Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurt dışında yerleşik gerçek ve tüzel kişi veri sorumlularının sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31 Aralık'a kadar uzatılmıştır. Bu tarihe kadar kayıt olmayanlara KVKK tarafından 20 bin TL ile 1 milyon TL arasında değişen idari para cezası uygulanacak"
İzmir Perla Hukuk Bürosu Avukatlarından Emrah Altunç, kurum ve işletmelere Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt olma zorunluluğunu hatırlatarak, "Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurt dışında yerleşik gerçek ve tüzel kişi veri sorumlularının sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31 Aralık'a kadar uzatılmıştı. Bu tarihe kadar kayıt olmayanlara Kişisel Verileri Koruma Kurumu (KVKK) tarafından 20 bin TL ile 1 milyon TL arasında değişen idari para cezası uygulanacak." uyarısında bulundu.
Konuyla ilgili açıklama yapan Altunç, kişisel verilerin korunmasını isteme hakkının anayasal bir hak olduğunu söyledi.
Üç yıl önce yürürlüğe giren Kişisel Verilerin Korunması Kanunu'yla kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasa’da öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasının amaçlandığını anımsatan Altunç, "Veri işlemenin hukuka uygunluğunu denetleyebilmek, verilerin çalınması ve başkalarının eline geçmesi halinde veri sahibinin tedbir alabilmesi gibi amaçlarla faaliyetleri gereği kişisel verileri işlemek durumunda bulunan gerçek ve tüzel kişilerin veri işleme faaliyetlerini kayıt altında tutmak üzere KVKK nezdinde VERBİS oluşturulmuş ve Türkiye’de yerleşik olan olmayan gerçek ve tüzel kişilerin ve ayrıca kamu kurum ve kuruluşların bu kayıt sistemine kaydolması yasal zorunluluk haline gelmiştir." bilgilerini verdi.
Belirlenen son tarih 31 aralık 2019"
Kişilerin rızasıyla ve çeşitli amaçlarla elde edilen kişisel verilerin, bunu korumakla ve amaç hasıl olduğunda yok etmekle yükümlü olan veri sorumluları tarafından korunmasının, bu süreç içinde verilerin başkaları tarafından ele geçirilmesine mani olmanın önemine dikkati çeken Altunç, şöyle konuştu:
"Veri Sorumlularının işledikleri kişisel verilerin herhangi bir şekilde sızması, başkalarının eline geçmesi halinde bunu yasal süresi içinde kişisel verileri koruma kuruluna bildirmeleri ve gerekli önlemleri alması gerekmektedir. Kişisel verileri kaydeden kamu veya özel kuruluşların kanuna göre Kişisel Verileri Koruma Kurumu veri sorumluları siciline (VERBİS) kaydolmasından amaçlanan da budur.
Nitekim 3 Eylül 2019 tarihinde 2019/265 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurt dışında yerleşik gerçek ve tüzel kişi veri sorumlularının sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31 Aralık'a kadar uzatılmıştır. Bu tarihe kadar kayıt olmayanlara KVKK tarafından 20 bin TL ile 1 milyon TL arasında değişen idari para cezası uygulanacaktır. Sicile kaydolma zorunluluğu bakımından kamu kurumları için belirlenen son tarih ise 30 Haziran 2020'dir."
Kanuna göre veri sorumlusunun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ettiğini anlatan Altunç, "Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Örneğin, çalışanlarının bordro, özgeçmiş ve özlük dosyasını bulunduran bir şirket ya da müşterilerinin T.C vatandaşlık numarası, isim-soyisim, hesap numarası ve diğer verilerini kaydeden bir banka yahut e-ticaret şirketi gibi kurumlar olabilir." bilgilerini verdi.
"Cevaba göre kurula şikayet başvurusunda bulunulabilecek"
Altunç, "Daha önce 1 kez uzatılan bu sürenin bir daha uzatılmayacağı öngörüldüğünden yılbaşına kadar VERBİS kayıt sistemine kaydolmayan şirketleri ağır para cezaları beklemektedir." dedi.
Veri sorumlularının kayıt olmadan önce kişisel veri envanteri oluşturması, bu envantere göre sicile sunacağı bilgileri belirlemesi, irtibat kişisi ve veri işleyen gibi sorumluları belirlemesi gerektiğini anlatan Altunç, veri sorumlularının bu hususta bazı yazılımları edinmesi gerektiğinden uzmanlık gerektiren hukuk, yazılım ve siber güvenlik hizmetleri alması gerekebileceğini söyledi.
Bu nedenle VERBİS'e kayıt işlemlerinin son günlere bırakılmamasını tavsiye eden Altunç, şunları kaydetti:
"VERBİS kayıt sistemi kamuya açık olarak tutulmaktadır. Örneğin bir kişi, bir veri sorumlusu tarafından kendisiyle ilgili kişisel verinin kanunumuzda sayılan şartlar olmadığı halde işlendiğini düşünüyorsa bu durumda www.kvkk.gov.tr adresinde, VERBİS ana sayfa içerisindeki 'Sicil Sorgulama' bölümünden bunu görüntüleyebilecektir.
Bunun için, veri sorumlusunun ad/unvan bilgisini sisteme girmeli, eğer veri sorumlusu VERBİS’e kayıt olmuşsa buradan söz konusu kişisel veri kategorisini işleyip işlemediğini, işleme amacını, saklama süresini, aktarıma ilişkin hususları ve aldığı güvenlik tedbirlerini görebilecektir.
