top of page
Yazarın fotoğrafıTam Hukuk Arabuluculuk Hizmetleri

6698 SAYILI KANUN KAPSAMINDA KİŞİSEL VERİLERİN KORUNMASI

Güncelleme tarihi: 9 Haz 2020

KİŞİSEL VERİ NEDİR?


6698 sayılı Kişisel Verilerin Korunmasına İlişkin Kanunun 3. Maddesinde kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır.

Yukarıdaki tanımdan da anlaşılacağı üzere kanunumuzda kişisel veriler yalnızca gerçek kişilere ait verileri kapsamaktadır. Buradaki amaç Türk Ceza Kanunu’ndan doğabilecek çelişkileri ortadan kaldırmaktır. Zira TCK m.135 ve devamında yer alan suç tiplerinin konusunu yalnızca gerçek kişilere ilişkin veriler oluşturmaktadır.


KİŞİSEL VERİLERİN KORUNMASI NEDİR?


Kişisel verilerin korunması, kişisel verilerin işlenmesinin denetime tabi tutularak, veri sahiplerinin temel hak ve özgürlüklerinin korunmasıdır. Burada kişisel verilerin korunması hakkı oluşmaktadır. Kişisel verilerin korunması hakkı, insan hakları zemininde özel hayatın gizliliği kapsamında korunmaktadır. Ancak bu hak ekonomik hak yaklaşımı ve insan hakları yaklaşımı ile bağlantılı olarak açıklanmaktadır.


KİŞİSEL VERİLERİN KORUNMASI HAKKINA İLİŞKİN ULUSLARARASI VE ULUSAL DÜZENLEMELER


Kişisel verilerin korunmasına ilişkin uluslararası düzenlemelere baktığımızda, Avrupa Konseyi, OECD (Ekonomik İşbirliği ve Kalkınma Örgütü) ve Avrupa Birliği tarafından birçok hukuki düzenleme yapılmış ve bu düzenlemelerin hem Avrupa Birliği ülkelerinde hem de bu birliğe üye olmayan ülkeler üzerinde etkili olduğu görülmektedir.


ULUSLAR ARASI DÜZENLEMELER

  • 03 Eylül 1953 ➔ İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesi

  • 23 Eylül 1980 ➔ OECD’nin Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri

  • 28 Ocak 1981 ➔ 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi

  • 14 Aralık 1990 ➔ BM’nin Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri

  • 25 Ekim 1998 ➔ 95/46/ EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi

  • 08 Kasım 2001 ➔181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokol

  • 24 Mayıs 2016 ➔ 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)


ULUSAL DÜZENLEMELER


Yabancı ülkeler hukuklarına bakıldığında Fransa, Almanya, İtalya ve Amerika Birleşik Devletleri’nin de Kişisel verilerin korunması alanında ulusal düzenlemelerinin olduğu görülecektir. Ancak Türk hukukuna bakacak olursak ülkemizde;

  • 12 Ekim 2004 ➔ 5237 sayılı Türk Ceza Kanunu

  • 12 Eylül 2012 ➔ Kişisel Verilerin Korunması ile ilgili hükmü 1982 Anayasasına dahil edilmesi

  • 17 Mart 2016 ➔ 108 No’lu Kişisel Verileri Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Türk hukukuna dahil edilmesi

  • 07 Nisan 2016 ➔ 6698 sayılı Kişisel Verilerin Korunması Kanunun 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmesi

  • 05 Mayıs 2016 ➔ 181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokolün Türk hukukuna dahil edilmesi


TANIMLAR


Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,


Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,


İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,


Kurul: Kişisel Verileri Koruma Kurulunu,


Kurum: Kişisel Verileri Koruma Kurumunu,


Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ifade eder.


Özel Nitelikli Kişisel Veriler (Hassas Veriler) Nelerdir?

