KİŞİSEL VERİ NEDİR?
6698 sayılı Kişisel Verilerin Korunmasına İlişkin Kanunun 3. Maddesinde kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır.
Yukarıdaki tanımdan da anlaşılacağı üzere kanunumuzda kişisel veriler yalnızca gerçek kişilere ait verileri kapsamaktadır. Buradaki amaç Türk Ceza Kanunu’ndan doğabilecek çelişkileri ortadan kaldırmaktır. Zira TCK m.135 ve devamında yer alan suç tiplerinin konusunu yalnızca gerçek kişilere ilişkin veriler oluşturmaktadır.
KİŞİSEL VERİLERİN KORUNMASI NEDİR?
Kişisel verilerin korunması, kişisel verilerin işlenmesinin denetime tabi tutularak, veri sahiplerinin temel hak ve özgürlüklerinin korunmasıdır. Burada kişisel verilerin korunması hakkı oluşmaktadır. Kişisel verilerin korunması hakkı, insan hakları zemininde özel hayatın gizliliği kapsamında korunmaktadır. Ancak bu hak ekonomik hak yaklaşımı ve insan hakları yaklaşımı ile bağlantılı olarak açıklanmaktadır.
KİŞİSEL VERİLERİN KORUNMASI HAKKINA İLİŞKİN ULUSLARARASI VE ULUSAL DÜZENLEMELER
Kişisel verilerin korunmasına ilişkin uluslararası düzenlemelere baktığımızda, Avrupa Konseyi, OECD (Ekonomik İşbirliği ve Kalkınma Örgütü) ve Avrupa Birliği tarafından birçok hukuki düzenleme yapılmış ve bu düzenlemelerin hem Avrupa Birliği ülkelerinde hem de bu birliğe üye olmayan ülkeler üzerinde etkili olduğu görülmektedir.
ULUSLAR ARASI DÜZENLEMELER
03 Eylül 1953 ➔ İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesi
23 Eylül 1980 ➔ OECD’nin Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri
28 Ocak 1981 ➔ 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi
14 Aralık 1990 ➔ BM’nin Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri
25 Ekim 1998 ➔ 95/46/ EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi
08 Kasım 2001 ➔181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokol
24 Mayıs 2016 ➔ 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)
ULUSAL DÜZENLEMELER
Yabancı ülkeler hukuklarına bakıldığında Fransa, Almanya, İtalya ve Amerika Birleşik Devletleri’nin de Kişisel verilerin korunması alanında ulusal düzenlemelerinin olduğu görülecektir. Ancak Türk hukukuna bakacak olursak ülkemizde;
12 Ekim 2004 ➔ 5237 sayılı Türk Ceza Kanunu
12 Eylül 2012 ➔ Kişisel Verilerin Korunması ile ilgili hükmü 1982 Anayasasına dahil edilmesi
17 Mart 2016 ➔ 108 No’lu Kişisel Verileri Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Türk hukukuna dahil edilmesi
07 Nisan 2016 ➔ 6698 sayılı Kişisel Verilerin Korunması Kanunun 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmesi
05 Mayıs 2016 ➔ 181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokolün Türk hukukuna dahil edilmesi
TANIMLAR
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
Kurul: Kişisel Verileri Koruma Kurulunu,
Kurum: Kişisel Verileri Koruma Kurumunu,
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ifade eder.
Özel Nitelikli Kişisel Veriler (Hassas Veriler) Nelerdir?
Irk
Etnik Köken
Siyasi Düşünce
Felsefi İnanç
Din, mezhep veya diğer inançlar
Kılık ve kıyafeti
Dernek, vakıf ya da sendika üyeliği
Sağlık veya cinsel hayat ile ilgili veriler
Ceza Mahkumiyeti, Güvenlik Tedbirleri,
Biyometrik ve Genetik Verileri
GENEL İLKELER
Kişisel veriler, ancak Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
Belirli, açık ve meşru amaçlar için işlenme,
Hukuka ve dürüstlük kurallarına uygun olma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
Belirli, açık ve meşru amaçlar için işlenme ,
Doğru ve gerektiğinde güncel olma ,
AÇIK RIZA NEDİR?
Açık rıza KVKK’ nun tanımlar başlıklı 3. Maddesinin a bendinde tanımlanmıştır. Buna göre açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresinin belirlemesini sağlar. Açık rızanın alındığı konusunda ispat yükümlülüğü veri sorumlusuna aittir.
Bu maddede yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:
Belirli bir konuya ilişkin olması,
Rızanın bilgilendirmeye dayanması,
Özgür iradeyle açıklanması
Kanunun 5. Maddesinde veri sahibinin açık rızası bulunmadan kişisel verilerin işlenemeyeceği hüküm altına alınmış, yine aynı maddenin ikinci fıkrasında ise açık rızanın aranmayacağı haller belirtilmiştir.
