Bir mevzuat metninin en önemli kısmı kapsamı olsa gerekir. Çünkü böylece, metnin kimler hakkında tatbik edileceği anlaşılır. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun da elbette bir kapsamı vardır. Ancak bu kapsamın belirlenmesinde, aşağıda değineceğim nedenle, bir kafa karışıklığı olduğu görülüyor. O halde birlikte bakalım; KVKK kapsamı nedir ve kimleri kapsıyor?
KVKK Kanunu
Yukarıdaki ifadenin yanlış olduğunu biliyorum; ancak galat-ı meşhur haline gelen bu ifadeyi özellikle vurgulamak için kullanmayı tercih ettim.
Kişisel verilerin işlenmesiyle ilgili ana mevzuatımız 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur ve bu kanun, yazı içinde bundan sonra KVKK olarak adlandırılacaktır.
2016 yılında hayatımıza giren KVKK ile kişisel verilerin işlenmesi, muhafazası ve aktarımı kurallara bağlanmış olup özellikle VERBİS kaydı yükümlülüğü nedeniyle kanun, kamuoyunda uzun süre konuşulmuştur.
KVKK kapsamı nedir?
Bu sorunun cevabı o kadar kolay ve açıktır ki; bu yazıyı neden yazdığımı dahi düşünebilirsiniz. Önce gelin, KVKK kapsamının ne olduğuna Kanun’un 2nci maddesi içeriğinden bakalım:
Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
KVKK kapsamında kimler var?
Yukarıdaki kapsam maddesini ögelerine ayıracak olursak, aşağıda belirtilenlerin kanun kapsamında olduğunu söyleyebiliriz:
- Kişisel verileri işlenen GERÇEK kişiler
- Kişisel verileri tamamen ya da kısmen OTOMATİK yolla işleyen GERÇEK ve TÜZEK kişiler
- Kişisel verileri, OTOMATİK OLMASA BİLE, herhangi bir veri kayıt sisteminin parçası olarak işleyen GERÇEK ve TÜZEL kişiler
Mevzuat yazmanın zor taraflarından birisi de hukuki bir dille anlatmak zorunda olduğunuz şeyleri, aynı zamanda toplumun her kesiminin de kolayca anlamasını sağlamak zorunda olmaktır. Yukarıdaki hüküm, bu zorluğa güzel bir örnektir.
Çünkü ilk bakışta anlaşılması güçtür ve biraz daha açıklanması gerekir. O zaman başlıklar halinde, kapsama girenleri detaylandıralım.
Gerçek kişi
KVKK kapsamının birinci ve en önemli aktörü, kişisel verisi işlenen gerçek kişidir. O halde, kişisel verisi işlenen TÜZEL KİŞİ olsa bile, bunun kanun kapsamında yer alması mümkün değildir.
Kanunun tanımıyla; kişisel verisi işlenen kişi olan ilgili kişi ancak ve ancak gerçek kişi olabilir. Örneğin bir şirketin bilanço bilgisi ya da sahip olduğu menkul bilgileri kesinlikle kanun kapsamında değildir.
Fakat aynı şirketin öyle bir bilgisi olsa ki; bu bilgi bir gerçek kişiyi belirlenebilir kılsa ya da doğrudan belirlese, işte bu bilgi de yine gerçek kişiye ait olmak üzere kanun kapsamında yer alacaktır. Aşağıda bunlara ilişkin örnekleri bulabilirsiniz:
- Ahmet’in kredi kartı bilgileri kanun kapsamındadır.
- Ahmet’in ayakkabı numarası, boyu, göz rengi, sağlık geçmişi kanun kapsamındadır.
- X şirketinin telefon ve adres bilgileri kanun kapsamında değildir.
- X şirketinin banka hesap bilgileri kanun kapsamında değildir.
- X şirketinin, yönetici A’nın kişisel harcamalarını da içeren kredi kartı kullanım ekstresi, yönetici A bakımından kanun kapsamındadır.