  • Irk

  • Etnik Köken

  • Siyasi Düşünce

  • Felsefi İnanç

  • Din, mezhep veya diğer inançlar

  • Kılık ve kıyafeti

  • Dernek, vakıf ya da sendika üyeliği

  • Sağlık veya cinsel hayat ile ilgili veriler

  • Ceza Mahkumiyeti, Güvenlik Tedbirleri,

  • Biyometrik ve Genetik Verileri


GENEL İLKELER

Kişisel veriler, ancak Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  • Belirli, açık ve meşru amaçlar için işlenme,

  • Hukuka ve dürüstlük kurallarına uygun olma,

  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,

  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

  • Belirli, açık ve meşru amaçlar için işlenme ,

  • Doğru ve gerektiğinde güncel olma ,


AÇIK RIZA NEDİR?


Açık rıza KVKK’ nun tanımlar başlıklı 3. Maddesinin a bendinde tanımlanmıştır. Buna göre açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresinin belirlemesini sağlar. Açık rızanın alındığı konusunda ispat yükümlülüğü veri sorumlusuna aittir.

Bu maddede yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:

  • Belirli bir konuya ilişkin olması,

  • Rızanın bilgilendirmeye dayanması,

  • Özgür iradeyle açıklanması

Kanunun 5. Maddesinde veri sahibinin açık rızası bulunmadan kişisel verilerin işlenemeyeceği hüküm altına alınmış, yine aynı maddenin ikinci fıkrasında ise açık rızanın aranmayacağı haller belirtilmiştir.


AÇIK RIZA ARANMAKSIZIN İŞLENEBİLECEK VE AKTARILABİLECEK HALLER

  • Kanunlarda Açıkça Öngörülmesi,

  • Rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması,

  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,

  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması,

  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması


AÇIK RIZA ARANMAKSIZIN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI

  • Sağlık ve cinsel hayat dışındaki veriler, KANUNLARDA öngörülen hallerde,

  • Sağlık ve cinsel hayata ilişkin kişisel veriler ise kamu sağlığı, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetleri, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, «Sır saklama altında bulunan kişiler» veya «yetkili kurum ve kuruluşlar tarafından»

Özel nitelikli kişisel veriler açık rıza aranmaksızın işlenebilir.


KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ


Kanunun 7. Maddesinde; hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinebileceği, yok edileceği veya anonim hâle getirileceği belirtilmiştir. İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde kişisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerindendir. Bunun için ilgili kişinin başvurusu şart değildir. Bununla birlikte, veri sorumlusunun ihmali durumunda ilgili kişinin kişisel verilerinin yok edilmesini veya silinmesini talep etme hakkı bulunmaktadır


KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI


Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak;

  • Kanunun 5 inci maddesinin ikinci fıkrasında ve yeterli önlemler alınmak kaydıyla 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde,

  • Kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması şartıyla,

  • Uluslararası sözleşme hükümleri saklı kalmak üzere Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.


AYDINLATMA YÜKÜMLÜLÜĞÜ

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

  • Verilerin kimlere ve hangi amaçla aktarılacağını,

  • Veri sorumlusunun veya temsilcisinin kim olduğunu,

  • Veri toplamanın yöntemi ve hukuki sebebini,

  • Verinin hangi amaçla işleneceğini,

  • Hangi verilerinin işlendiğini, kimlerle paylaşıldığını, yanlışlık varsa düzeltilmesini isteyebileceğini

  • İşlenen verilerin analizi neticesinde ortaya çıkmış sonuca itiraz edebileceğini,

  • Veri işlemenin nedeni ortadan kalkınca silinmesini talep edebileceğini,

  • Kanuna aykırı bir işleme varsa ve zarar görmüşse zararın giderilmesini isteme hakkına sahip olduğunu

Bildirmekle yükümlüdür.