AÇIK RIZA ARANMAKSIZIN İŞLENEBİLECEK VE AKTARILABİLECEK HALLER
Kanunlarda Açıkça Öngörülmesi,
Rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
AÇIK RIZA ARANMAKSIZIN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI
Sağlık ve cinsel hayat dışındaki veriler, KANUNLARDA öngörülen hallerde,
Sağlık ve cinsel hayata ilişkin kişisel veriler ise kamu sağlığı, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetleri, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, «Sır saklama altında bulunan kişiler» veya «yetkili kurum ve kuruluşlar tarafından»
Özel nitelikli kişisel veriler açık rıza aranmaksızın işlenebilir.
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
Kanunun 7. Maddesinde; hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinebileceği, yok edileceği veya anonim hâle getirileceği belirtilmiştir. İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde kişisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerindendir. Bunun için ilgili kişinin başvurusu şart değildir. Bununla birlikte, veri sorumlusunun ihmali durumunda ilgili kişinin kişisel verilerinin yok edilmesini veya silinmesini talep etme hakkı bulunmaktadır
KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak;
Kanunun 5 inci maddesinin ikinci fıkrasında ve yeterli önlemler alınmak kaydıyla 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde,
Kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması şartıyla,
Uluslararası sözleşme hükümleri saklı kalmak üzere Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
AYDINLATMA YÜKÜMLÜLÜĞÜ
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
Verilerin kimlere ve hangi amaçla aktarılacağını,
Veri sorumlusunun veya temsilcisinin kim olduğunu,
Veri toplamanın yöntemi ve hukuki sebebini,
Verinin hangi amaçla işleneceğini,
Hangi verilerinin işlendiğini, kimlerle paylaşıldığını, yanlışlık varsa düzeltilmesini isteyebileceğini
İşlenen verilerin analizi neticesinde ortaya çıkmış sonuca itiraz edebileceğini,
Veri işlemenin nedeni ortadan kalkınca silinmesini talep edebileceğini,
Kanuna aykırı bir işleme varsa ve zarar görmüşse zararın giderilmesini isteme hakkına sahip olduğunu
Bildirmekle yükümlüdür.
VERİSİ İŞLENENİN ( İLGİLİ KİŞİNİN) HAKLARI
Kişisel verilerinin işlenip işlenmediğine ilişkin bilgi talep etme,
Kişisel verilerinin işlenme amacı ve bu amaca uygun kullanılıp kullanılmadığını öğrenme,
Kişisel verilerinin aktarıldığı kişileri bilme,
Kişisel verileri eksik veya hatalı ise düzeltilmesini isteme,
Kişisel verilerin işlenmesi amacı tamamlanmışsa silinmesini, yok edilmesini isteme,
Kişisel verilerin otomatik işlenmesi veya analizi neticesinde aleyhine bir durum oluşmuşsa itiraz etme,
Kişisel veriler eksik veya hatalı işlenmiş ise ya da silinmesi veya yok edilmesi gerekiyor ise bu hususun, verinin aktarılmış olduğu üçüncü kişilere bildirilmesini talep etme,
Haklarına sahip olup, Verisi İşlenen, bu hususlarda bilgi talep etme hakkına sahiptir.
VERİSİ İŞLENENİN ( İLGİLİ KİŞİNİN) DİĞER HAKLARI
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu düzenlemedeki hükümlere aykırı olarak başkasına açıklayamayacak, kendi şahsi çıkarları için kullanamayacak. Bu yükümlülük, görevden ayrılmalarından sonra da devam edecek.
İlgili kişi taleplerini veri sorumlusuna iletecek. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandıracak. işlemin ayrıca bir maliyeti gerektirmesi halinde Kurulca belirlenen tarifedeki ücret alınabilecek.
Veri sorumlusu talebi kabul edecek veya gerekçesini açıklayarak reddedecek ve cevabını ilgili kişiye yazıyla ya da elektronik ortamda bildirecek.
Başvurusu reddedilen kişi, cevabı öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilecek.
Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı olacak.
VERİ SORUMLUSUNUN GÖREVLERİ
Kişisel verilerin hukuka aykırı işlenmesini, erişilmesini önlemek ve muhafazasını sağlamak için her türlü TEKNİK ve İDARİ TEDBİRİ alması gerekir.
Tedbirlerin alınması hususunda veriyi işleyenle birlikte müştereken sorumludur.
