KVKK UYUM SÜRECİ
KİŞİSEL VERİ NEDİR?
1982 anayasasının 20. Maddesi özel hayatın gizliliği ve korunması hakkında kişisel verilen doğrudan korunması ile ilgilidir. 2010 yılından yapılan değişikle ile kişisel verilerin korunması kavramı ilk kez anayasamıza girmiştir.
Buna göre ; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.
Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Bundan sonra 6698 sayılı Kişisel Verilerin Korunması Kanunu 24 Mart 2016 tarihinde TBMM’de kabul edilmiş, 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanmıştır.
Kişisel verilerin korunması kanunun amacı kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu kanun kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.
Kişisel verileri koruma kanunu, özel şirketler ve devlet kurumlarına büyük yaptırımlar getirmiştir. Özel şirketler kişisel verileri hukuka aykırı olarak işler veya kaydederlerse idari para cezası ve yaptırımlarla karşılaşacaktır. Yine aynı şekilde devlet kurumlarına da kişisel verilerin hukuka aykırı olarak kaydedilmesi veya işlenmesi halinde idari yaptırımlar gündeme gelecektir.
Kişisel verileri hukuka uygun tutulup tutulmadığının denetlenmesi için idari ve mali özerkliğe sahip ve kamu tüzel kişiliğine haiz merkezi Ankara’da olan Kişisel Verileri Koruma Kurulu kurulmuştur. Kurumun idari para cezası ve idari yaptırımlara karar verme yetkisi bulunmaktadır.
Ayrıca kurum resen inceleme veya ilgililerin talebi üzerine de işlem yapabilmektedir. Kişisel Verilerin Korunması Kurumunun esas amacı Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmektir.
Kişisel verileri koruma kanunu hem devlet kurumlarını hem de özel sektörü doğrudan ilgilendirmektedir. Devlet kurumları ile özel sektör bu kanuna uymakla mükelleftir. Özel sektör için; sektör farketmeksizin bütün şirketlerin kanuna uyum zorunluluğu bulunmaktadır; ancak bazı sektörler, işledikleri kişisel verilerin niteliği gereği özel risk altındadır.
Bu sektörleri açıklayacak olursak; Sağlık (hastaneler, diş hekimliği merkezleri vs.) eğitim (kolejler, anaokulları) turizm (seyahat acentaları, oteller) ve teknoloji sektörleridir. Bu sektörler nitelikleri gereği bilhassa nitelikli kişisel veri işledikleri için kişisel veriyi hukuka aykırı kaydettikleri takdirde kişisel verisi işlenen kişi, çok daha fazla mağdur olacaktır. Bu yüzden bu sektörler kişisel veri koruma kurumunun daha yakın markajı altındadır.
Kişisel verileri koruma kanunun büyük önem atfettiği kişisel veri ne demektir?
Kişisel veri ; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye kişisel veri diyoruz.
Neler kişisel veri olabilir?
Bir kişinin adı, soyadı, TC kimlik numarası, adres, telefon numarası, fiziksel özellikleri, ses kaydı, pasaport numarası, özgeçmişi, hobileri vs. daha fazla örnekle çoğaltılabilir yani bir insanı tanımlayan her şey o kişinin kişisel verisidir.
Bunun dışında kanunda sayılan bir de özel nitelikli kişisel veri kavramı vardır. Bunlar ise; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler kanunda sınırlı olarak sayılmıştır.
Özel nitelikli kişisel veri, hassas veri olduğu için kurumların bu veriyi işlerken daha çok özen göstermesi gerekmektedir. Çünkü bu hassas verilerin, kötü niyetli kişilerin eline geçmesi durumunda kişisel veri sahibinin, ayrımcılığa tabi tutulması kuvvetle muhtemeldir.
