Kişisel Verilerin Korunması

Kişilerin, kurum ve kuruluşlarla olan ilişkilerinde özel hayatının gizliliğiyle hak ve özgürlüklerinin korunması esastır. Kişiye/kişilere ait bilgilerin üçüncü kişilerle paylaşılmaması için verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri vardır. Bu husus 6698 sayılı kişisel verilerin korunması kanunu (KVKK) ile sınırları çizilmiştir. 2016 yılında yürürlüğe giren bu yasayla veri işleyecek gerçek veya tüzel kişilere 2 yıllık bir uyum süreci verilmiştir. Nisan 2018 itibariyle uyum süresi bitmiş olup, yasa tüm hükümleriyle uygulanmaya başlanmıştır.

KVKK; kişisel verilerin gizliliğinin sağlanması, korunması ve izinsiz kullanımının önüne geçilmesi gibi temel amaçlar çerçevesinde tüm veri işleyen kişi ve kurumların uyumluluğunu esas alıyor. Kanun maddeleri; kişisel verileri işlenen gerçek kişilerle bu verileri tamamen/kısmen işleyen gerçek veya tüzel kişiler için uygulanıyor.

Kişisel Verilerin Korunması Kavramları

Kişisel Veri; Kişiyi dolaylı ya da doğrudan tanınabilir kılan tüm veri veya veri kümeleridir. Kişisel bilgiler, özgeçmiş, fotoğraf, ses kaydı gibi özel bilgiler kişisel veri sayılmaktadır. Bankacılık işlemlerinde üretilen müşteri ve kart numarası gibi kişiyi belirleyici veriler de kişisel veriler sayılıyor.

Veri İşleme; Kişisel veriler üzerinde yapılan bütün işlemlere denilmektedir. Verilerin arşivlenmesi, değiştirilmesi, açıklanması, analiz edilmesi gibi işlemler veri işleme kapsamına giriyor.

İlgili Kişi/Veri Sahibi; Verisi işlenen ve muhatap olunan gerçek kişileri ifade ediyor.

Veri Sorumlusu; İlgili kişinin verilerini işleme amaçlarını, yöntemlerini belirleyen ve yönetilmesinden sorumlu kişidir.

Veri İşleyen; Veri sorumlusu adına verileri işleyen gerçek veya tüzel kişilerdir.

Veri İşleme Şartları

Veri sorumluları belirli şartlar oluştuğunda veri işleme hakkına sahiptirler. Bu şartlar;

  1. Kanunlarda açıkça belirtilmesi (Bankacılık Kanunu, MASAK Mevzuatı),
  2. Bir sözleşmenin yapılması veya ifasıyla doğrudan doğruya ilgili olması,
  3. Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi,
  4. Veri sahibinin kendisini alenileştirmiş olması,
  5. Bir hakkın tesisi, kullanılması için veri işlemenin kaçınılmaz olması,
  6. Veri sorumlusunun meşru menfaati,
  7. Veri sahibinin yazılı olarak rızasının alınmasıdır.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Kişilerin; etnik kökeni, siyasi düşüncesi, dini, mezhebi, kıyafeti, dernek, vakıf ya da sendika üyeliği, cinsel hayatı, ceza mahkûmiyeti gibi verileri özel nitelikli kişisel verilerdir. Bu verilerin, kişisel verilerin korunması kapsamında açık rıza olmadan işlenmesi yasaktır.

Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler de; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi durumlarda ilgilinin açık rızası aranmaksızın işlenebilir.

Veri İşlemede Veri Sahibinin Rızasının Aranmadığı Durumlar

  • Kişisel verilerin, resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarda,
  • Millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği sağlama gibi durumlarda,
  • Sanat, tarih, edebiyat veya bilimsel amaçlarda güvenliği sağlamaya yönelik olarak önleyici, koruyucu ve istihbari faaliyetler kapsamında, veri sahiplerinin açık onayı aranmaz.

Veri Sahibinin Kişisel Hakları

KVKK 13. madde uyarınca gerçek veya tüzel kişilere yazılı başvurarak kişisel verilerinizin işlenmesi hakkında bilgi talep edebiliyorsunuz. Yazılı talepte bulunduğunuzda;

  1. Kişisel verilerinizin işlenip işlenmediğini,
  2. Kişisel verileriniz işlenmişse bununla ilgili bilgileri,
  3. Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını,
  4. Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri,
  5. Kişisel verilerinizin eksik veya yanlış işlendiği durumlarda düzeltilmesini,
  6. Kişisel verilerinizin silinmesini veya yok edilmesini,
  7. Kişisel verilerinizin düzeltilmesi, silinmesi ya da yok edilmesi sonucunda, yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini,
  8. İşlenen verilerin analiz edilmesi sonucunda aleyhinize bir durum oluştuğunda itiraz etme,
  9. Kişisel verilerinizin kanuna aykırı olarak işlenmesinden dolayı zarara uğramanız hâlinde zararın giderilmesini isteyebiliyorsunuz.