İdari Tedbirler
1. Kişisel Veri İşleme Envanterinin Hazırlanması
2. Kurumsal Politikalar( Erişim, Bilgi, Veri Sorumlusu- Veri İşleyen Arasında)
3. Sözleşmeler ( Veri Sorumlusu-Veri Sorumlusu, Veri İşleyen- Veri Sorumlusu Arasında)
4. Gizlilik Taahhütnameleri
5. Kurum İçi Periyodik ve/veya Rastgele Denetimler
6. Risk Analizleri
7. İş Sözleşmesi, Disiplin Yönetmeliği( Kanuna Uygun Hükümlerin İlave Edilmesi)
8. Kurumsal İletişim ( Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
9. Eğitim ve Farkındalık Faaliyetleri ( Bilgi Güvenliği ve Kanun)
10. Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
Teknik Tedbirler
1. Yetki Matrisi
2. Yetki Kontrol
3. Erişim Logları
4. Kullanıcı Hesap Yönetimi
5. Ağ Güvenliği
6. Uygulama Güvenliği
7. Şifreleme
8. Sızma Testi
9. Saldırı Tespit ve Önleme Sistemleri
10. Log KAyıtları
11. Veri Maskeleme
12. Veri Kaybı Önleme Yazılımları
13. Yedekleme
14. Güvenlik Duvarları
15. Güncel Anti-Virüs Sistemleri
16. Silme, Yok Etme veya Anonim Hale Getirme
17. Anahtar Yönetimi
VERİ SORUMLULARI SİCİLİ ( VERBİS)
Kurum Başkanlığı tarafından veri sorumluları sicili tutulur.
Veri sorumlularının, sicile kayıt zorunluluğu vardır.
İşlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi objektif kriterler göz önüne alınarak Kurul tarafından sicile kayıt zorunluluğuna istisna getirilebilir.
KİMLER VERBİS’E KAYIT YAPTIRMAKLA YÜKÜMLÜDÜR?
50’den fazla yıllık çalışan sayısı olan veya yıllık mali bilanço toplamı 25 milyon TL’yi aşan veri sorumluları (31 Aralık 2019 tarihine kadar)
Yurtdışında yerleşik veri sorumluları (31 Aralık 2019 tarihine kadar)
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olduğu halde, ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları (31 Mart 2020 tarihine kadar)
Kamu kurum ve kuruluşları (30 Haziran 2020 tarihine kadar)
VERBİS’e kayıt olmakla yükümlüdürler.
Yukarıda belirtilen tarihlere dek kayıt yaptırmamanın veya kayıt aşamasında bilgi verme yükümlülüğünün ihlalinin cezai ve idari yaptırımı bulunmaktadır.
VERİ SIZINTISINI KURULA HABER ZORUNLULUĞU
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
KURULA CEVAP VERME ve KURUL KARARININ YERİNE GETİRİLME SÜRESİ
Devlet sırrı niteliğindeki bilgi ve belgeler hariç, Kurulun istediği bilgi ve belgeler 15 gün içinde Kurula verilir veya yerinde inceleme imkanı sağlanır.
Kurul kararları tebliği takiben 30 gün içinde yerine getirilir.
CEZAİ YAPTIRIMLAR
KVKK’DA ÖNGÖRÜLEN KABAHATLER İDARİ PARA CEZALARI
ASGARİ AZAMİ
Aydınlatma Yükümlülüğünün İhlali 5.000 TL 100.000 TL
Veri Güvenliğine İlişkin Yükümlülüklerin İhlali 15.000 TL 1.000.000 TL Kurul Tarafından Verilen Kararları Yerine Getirilmemesi 25.000 TL 1.000.000 TL
Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğünün İhlali 20.000 TL 1.000.000 TL
TCK’DA ÖNGÖRÜLEN SUÇLAR HAPİS CEZASI
ASGARİ AZAMİ
Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi 1 Yıl 3 Yıl
Özel Nitelikli Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi 1,5 Yıl 4,5 Yıl
Kişisel Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme 2 Yıl 4 Yıl
Verileri Zamanında Yok Etmeme 1 Yıl 2 Yıl
Yukarıda 2016 yılında hayatımıza giren Kişisel Verileri Korunması Kanunu’nun ne olduğu ve beraberinde hayatımıza neler getirdiği kısaca açıklanmaya çalışılmıştır. Burada veri sorumlularına ve veri işleyicilerine büyük sorumluluk düşmektedir.
Bu süreçte idari ve teknik önlemlerin alınmasında gerek şirketlerin gerekse ticari hayatta faaliyet gösteren her türlü gerçek ve tüzel kişilerin ciddi bir çalışma ile kendilerine bir iş planı çıkarmaları gerekmektedir.
TAM Hukuk olarak, danışanlarımıza ve müvekkillerimize KVKK’na uyumluluk kapsamında
Bilgilendirme eğitimi,
Kişisel veri envanterinin çıkarılması,
Gap analizi,
Uyum danışmanlığı,
Proje yönetimi,
Hizmetleri vermekteyiz. Konu ile ilgili detaylı bilgi için bizimle iletişime geçiniz.
Saygılarımızla,
Hazırlayanlar:
Av. Arb. Bahattin ÇELİK - Av. Eylül AKAR
TAM Hukuk Danışmanlık & Avukatlık & Arabuluculuk Bürosu
Not:
Detaylı görüşmeler için lütfen randevu alınız
Comentários