Kişisel verilerin otomatik yollarla işlenmesi
Otomatik işleme kavramı ne mevzuatta ne de Kişisel Verileri Korumu Kurumu’nun web sitesinde özel olarak tanımlanmamıştır.
Bu nedenle tanımı, biraz da zorlayarak, bizzat yapmamız gerekir. Kanaatimce kişisel verilerin otomatik yollarla işlenmesi şöyle tanımlanabilir:
Kişisel verinin işlenmesinin, insan etkisinin asgari düzeyde tutularak gerçekleştirildiği; buna karşın bilgisayar, telefon, tablet, yüz ve parmak okuma sistemleri gibi yapay zeka veya çeşitli programlar yardımı ile yürütüldüğü veri işleme türüdür.
Bu tanım zorlama görünse de inanıyorum ki; otomatik işlemenin temel unsurlarını içeren bir tanım olarak kabul edilebilir.
O halde otomatik yollarla kişisel veri işlemeye şunlar örnek olarak verilebilir:
- İnternet sitesinde gezinti ve alışveriş yapılırken kişisel verilerin işlenmesi
- Cep telefonu ile çeşitli uygulamaların kullanımı sırasında kişisel veri işlenmesi
- Bankacılık işlemleri
- Seyahat biletleme işlemleri
- Bilgisayar kullanımı
Kişisel verilerin otomatik olmayan yollarla işlenmesi
Kapsamla ilgili maddede “herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi” ibaresi kullanılmıştır. O halde buradan, otomatik olmayan yollarla veri işlenmesi halinde bunun kapsam dışında olacağını; ancak bu otomatik olmayan yolla veri işleme faaliyetinin bir veri kayıt sisteminin parçası olması halinde kapsama gireceğini anlayabiliriz.
Bu karışık tanımlamayı şöyle açabiliriz:
- Otomatik olmayan yolla işlenen bir veri KURAL olarak kapsama girmez
- Ancak bu veri “bir veri kayıt sisteminin parçası” ise bu durumda kapsama girer.
Peki ama nedir bu veri kayıt sistemi? Yine Kanun’un 3üncü maddesine göre veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.
Bu durumda en doğrusu yine örnekler üzerinden gitmek olacaktır:
- Bir bakkal, borca malzeme verdiği mahallelisinin hesabını ELLE deftere yazmaktadır. Bu durumda kişisel verinin otomatik olmayan yolla işlendiği kesindir. Ancak bu veri, bir borç defterinin yani veri kayıt sisteminin parçasıdır. O halde bu bakkal, bu işlemi nedeniyle kanun kapsamındadır.
- Vatandaş Ahmet, çay ocağında birlikte oturup sohbet ettiği Hasan’ın çaycıya ne kadar borcu olduğunu bilmektedir. Hatta Hasan yanında o anda telefonu olmadığı için, borç miktarını telefonuna not almasını Ahmet’ten istemiştir. Ahmet de bu bilgiyi telefonuna kaydetmiştir. Ahmet Hasan’ın kişisel verisini otomatik olmayan bir yolla işlemiştir; fakat bunu bir veri kayıt sisteminin parçası olarak yapmamıştır. Bu nedenle, bu fiili nedeniyle kanun kapsamında değildir.
KVKK kapsamı ile VERBİS zorunluluğunun karıştırılması
Bu yazının yazılmasındaki ana amaç tam da bu karışıklığı ortadan kaldırmaktır. Çünkü uygulamada bir kısım ilgililer, VERBİS yükümlülüğünün olması ya da olmaması ile kanun kapsamına girip girmemeyi aynı görmektedir. Aksine bir kimse ya da tüzel kişi VERBİS yükümlüsü olmayabilir; fakat kanun kapsamında yer alabilir.
Uygulamada bir kafa karışıklığı sonucunda, “50 ve üstünde çalışanı olan” ya da “yıllık mali bilanço toplam 25 milyon TL’den çok olan” işyerlerinin kanun kapsamında olduğu düşünülmektedir.
