Kişisel  Verilerin Korunması  ve  KVKK  Mevzuatı

Gelişen teknoloji ve global değişimler sonucunda, birey olarak sahip çıkmamız gereken en özel ve önemli niteliklerimizi içeren Kişisel Verilerimiz, Temel İnsan Hakları ve özel hayatın gizliliğini korumak amacı ile gerek Avrupa Birliği gerekse ulusal mevzuatımızda güvence altına alınmıştır.

Kişisel veriler; kamu ve özel sektör fark etmeden, mesleğimizi icra ederken ve günlük hayatımızda hemen hemen her yerde otomatik veya otomatik olmayan yollarla işlenmekte, depolanmakta veya aktarılmaktadır.

Anayasa 20 md.si  ve buna paralel olarak  2016 yılında yürürlüğe başlayan 6689 Sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin işlenmesi, saklanması, aktarılması, silinmesi, yok edilmesi, anonim hale getirilmesi, verilere erişilmesi, ilgili kişileri aydınlatılması gibi hususlarda yasal düzenlemeler yapılmıştır.

TEMEL KAVRAMLAR

1-KVKK Amacı;

Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. (KVKK md.1)

2- KVKK Kapsamı;

Kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. (KVKK md. 2)

3- Kişisel Veri ;

Anayasa 20 md.sinde “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” şeklinde düzenlenmiştir.

KVKK açısından; kimliği belirli yada belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Başka bir ifade ile kişisel veriler; bir kişiye ait olduğu tespit edilebilen, otomatik ortamda saklanan her türlü veri ve otomatik olmayan bir veri kayıt sisteminde tutulan her türlü veri olarak tanımlanabilir.

4-Neler Kişisel Veri olabilir?

Gerçek (ilgili) kişinin adı, soyadı, doğum tarihi, TC Kimlik Numarası, Pasaport Numarası, Telefon Numarası, Adresi, E-posta Adresi, IP Adresi, Görüntüsü ve Ses Kaydı, Fiziksel Özellikleri, Hobileri, Gezinti Alışkanlıkları, Lokasyon bilgisi kişisel veridir. KVKK’da tahdidi olarak sayılmamıştır. Dolayısı ile genişletilmesi münkündür. Yasada ayrıca Özel nitelikli kişisel veriler sayılmış ve bu tahdidi olarak sayılan kişisel veriler arasında yasada ayrıca bir ayrıma gidilerek farklı bir düzenlemeye yer verilmiştir.

Yasada sınırlı olarak sayılan Özel Nitelikli Kişisel Veriler; Irkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyetine neden olabilecek nitelikte verilerdir. Dolayısı ile daha sıkı şekilde korunması gerekmektedir.

Bu doğrultuda Veri Sorumlusu olan gerçek ve tüzel kişiler kişisel verileri KVKK m.4 açıkça öngörülen ve aşağıda belirtilen ilkelere uygun olarak işlemek zorundadır. O halde kişisel veriler;

-Hukuka ve dürüstlük kurallarına uygun olarak,

-Doğru ve gerektiğinde güncellenerek tutularak,

-Belirli, açık ve meşru amaçlar için,

-İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü şekilde, işlenme ve

-İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmek, ilkelerine uygun olarak işlenebilir.

 

Kişisel Verilerin İşlenmesi:

Kişisel verilerin işlenmesi Kanunun 5. maddesinde sayılan hallerden en az birinin bulunması durumunda mümkündür. Buna göre;

• İlgili kişinin açık rızasının varlığı,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
• İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı durumunda ilgili kişinin kişisel verilerinin işlenmesi mümkün bulunmaktadır.

 

KVKK    İstisnalar   Madde  28 –

(1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:

1. a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
2. b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
3. c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

            ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya                        ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve                kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında                              işlenmesi.   

            d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak                          yargı  makamları veya infaz mercileri tarafından işlenmesi.

(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:

1. a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
2. b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
3. c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Kişisel Veri İşleyen Hangi Veri Sorumlularının VERBİS’e Kayıt Yükümlülüğü Vardır? Esasen tüm veri sorumluları yasa kapsamındadır. Ancak, KVK Kurumu tarafından kendi bünyesinde oluşturduğu Veri Sorumluları Siciline kayıtlı olunması hususunda bazı kriterler getirmiştir. Bu kriterler dahilinde olmamak KVKK kapsamındaki yükümlülüklerimizin bulunmadığı anlamına gelmemektedir. Nitekim yasanın yüklediği tek yükümlülük VERBİS’e kayıt değildir. Dolayısı ile her veri sorumlusu gerektiği hallerde açık rıza almalı, aydınlatma yükümlülüğünü yerine getirmeli ve KVK Kurulu tarafından öngörülen hususları yerine getirmelidir.

