Kişisel Veri Nedir?
Bir bireyin etnik kökeni, politik düşünceleri, dini inançları, ticari ilişkileri ve üyelikleri, biyometrik datayı da kapsayan genetik verileri, sağlık bilgileri gibi tanımlanmasına katkı sağlayan önemli bilgiler kişisel veri olarak tanımlanmaktadır. Bu bağlamda bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgilerin yanı sıra aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veri sayılmaktadır.
KVKK’nın Getirdiği Düzenlemeler
6698 sayılı Kişisel Verilerin Korunması Kanunu, yukarıda tanımlanan kişisel verilerin sahibinin izni olmadan işlenmesini önleyecek düzenlemeler getirmektedir. Bu kanuna göre bireylerin izni olmadan verilerinin işlenmesi suç olarak değerlendirilmektedir.
İlgili kurumun bireyin iznini almak istemesi halinde hangi tür verileri alıp hangi amaçlarla kullanacağına dair açık ve anlaşılır şekilde bilgilendirme yapması gerekmektedir. Aynı zamanda bu bilgilendirme, verilerin kimlerle paylaşılacağı ve ne zamana kadar saklanacağı konularını da kapsamalıdır.
Bu düzenlemeyi yürütmek üzere oluşturulan Kişisel Verileri Koruma Kurulu verileri toplayan/işleyen kurumları 6698 sayılı KVK kanunu ile kayıt altına alıp düzenleyecek. Bilgilerini alıp işleyen/işleten kurumlar ile problem yaşayan veri sahipleri bu resmi kuruma başvurup şikâyette bulunabilecek. Bu kurul, yukarıda bir kısmı belirtilen kuralları uygulamayan kurumlara altı sıfırlı rakamlarla para cezası vermek ve hatta bazı durumlarda kusur, ihmal ve kötü niyet sahibi yetkililere hapis cezasının yolunu açmak gibi yaptırımları uygulama yetkisi olan bir kurum olarak tanımlanmaktadır.
KVKK Hangi Kurumları İlgilendiriyor?
Gerçek bir kişi ile bağlantısı kurulabilecek kişisel verileri alan ve saklayan her kurum bu kanunun kapsamına girmektedir. Bu nedenle bu tür süreçleri işleten kurumların kanuna uyum için bir dizi çalışma yapması gerekmektedir. Kurumların KVKK’ya uyum çerçevesinde yerine getirmekle yükümlü olduğu bu çalışmalardan biri Veri Sorumluları Sicil Bilgi Sistemi VERBİS’e kayıt olmaktır.
VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemi olarak tanımlanmaktadır. Kişisel Verileri Koruma Kanunu ile bağlantılı olarak veri işlemeye yetkili kurumların bilgi girişi yapmak için kullanmaları gereken Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kayıt sistemine ait yönetmelik 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede yayınlanarak 01.01.2018 tarihinde yürürlüğe girmiştir.
KVKK’nın 16. maddesine göre ve Veri Sorumluları Sicili Hakkında Yönetmeliği’ne göre Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce VERBİS’e kayıt yaparken aşağıdaki bilgileri girmek zorundadırlar:
– Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri
– Kişisel verilerin hangi amaçla işleneceği
– Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar
– Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
– Yabancı ülkelere aktarımı öngörülen kişisel veriler
– Kişisel veri güvenliğine ilişkin alınan tedbirler
– Kişisel verilerin işlendikleri amaç için gerekli olan azami süre
Kişisel Verileri Koruma Kurumu[1], VERBİS’e girilecek bilgilerin kesinlikle gerçek kişilere ait bilgiler olmayacağını kişisel verilerle ilgili sadece üst başlıklar halinde kategorik bazdaki bilgilerin sisteme girileceğini belirtiyor. Ayrıca sistemin kamuya açık tutulacağı ve vatandaşların veri sorumlularının girdiği bilgileri denetleyebileceği, amaç dışı kayıtların yapıldığını düşündükleri takdirde vatandaşların önce veri sorumlusuna alınan sonuca göre de Kişisel Verileri Koruma Kurumuna şikâyette bulunabilecekleri belirtiliyor. VERBİS’e girilen kayıtlar sayesinde herhangi bir şart olmadığı halde kişisel verileri işleyen veri sorumlularının tespit edilmesi ve gerekli önlemlerin uygulanması kolaylaşmaktadır.