Kanun kapsamında koruma altına alınan kişisel veriler sadece gerçek kişilere ait olan kişisel veriler olup, tüzel kişilere ait olanlar koruma altında bulunmamaktadır. Fakat tüzel kişiye ait verinin elde edilmesi, bir veya birden fazla gerçek kişinin kimliğinin belirlenmesine neden oluyor ise, bu tür verilerin de kanunun korumasından yararlanması mümkün olabilir.
Gerçek kişilerin verilerine kişisel veri; tüzel kişilerin verilerine ticari sır diyoruz. Kişisel verileri koruma kanunu sadece gerçek kişilerin verilerini korumakla yükümlüdür. Tüzel şirketlerin ticari sırları bu kapsamda değildir. Ticari sırların korunması için hukukumuzda haksız rekabet düzenlemeleri ve ticari sır bilgi ve belgelerin açıklanması durumunda koruyucu hukuki ve cezai düzenlemeler bulunmaktadır.
KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel verilerin hukuka uygun işlenip işlenmediğini denetlenmesi için kişisel verilerin kanuna uygun işlenmesi gerekmektedir. Kişisel verilerin işlenmesi verinin herhangi bir şekilde elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesine yani kişisel veriler üzerinde gerçekleştirilen her türlü işleme kişisel verilerin işlenmesi faaliyeti adı verilmektedir. Kişisel verileri işlemekle yükümlü kanunda veri sorumlusu ve veri yükümlüsü bulunmaktadır.
Veri sorumlusu; kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri sorumlusu; kişisel verilerin doğru işlenmediği durumlarda kurumun yaptırımlarına maruz kalacak olandır. Örneğin; şirket bir veri sorumlusudur.
Veri işleyen ise ; veri sorumlusunun verdiği yetki ile onun adına kişisel verileri işleyen kişidir. Veri işleyen, şirketin verileri işlemek üzere görevlendirdiği bir kişi olabilir. Veri işleyenin sorumluluğu yoktur. Esas sorumluluk veri sorumlusundadır. Bazı küçük şirketlerde veri sorumlusu ile veri işleyen aynı kişi de olabilmektedir. Bunların dışında kişisel verileri koruma kurumu, kişisel veri ihlalleri olduğunda kişisel veri tutan şirket ile kişisel veri koruma kurumu ile iletişim sağlayabilecek bir irtibat kişisi bulundurmayı zorunlu tutmuştur.
İrtibat kişisi; kişisel verileri koruma kurumu ile kişisel verileri tutan şirket ile aralarında haberleşmeyi sağlayacak sorumluluğu olmayan bir gerçek kişiyi ifade eder. Örneğin; Şirketin avukatı, bir irtibat kişisi olabilir; ancak bir avukat yalnızca bir şirketin irtibat kişisi olabilir. Birden fazla şirketin irtibat kişisi olamamaktadır.
Kişisel verileri doğru işlemeyenler için kişisel verileri koruma kurumu büyük para cezaları vermektedir. Peki kişisel veriler nasıl doğru işlenir ? Kişisel verilerin işlenmesinde uyulması gereken ilkeler vardır. Bunları açıklarsak; kişisel veriler hukuka ve dürüstlük kurallarına uygun, doğru ve güncel olarak, belirli, açık meşru amaçlar için işlenmeli, işlendikleri amaçla bağlantılı, sınırlı, ölçülü olmalı, ilgili mevzuatta öngörülen ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilerek işlenmelidir. Kişisel verisi işlenen kişiye zarar vermeden verisi işlenmelidir.
Kişisel veriler kural olarak ilgili kişinin açık rızası olmadan işlenemez. Kişisel veri sahibi açık rıza yani bilgilendirmeye dayanan özgür irade ile açıklanan rıza vermedikçe kişisel verisi işlenemez. Kişisel veri sahibi açık rızasını isterse geri alabilir. Kişisel verisinin kaydedilmesine açık rıza veren veri sahibi dilediği zaman geri alabilir. O zaman da kaydedilen verilerin ivedilikle silinmesi zorunludur.