19.07.18 tarih 2018/87 sayılı Kurum Kararına Göre Kayıt Yükümlülüğü Bulunmayanlar:

-Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,

-Noterlik Kanunu uyarınca faaliyet gösteren noterler,

-Dernekler Kanununa göre kurulmuş derneklerden,

-Vakıflar Kanununa göre kurulmuş vakıflardan ve Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,

-Siyasi Partiler Kanununa göre kurulmuş siyasi partiler,

-Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,

-Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,

-Gümrük Kanunu uyarınca faaliyet gösteren Gümrük Müşavirleri ve Yetkilendirilmiş Gümrük Müşavirleri,

-Arabulucular,

-Yıllık Çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar.

 

Veri  Sorumlusunun Yükümlülükleri :

1. Aydınlatma Yükümlülüğü

Kişisel verilere ilişkin hak ve yükümlülüklerin düzenlendiği KVKK’nın 10. maddesinde veri sorumlusunun aydınlatma yükümlülüğü de açıklanmıştır. Buna göre; veri sorumlusu veya yetkili kişisi, kişisel verilerin elde edilmesi sırasında ilgili kişilere;

1) Veri sorumlusunun ve varsa temsilcisinin kimliğini,

2) Kişisel verilerin hangi amaçla işleneceğini,

3) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini,

4) Kişisel veri toplamanın yöntemi ve hukuki sebebini,

5) 11. maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.

1. Açık Rıza

Aydınlatma yükümlülüğünü yerine getiren veri sorumlusu, yaptığı aydınlatmaya yönelik veri işleyebilmek için, ilgili kişinin açık rızasını almakla yükümlüdür. Kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Kişilerden alınacak açık rızaya ilişkin herhangi bir şekil şartı belirtilmemiş olmakla birlikte veri sorumlusu aldığı rızayı ispatla yükümlüdür. Bu sebeple yazılı ya da herhangi bir şekilde kayıt altında tutulabilir bir rıza alınması en uygun olan yöntemdir.

Alınan açık rıza belirli bir amaca ve konuya ilişkin, yeterli bilgilendirme yapmak şartıyla, ilgili kişiden şartsız şekilde ve açık ifade beyanıyla alınan rızadır. Açık rıza, bir bilgilendirmeye dayanan ve özgür iradeyle açıklanmış bir beyandır.

Yalnızca KVKK’da sayılan istisnaların varlığı halinde, açık rıza alınmaksızın kişisel veri işlemek mümkün olacaktır. Ancak bu hallerde de veri sorumlusunun aydınlatma yükümlülüğü de dahil olmak üzere her türlü yükümlülüğü devam etmektedir.

1. Veri Güvenliğini Sağlama

Veri sorumlusu, kişisel verilerin işlenmesi sürecinde edildiği bilgilerin güvenli bir şekilde saklanmasını sağlamakla sorumludur. Bu kapsamda veri sorumlusu, kişisel verilerin hukuka uygun şekilde saklanması ve hukuka aykırı olarak işlenmesini önlemek için yeterli güvenlik koşullarını sağlayacak her türlü teknik ve idari tedbirleri almak zorundadır. Bu güvenlik tedbirlerinin gereğince uygulanıp uygulanmadığını, düzenli denetimler yaparak kontrol etmeli, gereği halinde güvenlik tedbirlerini geliştirmelidir.

Veri sorumlusu ayrıca, kişisel verilere üçüncü kişilerin kanuna aykırı yollarla erişmesi hâlinde, bu durumu derhal ilgili kişilere ve Kurul’a bildirmekle yükümlüdür. Kurul kararları doğrultusunda Kurul’a bildirim için öngörülen süre en fazla 72 saat olarak kabul edilmektedir.