Veri sorumlusu bu kategoride bir veri işlediğini belirtmemişse veya işlendiği belirtilen veri kategorisinin işleme amacıyla örtüşmediğini düşünüyorsa bu durumda önce veri sorumlusuna başvuracak, veri sorumlusunun vereceği cevaba göre de gerek duyması halinde Kişisel Verileri Koruma Kurulu'na şikayet başvurusunda bulunulabilecektir."
"Kişisel verileri piyasada elden ele dolaştırılarak satılıyor"
Emrah Altunç, kişisel verilerin ilgisiz ve yetkisiz kişiler tarafından hukuka aykırı olarak kaydedilmesinin, ele geçirilmesinin, başkasına verilmesinin ve yayılmasının bir suç olduğunun toplum tarafından yeterince bilinmediğini ifade ederek, "Bugün için internet arama motorlarında halen ihtiyaca yönelik olarak toplu kişisel veri datası satan firmaların bulunduğuna şahit oluyoruz. Bunlar pek tabii Kişisel Verilerin Korunması Kanunu’nun uygulama alanına giriyor. Zira vatandaşlarımızın çoğunun rızası alınmadan kişisel verileri, örneğin telefon numaraları, daha önce ne tür tüketici alışkanlıkları olduğu, bir spor salonuna kaydolup kaydolmadığı gibi kişisel verileri piyasada elden ele dolaştırılarak satılıyor." değerlendirmesini yaptı.
Bu şirketlerin, kanunla getirilen ağır yaptırımlara rağmen "pazarlama listesi" adı altında kişisel verileri halen satabilmesinin, vatandaşların şikayet haklarını bilmemesi veya bilmesine rağmen uğraşmak istememesinden kaynaklandığını anlatan Altunç, şöyle konuştu:
"Oysa ki kurula yapılacak bir şikayetle, kişisel veri sahibinin verilerini 'açık rıza olmaksızın, ya da geçersiz rızayla' satan firmalar hakkında 1 milyon TL’ye kadar idari para cezası, Türk Ceza Kanunu’na göre 4 yıla kadar hapis cezası ve başvurusu halinde kişisel veri sahibi lehine tazminata hükmedilmesi gibi yaptırımlar uygulanabilir.
Pazarlanan bu datalar sayesinde vatandaşların telefonlarına ürün tanıtım mesajları ve reklamlar gönderiliyor. Hatta bu dataları satın alan kötü niyetli bazı insanlar dolandırıcılık faaliyetlerinde bu verileri kullanabiliyor. Dolayısıyla bu tarz reklam, tanıtım mesajları ve aramalarla karşılaşan vatandaşlarımızın konuya hassasiyet göstermeleri, telefon numaralarının nasıl elde edildiğini sorgulamaları ve arayan şirketin veri sorumlusuna itiraz ettikten sonra kurula şikayetini gerçekleştirmesi gerekir. Daha önemlisi kişisel verilerin kişilerin rızası olmadan işlenmesi, satılması gibi işlemler aynı zamanda suç olduğundan cumhuriyet savcılıklarına bu yönde suç duyurusunda bulunulması, ihlalde bulunan firmaların ve kişilerin azalmasına sebep olacaktır."
"Kanuna göre bir yıldan üç yıla kadar hapis cezası verilecek"
Altunç, kişilerin yönelimlerine göre ve şirketlerin pazarlama stratejileri ve ürün skalalarına uygun olarak tasniflendirilen bu kişisel verilerin 5 bin TL gibi cüzi fiyatlara satıldığını savunarak, "Orta ölçekli bir şirket için oldukça düşük olan bu ücret, aslında verilerin ne kadar çok şirkete satıldığını da bir anlamda gösteriyor." dedi.
Altunç vatandaşları kişisel verilerinin mahremiyeti konusunda uyararak, sözlerini şöyle tamamladı:
"Söz gelimi internetten bir ürün siparişi vereceksiniz ve bu hizmeti sağlayan şirket, alışveriş yapmanın ön şartı olarak size bir form doldurtuyor ve isim soyad, telefon numarası, e-posta adresi, ikametgah adresi gibi verilerinizi talep ediyor. Alışverişi gerçekleştirdikten sonra bu verilerin başka bir firmaya satılmasını ve söz gelimi siparişiniz bir giyim ürünü ise giyim firmalarının telefonunuzu ve e-posta adresinizi reklam yağmuruna tutmasını ister misiniz?
Yahut dermatolojik bir rahatsızlığınız nedeniyle özel bir kliniğe tedavi oldunuz. Bunun devamında ilaç ya da bakım ürünü satan firmaların bir şekilde kişisel verilerinizi elde edip sizinle bu sebeple iletişime geçmesi sizi rahatsız etmez mi ? Kuşkusuz bu son derece rahatsızlık verici olur.
İşte yasa koyucu da bu hususta, kanunda düzenleme yapmış ve Türk Ceza Kanunu’nunda bu ihlalleri yaptırıma bağlamıştır. Kanuna göre kişisel verileri hukuka aykırı olarak kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verileceği, kişisel verilerin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda ise verilecek cezanın yarı oranında arttırılacağını hükme bağlamıştır.
Yine kanuna göre kişisel verileri hukuka aykırı olarak başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile yargılanacaktır."