Kişisel verileri işleme, kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa bu durumda ilgili kişiden açık rıza alınmasına gerek yoktur. Kanunda sayılan bazı veri işleme durumları vardır. Bunlar kanundan kaynaklanan verilerin tutulmasını zorunlu olduğu hallerdir.
Bunlar nelerdir?
1.Kanunlarda açıkça öngörülmesi
( Örneğin: İş kanunu gereğince çalışanların özlük dosyalarının işveren tarafından tutulması)
2.Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
(Örneğin: Bilinci kapalı kişinin kişisel sağlık bilgisi veya kaçırılan kişinin konum bilgisi)
3.Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
(Örneğin: Kargo teslimatının yapılabilmesi için kişinin adres bilgilerinin kaydedilmesi)
4.Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
(Örneğin: Bankacılık, enerji, sermaye piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması)
5.İlgili kişinin kendisi tarafından alenileştirilmiş olması
(Örneğin: Sosyal medyaya fotoğrafının ve bilgilerinin yüklenmesi)
6.Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
(Örneğin: İşten ayrılan bir çalışana ait gerekli bilgilerin dava zamanaşımı boyunca saklanması)
7.İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
(Örneğin: Çalışan bağlılığını artıran ödül ve prim uygulanması amacıyla veri işlenmesi)
Bu şartlar kanunda sınırlı sayılmış olup, genişletilememektedir. Bu gibi durumlarda veri sahibinin açık rızasına gerek olmadan bu veriler işlenebilir. Böyle hallerde açık rıza gerektirmeyen durumlarda veri işlemek için açık rıza alınması aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır.
Bu konuda kişisel veri koruma kurulu tarafından verilmiş bir kararda;diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği gerekçesiyle veri sorumlusuna idari yaptırım uygulanmasına karar verilmiştir.
Bunların dışında kişisel veri koruma kanunu bazı özel durumlarda veri işlenmenin hukuka uygun olacağını bu durumda ilgili kişinin rızası olmadan da kamu menfaati söz konusu olduğunda veri işlenebileceğini söylemiştir.
Kanunun saydığı tam istisna durumları şöyledir;
1.Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
2.Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
3.Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
4.Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
5. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi halinde kanun hükümleri uygulanmayacaktır.
Ayrıca kanun kapsamında kısmı istisna tutulan durumlar da mevcuttur. Kanunun amacına ve temel ilkelerine uygun ve orantılı olma şartı ile bazı hükümlerden muaf tutulan haller şunlardır;
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Yukarıda anlattığımız durumlar haricinde kişisel veriler kural olarak ilgili kişinin açık rızası olmadan işlenemez; ancak kanunun saydığı bazı özel hallerde kişisel veri işlenmesi hukuka uygundur.
ÖZEL NİTELİKLİ KİŞİSEL VERİNİN İŞLENMESİ
Özel nitelikli kişisel verilerin tutulmasında kanun açık rızayı şart koşmuştur. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ilgilendiren özel nitelikli kişisel verilerin açık rızası olmaksızın işlenmesi yasaktır.
Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Açık rıza alınırken de kanunun belirlediği şartlara göre açık rıza alınması gerekir. Gelişigüzel rıza alınmasını kişisel veri koruma kurumu kabul etmemektedir Kurum belirli konu ile sınırlandırmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızaları battaniye rıza olarak kabul etmiş ve hukuken geçersiz saymıştır.
Örneğin: ‘‘ her türlü ticari işlem ‘’ ile ilgili rızam bulunmaktadır. Bu verilen açık rızalar kurumca kabul görmemektedir.
Bunun dışında kurumun önemle altını çizdiği bir diğer husus da kişisel verisi işlenecek kişinin önceden bilgilendirilmiş ve aydınlatılmış olması zorunludur. Verisi işlenecek gerçek kişinin bu verisinin hangi konuda ve ne kapsamda korunacağını aydınlatıldığı hususunda veri sahibinden onay alınması gerekmektedir. Aydınlatma metni kabul formu ile veri işleme kabul formu aynı form içinde olmamalı ayrı ayrı veri sahibinden onam alınmalıdır.
