Kişisel verilerin korunması

BÖLÜM 1

Dünya’nın gündemine oturan bir kavram “kişisel verilerin korunması”, herkes bunu konuşuyor, biliyor, öğretiyor ve bir diğerine akıl veriyor. Ancak, 27 Aralık 2019 tarihli 2109/387 sayılı Kişisel Verilerin Koruma Kurulu’nun (“Kurul”) Kararı’na (“Kurul Kararı”) bakılırsa, maalesef ki çoğumuz eksik veya yanlış biliyor.

Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 2016 yılında yürürlüğe girmesinden itibaren, özellikle kişisel verileri işleyen şirketleri haklı bir telaş sardı. Kişisel veri kavramı ne demektir bilmezken, Kurul tarafından gelebilecek herhangi yüklü idari veya cezai yaptırıma karşı önlemler alınmaya çalışılıyor. Ancak, bahsettiğim Kurul Kararı’na bakılırsa acelece alınan önlemlerinde yeterli olmadığını görüyoruz. Nedir bu karar bakalım. Karar, Veri Sorumluları Sicil Bilgi Sistemi’ne (“VERBİS”) kayıt yükümlülüğü kapsamı hakkındadır. Tabi, önce kimler bu kayıt yükümlülüğünde anlamak için öncelikle bazı kavramları açmamız gerektiğini düşünüyorum. KVKK uyarınca, kişisel veri belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir. Kişisel veri, bireyin, şahsi, ailevi ve mesleki özelliklerini gösteren ve o bireyi diğerlerinden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Veri sorumlusu ise, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder, yani kişisel verileri işleyen şirketlerde bizatihi veri sorumlusu olup hukuki sorumluluğu doğacaktır. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak ve talimatları doğrultusunda onun adına kişisel verileri işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yaparak yetkilendirdiği ayrı bir gerçek veya tüzel kişidir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir reklam veya pazarlama şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu kısıtlı veriler bakımından ise veri işleyen olarak kabul edilebilecektir. Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyendir yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularını cevaplayandır.

Yazının ikinci bölümü 96. sayıda…

G. Begüm Kayum, Esq.
Kayum & Demir Avukatlık Ortaklığı – Yönetici Ortak Yeditepe Üniversitesi Hukuk Fakültesi Öğretim Üyesi

 

Bu yazı ilk olarak Campaign Türkiye 95. sayısında yayımlanmıştır.

Cevap bırakın

E-posta hesabınız yayımlanmayacak.