AB Genel Veri Koruma Tüzüğü ve Kişisel Verilen Korunması Kanunu

Filiz Akman

AB GENEL VERİ KORUMA TÜZÜĞÜ VE KİŞİSEL VERİLERİN KORUNMASI KANUNU

 

Dilanur Çetinkaya

ÖZET

Teknolojinin gelişmesiyle küresel anlamda iletişimin yaygınlaşması kişisel verilerin toplanması, işlenmesi ve aktarılmasını kolaylaştırmıştır. Kişisel verilerin, her bireyin maddi ve manevi varlığının bir parçası olarak kabul edilmesiyle birlikte her veri korunmaya değer bir varlık haline gelmiştir. Hem sanal ortamda hem de fiziki ortamda korunması amaçlanan kişisel veriler çıkarılan düzenlemelerle hukuki koruma altına alınmıştır. Bu çalışmamızda AB Genel Veri Koruma Tüzüğü (GDPR) ve Kişisel Verilerin Korunması Kanunu (KVKK) hakkında genel bilgilere yer verilecektir.

1.GİRİŞ

Veri işleme teknolojisinde meydana gelen gelişmeler nedeniyle 3. kişilere tevdi edilen verilerin kontrolü konusundaki tereddütler giderek artarken söz konusu kişisel verilerin ticari amaçlarla kullanımının yaygınlaşması kişisel verilen korunması alanında kanunlaşma ihtiyacını ortaya çıkarmıştır. Avrupa Birliği’nde 1995 yılında Veri Koruma Direktifi çıkarılmasıyla başlayan kanunlaşma süreci Türkiye’de 2004 yılında Türk Ceza Kanunumuzda yapılan değişiklikle başlamıştır. Günümüzde 2016 yılında yürürlüğe giren Avrupa Birliği’nin AB Genel Veri Koruma Tüzüğü ve ülkemizin Kişisel Verilerin Korunması Kanunu ile son düzenlemeler yapılmıştır. Her iki mevzuat ana hatlarıyla benzer düzenlemeler içerse de farklılık arz eden noktaları da mevcuttur.   

2. AB GENEL VERİ KORUMA TÜZÜĞÜ

2.1. TARİHÇE

Avrupa Birliği’nde ilk olarak 1995 yılında yürürlüğe giren 95/46/AT sayılı AB veri Koruma Direktifi ile kişisel veri alanında hukuki koruma sağlanmıştır. Direktif kişisel verilerin kazara kaybını, yetkisiz kişilerin eline geçmesini ve bu kişilerce yasa dışı bir biçimde imha edilmesini önlemek amacıyla uygun teknik ve kurumsal önlemlerin alınmasına yönelik hükümler içermektedir.[1] AB Direktifi; genel hükümler, kişisel verilerin işlenmesinin yasallığı, yargı yolları, sorumluluk ve müeyyideler, kişisel verilerin üçüncü ülkelere transferi, etik kurallar, denetleyici makam, çalışma grubu ve son olarak Birlik uygulama önlemlerini içeren yedi bölüme ayrılmakta ve toplam otuz dört maddeden oluşmaktadır.[2] Direktif, gelişen teknoloji ve AB hukuku bakımından direktiflerin doğrudan bağlayıcı olmaması sebebiyle 2012 yılı Ocak ayı itibarıyla Avrupa Komisyonu tarafından, AB üye ülkelerinde uygulanmakta olan veri koruma kurallarında kapsamlı bir reforma gidilmesi önerilmiştir. Bu reform ile hem üye ülkeler için bağlayıcı hem de daha geniş kapsamlı bir tüzük çıkarılması amaçlanmıştır. Bu doğrultuda 2015 tarihinde Avrupa Parlamentosu, AB konseyi ve komisyonu arasında tüm AB genelinde veri koruma hukukunun temel çerçevesini belirleyen modern ve uyumlu yeni veri koruma kurallarının kabulü konusunda anlaşmaya varılmıştır. 24 Mayıs 2016 yılında ise AB Genel Veri Koruma Tüzüğü (GDPR- General Data Protection Regulation) yürürlüğe girmiş, uygulanmaya başlama tarihi 25 mayıs 2018 olarak belirlenmiştir.[3] GDPR 11 kısım ve 99 maddeden oluşmakta olup üye devletler için genel kuralları belirlemiştir. Üye devletler bu kurallara aykırı olmamak kaydıyla kendi yerel mevzuatlarında daha ağır yükümlülükler getirebilmektedir.