ç. Kişisel Veri İşleme Envanteri ile Kişisel Veri Saklama ve İmha Politikası Hazırlama Yükümlülüğü

Kişisel veri işleme envanterinde; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebepleri, veri kategorisi, aktarılan alıcı grubu ve ilgili kişi grubuyla ilişkilendirerek belirtilmeli, kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre, yabancı ülkelere aktarımı öngörülen kişisel veriler ve veri güvenliğine ilişkin alınan tedbirler yer almalıdır. Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleyerek silme, yok etme ve anonim hale getirme işlemi için kendilerine bir model oluşturup takip etmek için saklama ve imha politikası hazırlamalıdır. Veri sorumluları, kişisel verilerin işlendikleri amaç doğrultusunda belirlediği azami sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için de, hazırladığı kişisel veri saklama ve imha politikasının uygulanmasını temin ederler. Özel nitelikli kişisel veriler için ise ayrı bir imha süreci belirlenmelidir.

1. İlgili Kişilerin Taleplerini Cevaplandırma

Veri paylaşım süreçleriyle ilgili, veri sahiplerinin talep etmesi halinde yeterli ve güncel bilginin verilebildiği bir veri politikası hazırlanmalıdır. KVKK’nın 11nci maddesinde açıkça belirtildiği gibi ilgili kişiler veri sorumlusuna başvurarak kendileriyle ilgili; kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, kişisel verilerin yurt içinde ve yurt dışında aktarıldığı üçüncü kişileri bilme, verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, KVKK’nın 7nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, 11nci maddenin (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramaları halinde zararın giderilmesini talep etme, haklarına sahiptir.

İlgili kişi, yukarıda belirtilen hakları doğrultusundaki taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.

İlgili kişinin;

-Başvurunun reddedilmesi,

-Verilen cevabın yetersiz bulunması

-Süresinde başvuruya cevap verilmemesi hâllerinde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

Unutulmaması gerekir ki başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.

 

Özetle - KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri :

 Kişisel verilerin işlenmesinde veri sorumlusunun yükümlülükleri; Kişisel verilerle ilgili genel ilkelere uygun davranma, idari ve teknik tedbirleri uygulama, Aydınlatma, Açık rıza alma, Veri güvenliğini sağlama, Denetim, Sır saklama, Kişisel verileri; silme, yok etme veya anonim hâle getirme, İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde Kişisel Verilerin Korunması Kurulu’na ve kişisel veri sahibine bildirimde bulunma, Başvuruları cevaplama, Kurul kararlarına uyma, Veri Sorumluları Sicili’ne (VERBİS) kayıt olma yükümlülüğü olarak belirlenmiştir.

Kurum tarafından yayınlanan İdari Tedbirler aşağıdaki gibidir.:

(Kişisel Verileri Koruma Kurumu)

• Kişisel Veri İşleme Envanteri Hazırlanması   
• Kurumsal Politikaların Hazırlanması (Erişim,Bilgi Güvenliği,Kullanımvb) 
• Saklama ve İmha Politikasının Hazırlanması
• Veri İşleme Sözleşmelerin Revize Edilmesi
• Gizlilik Taahhütnamelerinin İmzalanması
• Kurum İçi Periyodik ve/veya Rastgele Denetimlerin Gerçekleştirilmesi
• Risk Analizlerinin Yapılması
• İş Sözleşmelerinin Revize Edilmesi
• Disiplin Yönetmeliğinin Revize Edilmesi
• Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
• Eğitim ve Farkındalık Faaliyetleri
• Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

 

Kurum tarafından yayınlanan Teknik Tedbirler aşağıdaki gibidir:

• Yetki Matrisi
• Yetki Kontrol
• Erişim Logları
• Kullanıcı Hesap Yönetimi
• Ağ Güvenliği
• Uygulama Güvenliği
• Şifreleme
• Sızma Testi
• Saldırı Tespit ve Önleme Sistemleri
• Log Kayıtları
• Veri Maskeleme
• Veri Kaybı Önleme Yazılımları
• Yedekleme
• Güvenlik Duvarları
• Güncel Anti-Virüs Sistemlerinin Kullanılması
• Silme, Yok Etme veya Anonim Hale Getirme
• Anahtar Yönetimi

 

Kanun’un 18. maddesi Kabahatler başlığını düzenlemekte olup, ilgili maddelerde belirtilen yükümlülüklerini yerine getirmeyen veri sorumlusu gerçek ve tüzel kişilere Kurul tarafından idari para cezaları verilebilir.

