İşverenlerin 2020 Temmuz ayına kadar hazırlıklarını tamamlamaları gereken önemli bir husus var. Nitekim daha önceden birkaç kez ertelenen VERBİS kaydı 30.06.2020 tarihine kadar tamamlanmış olmalı. Buna göre, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik veri sorumlularının, yeni bir erteleme olmazsa 30.06.2020 tarihine kadar sisteme kaydolmaları gerekiyor.
VERBİS’e kayıt konusunun iyi anlaşılması açısından daha önceden “10 Soruda Veri Sorumluları Siciline Kayıt” başlıklı yazımızı paylaşmıştık. Bu yazımızda ise VERBİS’e kayıt ve kişisel verileri koruma konusunda kafalara takılan birkaç sorunun cevabını vereceğiz.
Tüzel Kişilikler Veri Sorumlusu Olarak Kimi Görevlendirmeli?
Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Buna göre veri sorumlusu ifadesi ile, kişisel veri işleme faaliyetini gerçekleştiren bir görevli, çalışan, yönetici veya bu faaliyetten sorumlu olan bir gerçek kişi kastedilmemektedir.
Kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir tüzel kişi (örneğin bir şirket) nezdinde gerçekleştirilmesi halinde veri sorumlusu, tüzel kişinin bizzat kendisidir. Benzer şekilde, kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir gerçek kişi (örneğin eczane) adına işlenmesi halinde de bu gerçek kişi veri sorumlusudur.
Dolayısıyla bir tüzel kişinin bir “veri sorumlusu” belirlemesi gibi bir durum söz konusu değil. Zira tüzel kişilikte veri sorumlusu, tüzel kişiliğin bizzat kendisidir. Nitekim Veri Sorumluları Sicili Hakkında Yönetmeliğin 11. maddesinde tüzel kişilerde veri sorumlusunun, tüzel kişiliğin kendisi olduğu, tüzel kişiliğin Kanunun uygulanması bakımından bir veya birden fazla kişiyi görevlendirebileceği, bu görevlendirmenin tüzel kişiliğin sorumluluğunu ortadan kaldırmayacağı belirtilmiştir.
Ayrıca bağlı şirketlerin her biri, kişisel veri işleme amaç ve vasıtalarını kendileri belirliyorsa ve bir veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlularsa, Kanuna göre veri sorumlusu statüsüne sahip olacaklardır.
Tüzel Kişilerde Veri İşleyen Kimdir?
Burada bilinmesi gereken bir diğer husus ise bir şirketin çalışanları veya alt birimlerinin “veri işleyen” olmadığıdır. Kanunda “veri işleyen”; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır.
Buna göre, veri işleyen mutlaka veri sorumlusunun bünyesi dışında olmalıdır. Bu nedenle şirket çalışanları veya şirketin kişisel veri işlemekte olan ilgili birimi, veri işleyen olarak nitelendirilemez.
Bunula birlikte, kişisel verisi işlenen ilgili kişi, Kanun kapsamındaki haklarına ilişkin olarak veri işleyene değil, veri sorumlusuna başvurmalıdır. Nitekim kişisel verilerin doğru ve gerektiğinde güncel olması hususunda yükümlülük veri sorumlusundadır.
Kişisel Verilerin Korunmasında Sorumluluk, Veri Sorumlusunda mı Veri İşleyende mi?
Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, veri sorumlusu, söz konusu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Ayrıca, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri işleyen de veri sorumlusu ile birlikte sorumludur.
Veri işleme faaliyeti kapsamında bir ihlal olması halinde, bu ihlalin veri sorumlusu veya veri işleyen tarafından gerçekleştirilip gerçekleştirilmediğine bakılmaksızın, Kanun sorumluluğu veri sorumlusuna yüklemiştir. Dolayısıyla Kanun, ihlalden sorumlu olarak her zaman veri sorumlusunu görmektedir. Ancak veri sorumlusunun, bu ihlalin veri işleyen tarafından gerçekleştirildiğini tespit etmesi durumunda, aralarındaki sözleşme gereği ihlalin veri işleyeni ilgilendiren kısmı ile ilgili olarak veri işleyene rücu edebilmesi mümkündür.
Kişisel Sağlık Verilerinde Durum Nedir?
Öncelikle belirtmek gerekir ki Veri Sorumluları Siciline kayıt yükümlülüğü yerine getirilirken, Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) ilgili kişilerin kişisel verilerine ait bilgi girişi yapılmamaktadır. VERBİS’e, kişisel verilerin hangi amaçlarla işleneceği, ne kadar süreyle muhafaza edileceği, nerelere aktarılabileceği ve alınacak güvenlik tedbirleri gibi bilgiler kategorik bazda girilecektir. Dolayısıyla VERBİS, ilgili kişilere ait kişisel veri barındırmamaktadır.
Kişisel verilerin işlenmesinde kişisel sağlık verilerinin ayrı bir yeri ve önemi vardır. Nitekim kişisel sağlık verileri, KVKK 5. maddesinde sayılan işleme şartlarına göre işlenemez. Dolayısıyla, kişisel sağlık verilerinin işlenebilmesi için, özel nitelikli kişisel verilerin işlenme şartlarının belirlendiği 6. madde hükmü dikkate alınmalıdır. Ayrıca kişisel sağlık verileri, veri sorumlusunun meşru menfaati kapsamında da işlenemez.