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALİNE GETİRİLMESİ
Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. Kişisel verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır.
Kişisel verilerin korunması için bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilmesi zorunludur.
Bir şirket ne kadar çok veri tutarsa o kadar çok risk almış olur. Kişisel verinin sonsuza kadar tutulması iyiniyetle bağdaşmaz. Kişisel veri tutulması bir meşru menfaate dayanmaktadır. Menfaat ortadan kalktığında verinin yok edilmesi gerekir. Ayrıca her verinin saklama süresi kanunlarda yazılıdır. Örneğin: Bir özlük dosyası 10 yıl muhafaza edilir. 10 yıl sonra özlük dosyası verilerinin sistemden silinmesi gerekir. Aksi durum kişisel veri ihlali doğuracaktır. Kişisel veri koruma kurulu pandemi döneminde kamu sağlığının korunması açısından HES kodu, yer ve lokasyon bilgilerinin alınmasına kamu yararı açısından cevaz vermiştir. Ancak kurul salgın döneminde alınan bu verilerin salgın bittiğinde derhal silinmesi veya anonimleştirilmesini zorunlu tutmuştur.
KİŞİSEL VERİ KORUMA KURUMUNA ŞİKAYET YOLU
Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
Kişisel verisi hukuka aykırı işlenen kişi, kişisel veri koruma kurumuna şikayet etmeden önce o veriyi işleyen şirketin veri sorumlusuna başvuruda bulunması zorunludur. Kişisel veri koruma kurumuna başvurmanın ön şartı veri sorumlusuna başvurmaktır.
Verisi işlenen kişi, taleplerini yazılı olarak ya da kurulca belirlenen diğer yöntemlerle veri sorumlusuna iletir. Veri sorumlusu en kısa sürede ve en geç 30 gün içinde başvuruyu ücretsiz sonuçlandırır. Veri sorumlusu talebi kabul ederse gereğini yerine getirir. Cevap ilgiliye yazılı olarak veya elektronik ortamda bildirilir.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması ve süresinde başvuruya cevap verilmemesi hallerinde verisi işlenen kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde kurula şikayette bulunabilir.
Başvuru yolu tüketilmeden kişisel veri koruma kurumuna şikayet yoluna gidilmez. Kişilik hakları ihlal edilenlerin , genel hükümlere göre tazminat hakkı saklıdır. Ayrıca kişisel verisi hukuka aykırı işlenen kişi, savcılığa suç duyurusunda da bulunabilmektedir.
Tazminat davası ve suç duyurusunda bulunmak için veri sorumlusuna başvurmak gerekmez; ancak kişisel veri koruma kuruluna şikayet veya ihbar bildirimi yapılacaksa veri sorumlusuna öncelikle yazılı başvuru şarttır. Yazılı başvurudan olumlu veya istenilen yanıt alınamazsa Kişisel verisi işlenen kişi, Kişisel veri koruma kuruluna şikayette bulunabilecektir. Şikayet başvurusunu elektronik ortamda e-devlet üzerinden gerçekleştirmek mümkündür.
Kişisel veri koruma kurulu, ihlalin büyüklüğüne göre idari yaptırım ya da para cezasına tek başına veya birlikte de hükmedebilir. Kişisel veri koruma kurulunun verdiği para cezalarına karşı Sulh Ceza Hakimliği’ne itiraz yolu açıktır. İtiraz sonucu verilen karar kesindir.
Kişisel veri koruma kurulu yalnızca para cezası öngördüyse itirazlar Sulh Ceza Hakimliği’ne yapılır. Kişisel veri koruma kurulu para cezasının yanında başka bir idari yaptırıma da hükmettiyse artık bu durumda itirazlar İdare Mahkemesine yapılacaktır.
Daha detaylı bilgi için lütfen bizimle iletişime geçiniz.