakat işe alımlarda alınan özgeçmişler dahi kişisel veri kapsamındadır. Bu özgeçmişin şirket çalışanları ile paylaşılması veya işe alınmadığı halde imha edilmemesi kişisel verilerin korunmasının ihlali anlamına gelecektir.
Kanun yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’ den çok olan şirketlerin bu yılın sonu olan 31.12.2019 tarihine kadar VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) sistemine kayıt olması gerekmektedir. Kayıt olunmaması halinde 20.000-TL’den 1.000.000-TL’ye kadar ceza verilmesi öngörülüyor.
Kurul kişisel verilerle ilgili TCK yani suç boyutundan ayrı olarak yükümlülüklerin ihlali halinde idari para cezaları veriyor. Bu cezalar ise,
Aydınlatma yükümlülüğünü yerine getirmezse; 5.000-TL’den 100.000-TL’ye kadar,
Veri güvenliğine ilişkin yükümlülükleri yerine getirmezse; 15.000-TL’den 1.000.000-TL’ye kadar,
Kurul tarafından verilen kararları yerine getirmezse; 25.000-TL’den 1.000.000-TL’ye kadar,
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünü yerine getirmezse; 20.000-TL’den 1.000.000-TL’ye kadar Kurul, şirketteki veri ihlalinin boyutu doğrultusunda yukarıdaki belirlenen asgari azami sınırlar doğrultusunda idari para cezası verecektir.