2.2. TÜZÜĞÜN KONUSU VE UYGULAMA ALANI

Tüzüğün konusu kişisel verilerin korunmasıdır ve temelinde kişisel verilerin korunması hakkı vardır. Tüzük sadece gerçek kişilerin verilerini korumaktadır, bu anlamda tüzel kişilerin verilerinin korunması tüzük kapsamında değildir.[4] Bu tüzük verilerin toplanmasını, depolanmasını, işlenmesini veya aktarılmasını yasaklamamakta veya sınırlandırmamaktadır, sadece bu işlemlerin hukuka uygun yollarla gerçekleştirilmesini sağlamaktadır. Tüzüğün uygulama alanı araç, konu ve kişi bakımından ayrı ayrı belirlenmiştir. Tüzüğün uygulanabilmesi için iki araç öngörülmüştür, ya verilerin kısmen veya tamamen otomatik araçlarla işlenmesi gerekir ya da otomatik araçlar haricinde işlenen ve dosyalayabilen bir sistemin parçası olması gerekmektedir.[5] Yani elektronik ortamda işlenen her bilgi ile elektronik ortamda işlenmeyen ancak dosyalanan her bilgi bu tüzük kapsamında korunmaktadır. Örneğin ziyaretçi bilgilerinin defterde tutulduğu bir işyeri bu bilgiler bakımından Tüzüğü uygulamakla yükümlüdür ancak bilgilerin sadece not alınıp ziyaretçinin çıkması ile imha edilmesi halinde dosyalayabilme özelliği bulunmadığından Tüzüğün uygulama alanında değildir. Tüzük, verilerin konusu bakımından da ayrım yapmaktadır. Tüzük, AB sınırları dışında yapılan işlemler, AB’ce belirlenen bazı faaliyetler (Avrupa Birliği Antlaşması’nın V. Başlığının 2. Bölümü kapsamına giren faaliyetler), kişisel ve ailevi işlemler ve yetkili makamlar tarafından kamu güvenliğini sağlamak amacıyla ceza hukuku alanında yapılan işlemleri uygulama alanı dışında tutmuştur. Tüzüğün uygulandığı kişiler ise ayrı bir madde ile belirlenmiştir. Tüzük, merkezi AB sınırlarında bulunan şirketlerin işlediği veriler bakımından işlemin yapıldığı yere bakılmaksızın, merkezi AB sınırları dışında bulunsa dahi AB sınırları içinde bulunan kişilerle işlem yapan şirketler faaliyetlerinde AB sınırları içinde bulunan kişilere mal veya hizmet sağlıyorsa veya faaliyet işlemleri birlik sınırları içinde gerçekleştiriliyorsa uygulanır. Ayrıca, merkezi birlik içinde olmayan şirketler için üye devlet hukukunun uygulandığı durumlarda Tüzük uygulanır.[6] Bu anlamda merkezi ülkemizde bulunan şirketler AB sınırları içinde bulunan kişilere mal veya hizmet sağlamak amacıyla bu kişilerin verilerini işliyorsa (örneğin; Türk Hava Yolları AB vatandaşlarına seyahat bileti satmaktadır.) Tüzüğe uymakla yükümlüdür. Aksi halde tüzükte belirtilen para cezalarından sorumlu olur.