Veri Sorumlusunun Aydınlatma Yükümlülüğü

Veri sorumlusu, kişisel verileri elde ederken ilgili kişileri aydınlatmakla ve bilgi vermekle yükümlüdür. Veri sorumlusu;

  1. Kendisinin veya temsilcisinin kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağı,
  4. Kişisel veri toplamanın hukuki sebebi ve yöntemi,
  5. KVKK’nın 11. maddesinde belirtilen veri sahibinin diğer hakları konusunda bilgi vermekle yükümlüdür.

Kişisel Verileri Koruma Kurumu

İdari ve mali özerkliğe sahip, kamu tüzel kişiliğine haiz olan bir kurumdur. Cumhurbaşkanına bağlıdır ve merkezi Ankara’dır. Cumhurbaşkanının belirlediği bir bakanla birlikte çalışır. Kurum içinde karar organı olarak Kişisel Verileri Koruma Kurulu oluşturulmuştur. Kurul bağımsız olarak kurulmuştur. Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getireceği ve kullanacağı açıkça belirtilmiştir. Ayrıca görev alanına giren
konularla ilgili olarak hiçbir organ, makam, merci veya kişinin Kurula emir ve talimat veremeyeceği hüküm altına alınmıştır.

Kişisel Verileri Koruma Kurumu’nun Görevleri

  1. Mevzuattaki uygulamaları ve gelişmeleri takip etmek, değerlendirme ve önerilerde bulunur, araştırma ve incelemeler yapar veya yaptırır.
  2. İhtiyaca göre; görev alanına giren konularda kamu kurum ve kuruluşları, sivil toplum kuruluşlarıyla iş birliği yapar.
  3. Kişisel verilerle ilgili uluslararası gelişmeleri izleyip, değerlendirmek, görev alanına giren konularda uluslararası kuruluşlarla iş birliği yapar.
  4. Yıllık faaliyet raporunu Cumhurbaşkanlığına ve TBMM llet Meclisi İnsan Haklarını İnceleme Komisyonuna sunar.
Kişisel Verileri Koruma Kurulu’nun Görevleri
  1. Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlar..
  2. Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlar.
  3. Şikâyet veya ihlal iddiasında kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini inceler ve gerekirse bu konuda geçici önlemler alır.
  4. Özel nitelikli kişisel verilerin işlenmesi için aranan önlemleri belirler.
  5. Veri Sorumluları Sicilinin tutulmasını sağlamak.
  6. Görev alanı ile Kurumun işleyişiyle ilgili konularda gerekli düzenleyici işlemleri yapar.
  7. Veri güvenliğiyle ilgili yükümlülükleri belirlemek amacıyla düzenleyici işlemler yapar.
  8. Veri sorumlusunun veya temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapar.
  9. KVKK’da öngörülen idari yaptırımlara karar verir.
  10. Diğer kurum ve kuruluşların hazırladığı ve kişisel verilere ait hüküm içeren mevzuat taslakları hakkında görüş bildirir.

Kişisel Verilerin Korunması İhlali Ve Cezalar

Kişisel verilerin işlenmesi ve korunmasında kabahatlar ve verilecek cezalar kişisel verilerin korunması kanununun 17. ve 18. maddelerinde belirtilmiştir. Kişisel verilerle ilgili suçlarda 5237 sayılı Türk Ceza Kanunu’nun 135 ile 140. maddelerinin hükümleri uygulanıyor
Kişisel Verilerin Korunması Kanunu’nun 7. maddesindeki hükme uymayarak, kişisel verileri silmeyen veya anonim hâle getirmeyenler Türk Ceza Kanunu’nun 138 inci maddesine göre cezalandırılır.

Kabahatler

Kişisel Verilerin Korunması Kanunu’nun 18. maddesinde kabahatler ve verilecek cezalar açıkça belirtilmiştir.

  • Veri sahibini aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Avukat Musa Abbas Kuru

Av. Musa Abbas Kuru,  İstanbul Üniversitesi Hukuk Fakültesi’nden mezun olmuştur. Yıldız-Kuru Hukuk Bürosu’nun kurucu ortağıdır.

Profili Görüntüle