Buna göre sağlık verilerinin işlenebilmesi için kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleniyor olması veya ilgili kişinin açık rızasının alınması gerekmektedir.
VERBİS’e kayıt konusunun iyi anlaşılması açısından daha önceden “10 Soruda Veri Sorumluları Siciline Kayıt” başlıklı yazımızı paylaşmıştık. Bu yazımızda ise VERBİS’e kayıt ve kişisel verileri koruma konusunda kafalara takılan birkaç sorunun cevabını vereceğiz.
Tüzel Kişilikler Veri Sorumlusu Olarak Kimi Görevlendirmeli?
Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Buna göre veri sorumlusu ifadesi ile, kişisel veri işleme faaliyetini gerçekleştiren bir görevli, çalışan, yönetici veya bu faaliyetten sorumlu olan bir gerçek kişi kastedilmemektedir.
Kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir tüzel kişi (örneğin bir şirket) nezdinde gerçekleştirilmesi halinde veri sorumlusu, tüzel kişinin bizzat kendisidir. Benzer şekilde, kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir gerçek kişi (örneğin eczane) adına işlenmesi halinde de bu gerçek kişi veri sorumlusudur.
Dolayısıyla bir tüzel kişinin bir “veri sorumlusu” belirlemesi gibi bir durum söz konusu değil. Zira tüzel kişilikte veri sorumlusu, tüzel kişiliğin bizzat kendisidir. Nitekim Veri Sorumluları Sicili Hakkında Yönetmeliğin 11. maddesinde tüzel kişilerde veri sorumlusunun, tüzel kişiliğin kendisi olduğu, tüzel kişiliğin Kanunun uygulanması bakımından bir veya birden fazla kişiyi görevlendirebileceği, bu görevlendirmenin tüzel kişiliğin sorumluluğunu ortadan kaldırmayacağı belirtilmiştir.
Ayrıca bağlı şirketlerin her biri, kişisel veri işleme amaç ve vasıtalarını kendileri belirliyorsa ve bir veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlularsa, Kanuna göre veri sorumlusu statüsüne sahip olacaklardır.
Tüzel Kişilerde Veri İşleyen Kimdir?
Burada bilinmesi gereken bir diğer husus ise bir şirketin çalışanları veya alt birimlerinin “veri işleyen” olmadığıdır. Kanunda “veri işleyen”; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır.
Buna göre, veri işleyen mutlaka veri sorumlusunun bünyesi dışında olmalıdır. Bu nedenle şirket çalışanları veya şirketin kişisel veri işlemekte olan ilgili birimi, veri işleyen olarak nitelendirilemez.
Bunula birlikte, kişisel verisi işlenen ilgili kişi, Kanun kapsamındaki haklarına ilişkin olarak veri işleyene değil, veri sorumlusuna başvurmalıdır. Nitekim kişisel verilerin doğru ve gerektiğinde güncel olması hususunda yükümlülük veri sorumlusundadır.
Kişisel Verilerin Korunmasında Sorumluluk, Veri Sorumlusunda mı Veri İşleyende mi?
Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, veri sorumlusu, söz konusu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Ayrıca, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri işleyen de veri sorumlusu ile birlikte sorumludur.
Veri işleme faaliyeti kapsamında bir ihlal olması halinde, bu ihlalin veri sorumlusu veya veri işleyen tarafından gerçekleştirilip gerçekleştirilmediğine bakılmaksızın, Kanun sorumluluğu veri sorumlusuna yüklemiştir. Dolayısıyla Kanun, ihlalden sorumlu olarak her zaman veri sorumlusunu görmektedir. Ancak veri sorumlusunun, bu ihlalin veri işleyen tarafından gerçekleştirildiğini tespit etmesi durumunda, aralarındaki sözleşme gereği ihlalin veri işleyeni ilgilendiren kısmı ile ilgili olarak veri işleyene rücu edebilmesi mümkündür.
Kişisel Sağlık Verilerinde Durum Nedir?
Öncelikle belirtmek gerekir ki Veri Sorumluları Siciline kayıt yükümlülüğü yerine getirilirken, Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) ilgili kişilerin kişisel verilerine ait bilgi girişi yapılmamaktadır. VERBİS’e, kişisel verilerin hangi amaçlarla işleneceği, ne kadar süreyle muhafaza edileceği, nerelere aktarılabileceği ve alınacak güvenlik tedbirleri gibi bilgiler kategorik bazda girilecektir. Dolayısıyla VERBİS, ilgili kişilere ait kişisel veri barındırmamaktadır.
Kişisel verilerin işlenmesinde kişisel sağlık verilerinin ayrı bir yeri ve önemi vardır. Nitekim kişisel sağlık verileri, KVKK 5. maddesinde sayılan işleme şartlarına göre işlenemez. Dolayısıyla, kişisel sağlık verilerinin işlenebilmesi için, özel nitelikli kişisel verilerin işlenme şartlarının belirlendiği 6. madde hükmü dikkate alınmalıdır. Ayrıca kişisel sağlık verileri, veri sorumlusunun meşru menfaati kapsamında da işlenemez.
Buna göre sağlık verilerinin işlenebilmesi için kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleniyor olması veya ilgili kişinin açık rızasının alınması gerekmektedir.
22.06.2020
Dr. Mehmet BULUT
İş ve Sosyal Güvenlik Uzmanı
Dr. Mehmet BULUT
İş ve Sosyal Güvenlik Uzmanı