2.3. VERİ İŞLEME ŞARTLARI

Tüzük, işlenen veriler bakımından uyulması gereken ilkeleri ve hukuka uygunluk sebeplerini belirlemiştir. Kişisel veriler hukuka uygunluk, adalet ve şeffaflık, amacın sınırlandırılması, verilerin en az seviyeye indirilmesi, doğruluk, saklama süresinin sınırlandırılması, bütünlük ve gizlilik, hesap verilebilirlik ilkelerine uygun bir şekilde işlenmelidir.[7] Bu ilkeler hukuka uygunluk sebebi ne olursa olsun gözetilmesi gereken ilkelerdir. Bu ilkelere uyulmadan işlenen veriler hukuka uygunluk sebebi olsa bile Tüzüğe aykırı olarak işlenmiş sayılır. Bu ilkelerle birlikte her verinin işlenebilmesi için hukuka uygun bir sebebinin olması gerekir. Bu sebepler Tüzükte sınırlı olarak belirlenmiştir, Tüzükte belirlenmeyen herhangi bir sebeple işlenen veriler Tüzüğe aykırı olarak işlenmiş kabul edilir. Hukuka uygunluk sebepleri; veri sahibinin rızası, veri sahibinin taraf olduğu bir sözleşmenin uygulanması veya bir sözleşme yapılmadan önce veri sahibinin talebiyle adımlar atılması için, işleme faaliyetinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesi için işleme faaliyetinin gerekli olması, veri sahibinin veya başka bir kişinin hayati faaliyetlerinin korunması için işleme faaliyetinin gerekli olması, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya veri sorumlusuna verilen resmi bir yetkinin uygulanması için işleme faaliyetinin gerekli olması, veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için işleme faaliyetinin gerekli olmasıdır.[8] Üye devletler Tüzükte belirlenmiş olan veri işleme şartlarına daha ağır şartlar getirebilirler. Hukuki yükümlülüklerin söz konusu olması halinde Birlik hukuku veya her üyenin kendi yerel mevzuatı esas alınır. Özel nitelikli kişisel veri olarak belirlenmiş veriler (ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin veriler) ise ancak sınırlı hukuka uygunluk sebepleriyle işlenebilir.

2.4.VERİ SAHİBİNİN HAKLARI

Tüzük kapsamında veri sahiplerinin hakları mevcuttur, söz konusu haklar veri sahipleri açısından hak olmakla birlikte veri sorumluları bakımından yükümlülük teşkil etmektedir. Kişisel verilere erişim hakkı, verileri düzeltme hakkı, verileri silme ve unutulma hakkı, işleme faaliyetini kısıtlama hakkı, veri taşınabilirliği hakkı ve itiraz hakkıdır.[9] Veri sahibine bu hakları veren AB olduğu gibi üye devletler kendi mevzuatlarına dayanarak bu hakları kısıtlayabilir. Milli güvenlik, savunma, kamu güvenliği başta olmak üzere Tüzüğün 22. maddesinde sayılan şartların tam olması halinde gerekli ve orantılı bir şekilde haklar kısıtlanabilir.

2.5.VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

Öncelikle veri sorumluları işleme faaliyetlerinin bu Tüzük uyarınca gerçekleştirilmesini sağlamakla yükümlüdür. Veri sorumluları çeşitli olasılıkları ve riskleri dikkate alarak veri sahiplerinin haklarını korur ve veri koruma ilkelerinin etkili bir şekilde uygulanmasını sağlar. Verilerin toplanmasıyla birlikte veri sahiplerine haklarına ilişkin bilgilendirme ve bildirim yapma ile düzeltme, silme, kısıtlama halinde bildirim yapma yükümlülüğü altındadır. Her veri sorumlusu işleme faaliyetlerine ilişkin kayıtları tutmalıdır. Veri sorumluları uygun bir güvenlik seviyesi sağlayabilmek için teknik ve idari tedbirleri almalıdır (TOM’S – Technical and organisational measures). Bir ihlalin gerçekleştiğini öğrenmesi halinde denetim makamına bildirimde bulunmalıdır. İhlalin, ilgili kişinin hak ve özgürlükleri  açısından riske sebebiyet veriyorsa ihlal ilgili kişiye de bildirilmelidir. İşleme faaliyetinin kişilerin hakları ve özgürlükleri açısından yüksek risk oluşturuyorsa kendi içinde veri koruma etki değerlendirmesi yapmalıdır. Bu hallerde işleme faaliyetinden önce denetim makamına da danışılır. Tüzükte belirlenen özel durumlarda veri sorumluları kendi içinde bir veri koruma görevlisi (DPO- Data Protector Officer) atamalıdır. Veri koruma görevlisinin belirlenmesi ülkemizdeki kişisel veri koruma sisteminden oldukça farklıdır. Veri sorumluları, (1) kendi yargı çevresi dışında işleme faaliyeti gösteren bir kamu kuruluşuysa, (2) düzenli ve sistemiatik bir şekilde büyük çaplı işleme faaliyetleri gerçekleştiriliyorsa, (3) temel faaliyeti özel nitelikli kişisel verilerin büyük çaplı olarak işlenmesi hallerinde kendi bünyelerinde çalışan bir veri koruma görevlisi belirlemelidir. [10] Almanya’nın Federal Veri Koruma Yasası (BDSG- Bundesdatenschutzgesetz) büyük çaplı işleme faaliyetlerine bir sınır getirmiş ve 20 kişisen fazla çalışan işyerlerinde veri koruma görevlisi atanmasını zorunlu kılmıştır. [11] Bu nedenle Almanya’da GDPR’a tabi olan ve 20 kişiden fazla çalışan işyerlerinde kendi bünyelerinde istihdam edilen veya dışarıdan destek alınan bir veri koruma görevlisinin bulunması zorunludur.