 

          6698 sayılı  KİŞİSEL VERİLERİN KORUNMASI  KANUNU’NDA  Düzenlenen

                                        İDARİ  PARA  CEZALARI

Madde	Aykırılık Oluşturulan  Madde	Açıklama	2025 YILI CEZA TUTARLARI  En Düşük   En Yüksek(TL)
18/a	10	AydınlatmaYükümlülüğünü   Yerine   Getirmeme	68.083-	1.362.021-
18/b	12	Veri Güvenliğine İlişkin          Yükümlülüklerin               Yerine   Getirilmemesi	204.285-	13.620.402-
18/c	15	Kurul Kararlarının               Yerine Getirilmemesi	340.476-	13.620.402-
18/ç	16	Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğüne Aykırı Hareket Edilmesi- (VERBİS)	272.380-	13.620.402-

 

 

Kişisel Verileri  Hukuka Aykırı  Kaydetme, Verme, Yayma  Suçu :

-Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi: 

1 yıldan 3 yıla kadar hapis cezası -TCK 135.Md

-Özel nitelikli kişisel verilerin Kanun’a aykırı kaydedilmesi :

1,5 yıldan  4,5  yıla kadar hapis cezası

-Kişisel Verilen Hukuka Aykırı Olarak Başkasına Verilmesi, Yayılması Ele Geçirilmesi: 2 yıldan 4 yıla kadar hapis cezası -TCK 136 Md.

-Verilerin Yok Edilmemesi: 1 yıldan 2 yıla kadar–TCK 138 Md.

 

SIKÇA  SORULAN  SORULAR  :

Kanundaki Yükümlülüklerin Yerine Getirilmesi Bakımından Veri Sorumlusu mu, Veri İşleyen mi Esas Alınır?

Kanunda, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusu esas alınmaktadır.

Ayrıca, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri işleyen de veri sorumlusu ile birlikte sorumludur.

 

Sadece Kendi Çalışanlarına İlişkin Kişisel Veri İşleyen Bir Şirket de Kanun Kapsamında Değerlendirilecek midir?

Kural olarak veri işleyen gerçek ve tüzel kişiler Kanun kapsamında bulunmaktadır. Dolayısıyla sadece kendi çalışanlarına ilişkin kişisel veri işleyen bir şirket de Kanun kapsamında değerlendirilecektir.

 

Veri Sorumlusu ile Veri İşleyenin Ayrı Kişiler Olması Halinde, Kanunda Sorumluluk Rejimi Nasıl Belirlenmektedir?

Kanuna göre veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, veri sorumlusu, söz konusu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

 

Kanunda Düzenlenen Kısmi İstisna Halleri Nelerdir?

Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. maddesi, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11. maddesi ve veri sorumluları siciline kayıt yükümlülüğünü düzenleyen 16. maddesi aşağıdaki faaliyet alanları ile sınırlı olmak üzere uygulanmaz.

Kısmi istisnalar olarak adlandırılan bu haller aşağıda sıralanmıştır:

1. a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
2. b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
3. c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Veri Sorumluları Sicili Nedir?

Veri Sorumluları Sicili, kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir. Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak Kanunun 16. maddesiyle Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirme yetkisi Kurula verilmiş olup buna istinaden Kurulca hazırlanarak 30.12.2017 tarihli Resmi Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 16. maddesinde istisna getirmeye yönelik objektif kriterler aşağıdaki şekilde belirlenmiştir.

1. a) Kişisel verinin niteliği.
2. b) Kişisel verinin sayısı.
3. c) Kişisel verinin işlenme amacı.

ç) Kişisel verinin işlendiği faaliyet alanı.

1. d) Kişisel verinin üçüncü kişilere aktarılma durumu.
2. e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.
3. f) Kişisel verilerin muhafaza edilmesi süresi.
4. g) Veri konusu kişi grubu veya veri kategorileri.

ğ) Veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgi

Açık Rıza Nedir?

Açık rıza, belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür irade ile açıklanan rızadır. Başka bir ifade ile ilgili kişinin verilerinin işlenmesine özgürce, konu hakkında yeterli bilgi sahibi olarak ve sadece o işlemle sınırlı kalmak kaydıyla verdiği onay beyanıdır.

Kanuna göre açık rızanın üç unsuru vardır:

1. a) Belirli bir konuya ilişkin olma
2. b) Bilgilendirmeye dayanma
3. c) Özgür iradeyle açıklanmış olma

Kişisel Veri İşleme Faaliyetlerinin Tek Şartı Açık Rıza mıdır?

Kanunun 5. maddesi uyarınca açık rıza, Kanundaki kişisel veri işleme şartlarından biri olmakla birlikte veri işleme faaliyetine hukukilik kazandıran tek unsur değildir. Kanunda veri işleme faaliyeti için açık rıza dışında da şartlar öngörülmüştür. Buna göre, aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

1. a) Kanunlarda açıkça öngörülmesi.
2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Açık Rıza Geri Alınabilir mi?    Geri Alınmasının Hukuki Sonuçları Nelerdir?

Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Bununla birlikte geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur. Ancak saklanmasını gerektiren başka bir hukuki sebep varsa söz konusu kişisel veriler veri sorumlusu tarafından sadece bu amaçla sınırlı olmak üzere saklanabilir.

Açık Rıza, Herhangi Bir Ürün ve/veya Hizmetin Sunumunun ya da Yararlandırmanın Bir Ön Şartı Yapılabilir mi?

Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir. Örneğin, bir hizmetten yararlanılmasının üyelik şartına bağlandığı yerlerde, üye olmak isteyen ilgili kişinin parmak izinin alınması ve işlenmesinin üyelik sözleşmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır. Çünkü bu şekilde alınan açık rıza, özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilkesine aykırı olacaktır.

Kanunun Yayımından Önce Alınan Rızalar, Hangi Şartlarda Kanuna Uygun Kabul Edilecektir?

Kanunun Geçici 1. maddesinin 3. fıkrası uyarınca Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde bu Kanuna uygun kabul edilir. Dolayısıyla Kanunun yayımı tarihinden önce alınan rızanın Kanuna uygun kabul edilebilmesi için genel hukuk kurallarına uygun olması ve bir yıl içinde aksine bir irade beyanında bulunulmamış olması gerekmektedir.

Kanunun Yürürlüğe Girmesinden Önce İşlenen Kişisel Veriler Hakkında Ne Gibi Bir İşlem Yapılacaktır?

Kanunun Geçici 1. maddesinde, “Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, bu tarihten itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilir. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir.” hükmü yer almaktadır.

Kişisel Sağlık Verisi Nedir?

Kişisel sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgilerdir. Örneğin; her türlü tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar gibi veriler kişisel sağlık verileridir. Kişisel sağlık verisi, özel nitelikli kişisel veri olduğundan Kanunun 6. maddesinde düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir.

Müstear Adlar (Takma İsimler), Mahlas ve Lakaplar Kişisel Veri midir?

Tek başına veya başka kaynaklarla birleştirildiğinde bir gerçek kişiyi tanımlayabilecek nitelikte ise bu veriler kişisel veri olarak kabul edilecektir. Ancak, yine de bunların kişisel veri olup olmadığı her somut olayın özelliğine göre kişiyi tanımlayabilme kabiliyeti dikkate alınarak değerlendirilmelidir.

Veri  Sorumluları  Sicil  Bilgi  Sistemi (VERBİS) Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 16 ncı maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline (“Sicil”) kaydolması gerekmektedir. Bu kapsamda, Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) hazırlanmış olup veri sorumluları bu sisteme kayıt olacaklardır.

Veri Sorumlusu Olan Tüm Tüzel Kişilerin Sicile Kayıt Olması Gerekir mi?

Faaliyetleri kapsamında, Türkiye sınırları içerisinde kişisel veri işleyen tüm tüzel kişiler genel kural olarak Sicile kayıt olmakla yükümlüdür. Buna göre, Kanun hükümleri veya Kurul kararlarıyla istisna tutulanlar hariç olmak üzere tüm tüzel kişi veri sorumlularının Sicile kayıt olması gerekmektedir.

Veri Sorumlularının İşlediği Tüm Veriler VERBİS’e  Kaydolmalı mıdır?

Veri sorumlularınca VERBİS’e kayıtta girilecek bilgiler; kişisel verileri işlenmiş olan gerçek kişilere ait kişisel veriler değil, veri sorumlularının işlemekte oldukları verilerin sadece üst başlıklar halinde kategorik bazdaki bilgiler olacaktır.

Tüzel Kişilerde Veri Sorumlusu Kimdir?

Tüzel kişilerde veri sorumlusu, görevlendirilen bir gerçek kişi değil tüzel kişiliğin bizzat kendisidir.

Kişisel Veriler Sadece Kağıt Ortamında Tutuluyorsa Sicile Kayıt Zorunlu mu?

2018/32 sayılı Kurul Kararında, “Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler” Sicile kayıt yükümlülüğünden istisna tutulmuşlardır. Bu kapsamda, yalnızca otomatik olmayan yollarla kişisel veri işlenmesi halinde Sicile kayıt yükümlülüğü bulunmamaktadır.