Halbuki bu sınırlama, zorunlu VERBİS kaydıyla ilgilidir. “Veri sorumluları sicili” diye yeni bir sicil oluşturulmuş ve VERBİS olarak adlandırılan bu sicile bazılarının kayıt yaptırması zorunlu tutulmuştur.
İşte bu sicile kayıt zorunluluğuna istisna getirme yetkisi Kişisel Verileri Koruma Kuruluna verilmiş ve Kurul da 19/07/2018 tarih ve 2018/87 sayılı kararıyla “Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna” tutulmasına karar ver-miştir.
O halde 6698 sayılı Kanun kapsamında sorumluluk şöyle özetlenebilir:
- Türkiye’de bulunan ve kişisel veri işleyen HERKES ve HER KURULUŞ (yukarıda açıklanan otomatik olmayan veri işleme hariç) kanun kapsamındadır. Sadece 1 işçi çalıştıran ya da bizzat çalışan işyeri de avukat da mali müşavir de kapsama girmektedir. Özel sektör ve kamu sektörü ayrımı da yapılmamıştır.
- VERBİS’e kayıt yaptırmak zorunda olanlar ise “Yıllık çalışan sayısı 50 ve üstünde olan veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek veya tüzel kişiler” ile “Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler”dir.
Bunun haricinde elbette VERBİS ile ilgili başkaca istisnalar da vardır; fakat yazımızın konusu bu olmadığından, bu konuya girmiyorum. Yine de merak edenler, şu yazımıza göz atabilir: https://mustafabaysal.com/verbis-kaydi-nasil-yapilir/
SONUÇ
Çok basit gibi görünen “KVKK kapsamı” hakkında bu kadar kelam etmek ilk bakışta mantıki görünmese de; hem kapsamla ilgili tanımın detaylandırılması hem de VERBİS yükümlülüğü ile kapsamın birbirine karıştırılması nedeniyle, yazıyı uzatmak zorunda kaldım.
Genel bilgileri yukarıda vermiş olsam da son olarak özellikle hatırlatmak isterim ki; VERBİS kaydı yükümlülüğünün olmaması bir gerçek ya da tüzel kişiyi doğrudan kanun kapsamı dışına bırakmaz.
6698 sayılı Kanun’un 2nci maddesinde gösterilen tanıma girildiği müddetçe Kanun kapsamında yer alınacak ve KVKK’nın öngördüğü yükümlülükler aynen geçerli olacaktır.
Elinizde kolunuza sağlık hocam! KVKK için mükemmel bir kaynak hazırlamışsınız. Detaylandırmanız hayli açıklayıcı olmuş. Mazur görmenizi dileyerek bir soru sormak isterim. Özellikle, “KVKK kapsamı ile VERBİS zorunluluğunun karıştırılması” başlığına bağlı içeriği detaylıca okudum. Bu kapsamda; şartları sağlamıyorsak VERBİS kayıt zorunluluğumuz yok. Bunu doğru bir şekilde anlayabiliyoruz. Ancak, bireysel olarak (herhangi bir işletmeye tâbi olmadan) başlattığımız web projelerinde VERBİS dayanağı olmadan açıklayıcı bir aydınlatma metni ve buna bağlı veri işleme prosedürünü, ispat yükümlülüğü ile mi kapsama dahil olabiliriz? Yani, sorumluluğumuzu ispat yoluyla mı yerine getirebiliyoruz?
Emre bey merhaba, teşekkür ederim. VERBİS yükümlülüğünüz olmasa da işletme olmasanız da kâr amacı gütmeseniz de sonuç değişmez: 6698 sayılı Kanun kapsamında kişisel veri işliyorsanız, yükümlülükleriniz vakidir. İspat yükümlülüğü işe sorumluluğu yerine getirmekten ne kastettiğinizi anlayamadım.