2.6.TAZMİNAT VE CEZALAR

Tüzüğe ilişkin bir ihlal sonucu maddi veya manevi zarar gören herhangi bir kişi, yaşanan zarara ilişkin olarak veri sorumlusundan tazminat alma hakkına sahiptir. Birden çok veri sorumlusu olması halinde aralarında müteselsil sorumluluk söz konusudur. Tazminat davalarında yetkili mahkeme veri sorumlusunun bir işletmesinin bulunduğu üye devletin mahkemelerinde açılır. Alternatif olarak, veri sorumlusunun bir üye devletin kamu yetkilerinin kullanımı ile ilgili olarak hareket eden bir kamu kuruluşu olması haricinde, böylesi davalar veri sahibinin mutat meskeninin bulunduğu üye devletin mahkemelerinde açılabilir. İdari para cezaları ise ihlal edilen maddelere göre değişiklik göstermektedir. Bazı hallerde 10.000.00 Euro veya veri sorumlusunun dünya çapındaki cirosunun %2’sine kadar, bazı hallerde ise 20.000.00 Euro veya veri sorumlusunun dünya çapındaki cirosunun %4’üne kadar idari para cezası verilmektedir.

3. KİŞİSEL VERİLERİN KORUNMASI KANUNU

3.1. TARİHÇE

Türk mevzuatında Anayasa’nın 17.maddesiyle dolaylı bir şekilde korunan kişisel veriler, son                                                       yıllarda meydana gelen teknolojik gelişmelerle birlikte veri ihlallerinin artması sonucu kişisel verilerin  korunması konusu hukuki bir sorun olarak kendini göstermeye başlamıştır. Kişisel Verilerin Korunması Kanunu ile Anayasa’da yer alan bir hak korunmaya çalışılmıştır. Anayasamızda genel bir şekilde ele alınan bu hak kanun ile detaylı bir şekilde düzenlenmiştir. Ülkemizi kişisel verilerin korunmasına yönelik kanuni bir düzenleme hazırlamaya yönelten asıl etken toplumun ihtiyacı değil uluslararası alanda yaşanan olumsuzluklardır. Ülkemizle ilgili devam etmekte olan Avrupa Birliği’ne tam üyelik sürecinde müzakere fasıllarından dördü doğrudan kişisel verilerin korunması ile ilgilidir. Avrupa Birliği ülkemizle ilgili olarak hazırladığı ilerleme raporlarında kişisel verilerin korunmasına dair ulusal mevzuata olan ihtiyacı vurgulamıştır. Ayrıca, kanuni bir düzenlemenin olmaması EUROPOL (AB güvenlik birimi) ve EUROJUST (AB yargı birimi) ile ülkemiz arasında elektronik veri paylaşımı noktasında sıkıntılara sebep olmuştur. Bununla birlikte yabancı sermaye bakımından kanuni düzenleme bulunmaması ülkemize yatırım yapılması konusunda caydırıcı olmuştur.[12] Bu sebeplerle, kişisel veri konusunda Türkiye’de doğrudan düzenleme yapılması ihtiyacı ortaya çıkmıştır . Kişisel verilerin korunması hakkı 3 aşamada doğrudan düzenlemeye kavuşmuştur; (1) 2004 yılında TCK’ya eklenen 135-140 arası maddeler, (2) 2010 yılında 5982 sayılı kanunla yapılan Anayasa değişikliği ile Anayasa’nın 20.maddesine eklenen fıkra, (3) 2016 yılında çıkarılan Kişisel Verilerin Korunması Kanunu. Kanunumuz 07.04.2016 tarihinde Resmi Gazete’de yayımlamıştır. Kanunumuzun bazı maddeleri yayım tarihinden 6 ay sonra, bazı maddeleri ise yayım tarihinde yürürlüğe girmiştir.

