Yazar: Çetin SONKAYA*

E-Yaklaşım / Aralık 2023 / Sayı: 372

I- GİRİŞ

Ticari faaliyette bulunma ve istihdam ilişkilerinin yönetiminde vergi, iş ve sosyal güvenlik mevzuatlarının uygulamasında belirli bir olgunlukta uzmanlık sağlanmış olması nedeniyle zikredilen mevzuatlardan kaynaklanan yükümlülüklerin yönetiminde sorun yaşanması ihtimalinin düşük olduğunu ifade etmek iddialı bir cümle olmayacağı gibi; faaliyette bulunulan alana özgü ikincil mevzuattan kaynaklanan yükümlülüklerin işverenlerce yönetiminde göreceli mevzuat riskinin yüksek olduğu öngörüsünün üretim ve istihdam ilişkilerinin yönetiminde bir karşılığı olduğu düşünülmektedir.

Mal ve hizmet üretim sürecinde daha iyi hizmet sunmak veya ticaret hacmini artırmak amacıyla birçok şirket, kamu kurum ve kuruluşu, yabancı kurum veya gerçek kişi kendi faaliyetleri kapsamında çok sayıda kişisel veri elde etmekte, kullanmaktadır. Bu durum, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve uygulama mevzuatından kaynaklanan yükümlülüklerin veri sorumluları olmaları nedeniyle işverenlerce yerine getirilmesi gerekliğini de beraberinde getirmektedir. Bu gereklilikten hareketle, mevzuat riskinin yönetilmesine katkı sağlamak amacıyla çalışmamızda, Veri Sorumluları Siciline kayıt yükümlülüğünde esas alınan kriterler ve sicile kayıt yükümlülüğüne aykırılık halinde uygulanacak idari yaptırım konusunda bilgi ve değerlendirmelerde bulunulacaktır.

II- TEMEL KAVRAMLAR

A- KİŞİSEL VERİ

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir([1]). Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir([2]).

6698 sayılı Kişisel Verilerin Korunması Kanununda kişisel veri olarak nitelendirilebilecek veriler sayma yoluyla belirlenmemiştir. Bir verinin kişisel veri olup olmadığı her somut olayın özelliğine göre “kişiyi tanımlayabilme” kabiliyeti dikkate alınarak değerlendirilmelidir. Gerçek kişi ile ilişkilendirilebilen ya da onu tüm tanımlayan veriler; adı, soyadı, doğum tarihi ve doğum yeri gibi kimlik bilgisi dışında telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, kredi kartı ekstreleri, sosyal medya beğenileri, resim, görüntü ve ses kayıtları, parmak izleri, kullandığı elektronik cihazların IP adresleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir([3]).

B- ÖZEL NİTELİKLİ KİŞİSEL VERİ

Kişisel Verilerin Korunması Hakkında Kanunda beyan edildiği üzere, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir([4]).

6698 sayılı Kanunda özel nitelikli veriler sayma yoluyla belirlenmiştir. Yukarıda zikredilenler dışındaki kişisel veriler özel nitelikli kişisel veri olarak kabul edilemez([5]).

C- VERİ SORUMLUSU

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder([6]).

Veri sorumlusunun tespiti için kişisel verilerin işlenmesi ve işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel verilerin işleneceği, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle saklanacağı, ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi hususlara kimin karar verdiği dikkate alınır(