VERİSİ İŞLENENİN ( İLGİLİ KİŞİNİN) HAKLARI

  • Kişisel verilerinin işlenip işlenmediğine ilişkin bilgi talep etme,

  • Kişisel verilerinin işlenme amacı ve bu amaca uygun kullanılıp kullanılmadığını öğrenme,

  • Kişisel verilerinin aktarıldığı kişileri bilme,

  • Kişisel verileri eksik veya hatalı ise düzeltilmesini isteme,

  • Kişisel verilerin işlenmesi amacı tamamlanmışsa silinmesini, yok edilmesini isteme,

  • Kişisel verilerin otomatik işlenmesi veya analizi neticesinde aleyhine bir durum oluşmuşsa itiraz etme,

  • Kişisel veriler eksik veya hatalı işlenmiş ise ya da silinmesi veya yok edilmesi gerekiyor ise bu hususun, verinin aktarılmış olduğu üçüncü kişilere bildirilmesini talep etme,

  • Haklarına sahip olup, Verisi İşlenen, bu hususlarda bilgi talep etme hakkına sahiptir.


VERİSİ İŞLENENİN ( İLGİLİ KİŞİNİN) DİĞER HAKLARI

  • Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu düzenlemedeki hükümlere aykırı olarak başkasına açıklayamayacak, kendi şahsi çıkarları için kullanamayacak. Bu yükümlülük, görevden ayrılmalarından sonra da devam edecek.

  • İlgili kişi taleplerini veri sorumlusuna iletecek. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandıracak. işlemin ayrıca bir maliyeti gerektirmesi halinde Kurulca belirlenen tarifedeki ücret alınabilecek.

  • Veri sorumlusu talebi kabul edecek veya gerekçesini açıklayarak reddedecek ve cevabını ilgili kişiye yazıyla ya da elektronik ortamda bildirecek.

  • Başvurusu reddedilen kişi, cevabı öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilecek.

  • Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı olacak.


VERİ SORUMLUSUNUN GÖREVLERİ

  • Kişisel verilerin hukuka aykırı işlenmesini, erişilmesini önlemek ve muhafazasını sağlamak için her türlü TEKNİK ve İDARİ TEDBİRİ alması gerekir.

  • Tedbirlerin alınması hususunda veriyi işleyenle birlikte müştereken sorumludur.

İdari Tedbirler


1. Kişisel Veri İşleme Envanterinin Hazırlanması

2. Kurumsal Politikalar( Erişim, Bilgi, Veri Sorumlusu- Veri İşleyen Arasında)

3. Sözleşmeler ( Veri Sorumlusu-Veri Sorumlusu, Veri İşleyen- Veri Sorumlusu Arasında)

4. Gizlilik Taahhütnameleri

5. Kurum İçi Periyodik ve/veya Rastgele Denetimler

6. Risk Analizleri

7. İş Sözleşmesi, Disiplin Yönetmeliği( Kanuna Uygun Hükümlerin İlave Edilmesi)

8. Kurumsal İletişim ( Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)

9. Eğitim ve Farkındalık Faaliyetleri ( Bilgi Güvenliği ve Kanun)

10. Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim


Teknik Tedbirler


1. Yetki Matrisi

2. Yetki Kontrol

3. Erişim Logları

4. Kullanıcı Hesap Yönetimi

5. Ağ Güvenliği

6. Uygulama Güvenliği

7. Şifreleme

8. Sızma Testi

9. Saldırı Tespit ve Önleme Sistemleri

10. Log KAyıtları

11. Veri Maskeleme

12. Veri Kaybı Önleme Yazılımları

13. Yedekleme

14. Güvenlik Duvarları

15. Güncel Anti-Virüs Sistemleri

16. Silme, Yok Etme veya Anonim Hale Getirme

17. Anahtar Yönetimi

VERİ SORUMLULARI SİCİLİ ( VERBİS)


  • Kurum Başkanlığı tarafından veri sorumluları sicili tutulur.

  • Veri sorumlularının, sicile kayıt zorunluluğu vardır.

  • İşlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi objektif kriterler göz önüne alınarak Kurul tarafından sicile kayıt zorunluluğuna istisna getirilebilir.


KİMLER VERBİS’E KAYIT YAPTIRMAKLA YÜKÜMLÜDÜR?


  • 50’den fazla yıllık çalışan sayısı olan veya yıllık mali bilanço toplamı 25 milyon TL’yi aşan veri sorumluları (31 Aralık 2019 tarihine kadar)

  • Yurtdışında yerleşik veri sorumluları (31 Aralık 2019 tarihine kadar)

  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olduğu halde, ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları (31 Mart 2020 tarihine kadar)

  • Kamu kurum ve kuruluşları (30 Haziran 2020 tarihine kadar)

  • VERBİS’e kayıt olmakla yükümlüdürler.


Yukarıda belirtilen tarihlere dek kayıt yaptırmamanın veya kayıt aşamasında bilgi verme yükümlülüğünün ihlalinin cezai ve idari yaptırımı bulunmaktadır.


VERİ SIZINTISINI KURULA HABER ZORUNLULUĞU


İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.


KURULA CEVAP VERME ve KURUL KARARININ YERİNE GETİRİLME SÜRESİ


Devlet sırrı niteliğindeki bilgi ve belgeler hariç, Kurulun istediği bilgi ve belgeler 15 gün içinde Kurula verilir veya yerinde inceleme imkanı sağlanır.


Kurul kararları tebliği takiben 30 gün içinde yerine getirilir.


CEZAİ YAPTIRIMLAR


KVKK’DA ÖNGÖRÜLEN KABAHATLER İDARİ PARA CEZALARI

ASGARİ AZAMİ

Aydınlatma Yükümlülüğünün İhlali 5.000 TL 100.000 TL

Veri Güvenliğine İlişkin Yükümlülüklerin İhlali 15.000 TL 1.000.000 TL Kurul Tarafından Verilen Kararları Yerine Getirilmemesi 25.000 TL 1.000.000 TL

Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğünün İhlali 20.000 TL 1.000.000 TL


TCK’DA ÖNGÖRÜLEN SUÇLAR HAPİS CEZASI

ASGARİ AZAMİ

Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi 1 Yıl 3 Yıl

Özel Nitelikli Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi 1,5 Yıl 4,5 Yıl

Kişisel Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme 2 Yıl 4 Yıl

Verileri Zamanında Yok Etmeme 1 Yıl 2 Yıl



Yukarıda 2016 yılında hayatımıza giren Kişisel Verileri Korunması Kanunu’nun ne olduğu ve beraberinde hayatımıza neler getirdiği kısaca açıklanmaya çalışılmıştır. Burada veri sorumlularına ve veri işleyicilerine büyük sorumluluk düşmektedir.

Bu süreçte idari ve teknik önlemlerin alınmasında gerek şirketlerin gerekse ticari hayatta faaliyet gösteren her türlü gerçek ve tüzel kişilerin ciddi bir çalışma ile kendilerine bir iş planı çıkarmaları gerekmektedir.


TAM Hukuk olarak, danışanlarımıza ve müvekkillerimize KVKK’na uyumluluk kapsamında

Bilgilendirme eğitimi,

  • Kişisel veri envanterinin çıkarılması,

  • Gap analizi,

  • Uyum danışmanlığı,

  • Proje yönetimi,

Hizmetleri vermekteyiz. Konu ile ilgili detaylı bilgi için bizimle iletişime geçiniz.

Saygılarımızla,


Hazırlayanlar:

Av. Arb. Bahattin ÇELİK - Av. Eylül AKAR

TAM Hukuk Danışmanlık & Avukatlık & Arabuluculuk Bürosu


Not:

Detaylı görüşmeler için lütfen randevu alınız




157 görüntüleme0 yorum

Son Yazılar

Hepsini Gör

Comentários


bottom of page