3.2. KANUNUN UYGULANMA ALANI

            Kanunumuz uygulama alanı bakımından GDPR’a benzer şekilde araç ve konu ayrımı yapmıştır. Kanunumuz gerçek kişilerin verilerini korumaktadır ve verilerin tamamen veya kısmen otomatik olan yollarla veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi hallerinde uygulanır. Veri sorumlusu hem gerçek hem de tüzel kişi olabilir. Konu bakımından uygulama alanı ise Kanunun 28.maddesinde istisnalar başlığı altında düzenlenmiştir. KVKK 28. maddesine göre; kişilerin tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi, kişisel verilerin anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi, kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi, kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği sağlamaya yönelik olarak kanunda görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi, kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi hallerinde kanun hükümleri uygulanmaz.

3.3. VERİ İŞLEME ŞARTLARI

GDPR’da olduğu gibi Kanunumuzda da belli ilkeler ve hukuki sebepler belirlenmiştir. Bu ilkeler ışığında belirlenen hukuki sebeplere dayanarak veriler işlenmektedir. Kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması zorunludur. Kanunumuzda hukuki sebepler ise GDPR’dan farklı olarak düzenlenmiştir. Verilerin açık rıza olmaksızın işlenemeyeceği düzenlenmiş, belli hallerin varlığı halinde rıza alınmaksızın işlenebileceği belirtilmiştir. GDPR’da ise rıza olmadan işlenemez ifadesi yer almamakla birlikte rıza sadece işleme şartlarından biri olarak ele alınmıştır. Kanunlarda açıkça öngörülmüş olması, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde rıza aranmaksızın veri işlenebilir. Özel nitelikli kişisel verileri bakımından ise daha kısıtlayıcı hukuki sebepler getirilmiştir. Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sayma yoluyla belirlenmiş olup, bu şartlar genişletilemez.[13]    

3.4. VERİ SAHİBİNİN HAKLARI

                Veri sahipleri veri sorumlularına başvurarak kendisiyle ilgili kişisel verilerinin işlenip işlenmediğini öğrenme, işlenen verilerine ilişkin bilgi talep etme, verilerinin işleme amacına uygun kullanılıp kullanılmadığını öğrenme, kişisel verilerinin aktarıldığı 3. Kişileri öğrenme, kişisel verilerinin düzeltilmesini isteme, kişisel verilerinin silinmesini veya yok edilmesini isteme, düzeltilme veya silme hallerinin 3. Kişilere bildirilmesini isteme, işlenen verilerin otomatik sistemler vasıtasıyla analiz edilmesi halinde kişinin kendi aleyhine çıkan bir sonuca itiraz etme ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme (tazminat) haklarına sahiptir.

3.5. VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

                Veri sorumlusu veri sahiplerini işlediği kişisel verilerle ilgili aydınlatma yükümlülüğü altındadır. Aydınlatma yükümlülüğü işlenen kişisel verilerle ilgili bilgilendirmeyi ifade eder ve işleme faaliyetinin hukuka uygun olması için bir şarttır.[14] Bu veri sorumlusu açısından yükümlülük olmakla birlikte veri sahibi açısından bir haktır. Ayrıca veri sorumlusu kişisel verilerin korunması amacıyla teknik ve idari tedbirleri almak zorundadır. Veri sorumluları kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamaz, bu yükümlülük veri sorumlularının görevden ayrılmalarından sonra da devam eder. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde ilgili kişiye ve Kişisel Verileri Koruma Kuruluna bildirilmesi gerekmektedir. Ayrıca Kanunumuz, Avrupa Birliği’nin veri koruma sisteminden çok farklı olarak Veri Sorumluları Siciline kayıt yükümlülüğü getirmiştir. Kişisel Verileri Koruma Kurulu gözetiminde kamuya açık olarak Veri Sorumluları Sicili oluşturulmuştur. Kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce bu sicile kaydolmaları gerekmektedir. Kurul kararları ile sicile kayıt yükümlülüğüne istisna getirilmiştir. Bu kapsamda alınmış olan 2018/32 sayılı Kurul Kararı 15.05.2018 tarihli Resmi Gazete’de; 2018/68, 2018/75 ve 2018/87 sayılı Kurul Kararları ise 18.08.2018 tarihli Resmi Gazete’de yayımlanmıştır. Buna göre; Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, noterler, siyasi partiler, avukatlar, gümrük müşavirleri, arabulucular, serbest muhasebeci mali müşavirler ve yeminli mali müşavirler, dernekler, vakıflar ve yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan veri sorumluları Veri Sorumluları Siciline (VERBİS) kayıtla yükümlü tutulmamıştır. [15]

3.6. TAZMİNAT VE CEZALAR

                Kanunun 14. maddesinde açıkça tazminat hakkı düzenlenmiştir. Kişilik hakları ihlal edilenler genel hükümlere göre tazminat talep edebileceklerdir. Kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunumuzun 135-140 maddeleri uygulanmaktadır. Kanuna baktığımızda kişisel verilerin hukuka aykırı olarak kaydedilmesi, verilmesi, ele geçirilmesi ve verilerin yok edilmemesi suçları düzenlenmiştir. Şikayete tabi olarak düzenlenen bu suçlar için bir yıldan 4 yıla kadar hapis cezası öngörülmüştür. Para cezaları ise ihlal edilen kanun maddesine göre değişiklik göstermektedir. Aydınlatma yükümlülüğünü yerine getirmeyen veri sorumluları için 5.000-100.000 TL’ye kadar, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen veri sorumluları için 15.000-1.000.000 TL’ye kadar, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları için 20.000-1.000.000 TL’ye kadar idari para cezası kesilmektedir. İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri için uygulanmaktadır, kamu tüzel kişileri için ise işlemi yapan memur hakkında disiplin işlemleri uygulanmaktadır.

4.SONUÇ

Ülkemizde kişisel verilerin korunması alanında Avrupa Birliği ile paralel düzenlemelerin olduğu ortadadır. Ancak, KVKK’nın yapımı hazırlıklarında ve çıkarılmasında örnek olarak alınan düzenleme Avrupa Birliğinin 1995 yılında çıkarmış olduğu 95/46/AT sayılı AB Veri Koruma Direktifi’dir çünkü Kanunumuzun yürürlüğe girmesinden 2 ay sonra GDPR yürürlüğe girmiştir. Avrupa Birliğinde 1995 yılından beri bu alanda düzenlemelerin ve uygulamaların olması onlara tecrübe kazandırmıştır. Bu anlamda GDPR verilerin korunması alanında daha kapsamlı hükümler içerirken KVKK daha dar kapsamlı kalmıştır. İki düzenlemenin özünde aynı amaç bulunsa da detaylı olarak incelendiklerinde veri koruma sistemleri arasında farklılıklar mevcuttur. Bu sistemsel farklılığın temelinde kişisel verilerin korunması alanı hakkında ülkemizde toplumsal bilincin henüz oluşmaması, yeni bir alan olması ve toplumun ihtiyaçlarının bu yönde olmaması yatmaktadır. İlerleyen zamanlarda toplumumuzun bu alanı benimsemesi, kişisel verilerin işlenmesi ve paylaşılması konusunda hassasiyet göstermesi ve hukuki düzenlemelerin daha kapsamlı hale getirilmesi söz konusu olacaktır.