Kişisel Verilerin Korunması
Kişisel Veri ve Kişisel Verilerin Korunması Nedir?
Kişisel veri, bir kişinin belirli veya belirlenebilir nitelikte olan bilgilere verilen isimdir. Bir verinin kişisel veri kabul edilebilmesi için:
- Verinin bir kişiye ait olması,
- Veriye ait kişinin belirli veya belirlenebilir olması gerekmektedir.
Kişisel veri; kişinin yaşı, mesleği, ailevi özellikleri, fiziksel özellikleri, cinsel yaşamı, alışveriş alışkanlıkları gibi diğer bireylerden ayıran tüm bilgileridir. Kişisel verilerin yalnızca belirli amaçlar doğrultusunda işlenmesi ve bu amaçlara uygun süre boyunca saklanması zorunludur.
Özel nitelikteki kişisel veriler, söz konusu verilerin açığa çıkması halinde veri sahibinin mağdur olmasına veya ayrımcılıkla karşı karşıya kalacağı nitelikteki bilgilerdir. Özel nitelikteki verilerin kişiye daha sıkı sıkıya bağlı bilgiler olup, işlenmesi veya aktarılmasında özel durumlar öngörülmüştür. Özel nitelikteki kişisel veriler, sağlık ve cinsel hayatına ilişkin bilgiler ve diğer bilgiler olarak ikiye ayrılmış durumdadır.
Kişisel verilerin korunması, özel hayat gizliliğinin koruması ve yetkisiz kişilerce bilgilerin kullanılmasını engellemek amacıyla getirilen kurallar bütünüdür. Kişisel verilerin korunması kriterleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) düzenlenmiştir. Söz konusu kanun genel olarak; verilerin toplanması, işlenmesi, saklanması ve aktarılması, veri sorumlusunu süreçlerini düzenlenmiştir.
Kişisel Verilerin Korunması Kanunu Avukatlık Hizmeti
Kişisel verilerin korunması, ticari hayatta firmaların en çok sorun yaşadığı alanlardan biridir. Avrupa Birliği uyum sürecinde hayatımıza giren bu hukuk dalı, yeni olması sebebiyle uygulamada birçok sorun yaratmaktadır. Ofisimiz bu alanda başlıca şu hizmetleri sunmaktadır;
- KVKK’ya uyum,
- Sözleşmelerin KVKK’ya göre rezervi,
- Şirket içi eğitimler,
- Güncel mevzuatın takibi ve şirketi bilgilendirme,
KVKK İstisnaları
KVKK m.28/1 hükmünde kanun kapsam tamamen dışı bırakıldığı, kişisel veri ihlal oluşmayacak durumlara yer vermiştir:
- Bireyin kendisi veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi (ancak üçüncü kişilere verilmemek ve veri güvenliği yükümlülüklerine uyulması koşuluyla),
- Verilerin anonim hâle getirilerek resmi istatistik, araştırma, planlama ve istatistik gibi amaçlarla kullanılması.
- Millî savunma, kamu güvenliği, kamu düzeni ve ekonomik güvenlik gibi kritik alanlarda, kanunla görev verilmiş kamu kurumları tarafından yapılan işlemler,
- Soruşturma veya kavuşturma gibi ceza hukuku işlemlerinde işlenmesi
KVKK m.28/2 hükmünde kanun kısmen kapsam dışı, kişisel veri ihlal oluşmayacak durumlara yer vermiştir:
- Suç işlenmesinin önlenmesi veya soruşturma için kişisel verinin işlenmesi,
- Devletin mali ve ekonomik çıkarlarının korunması gerektiğinde,
- Kamu kurumlarınca yapılan vergi denetimi durumunda işlenen kişisel veriler,
- Veri sahibinin kendi alenileştirdiği verileri
Kişisel Verilerin İşlenmesi ve Korunması
Kişisel verilerin işlenmesi kavramı; verinin ilk defa işlenmesi, verilerin toplanması, kaydedilmesi, saklanması, değiştirilmesi, aktarılması gibi bütün süreci kapsayan zincirleme bir faaliyettir. Bir kişisel verinin işlenmesi için şu şartların aynı anda sağlanmış olması gerekmektedir:
- Veri işleme şartlarına uyulmuş olması,
- Veri sahibinin aydınlatılmış olması,
- Veri işleme ilkelerine uyulmuş olması
Kişisel verilerin işlenmesinin birçok farklı yolu mevcuttur. Başlıca veri işleme yöntemleri:
- Veri toplama veya kaydetme: Kişisel verinin ilk defa elde edilmesiyle başlayan süreç,
- Depolama/Muhafaza Etme: Elektronik veya fiziksel olarak, kişisel verilerin korunması, saklanması ya da depolanması,
- Değiştirme / Yeniden Düzenleme: Kişisel verilerin farklı yöntemlerle değiştirilmesi veya yeniden düzenlenmesi,
- Aktarılma / Devralınma: Kişisel verilerin iletilmesi
Kişisel verilerin otomatik veya otomatik olmayan şekilde işlenmesi mümkündür:
- Otomatik işleme: İnsan müdahalesinin asgari seviyede olduğu ve elektronik ortamda otomatik olarak toplanması
- Otomatik olmayan işleme: Kişisel verilerin belirli kriterlere göre fiziki veya elektronik olarak tutulmasıdır.
Kişisel Verilerin İşlenme Şartları
Kişisel verilerin korunması, bireylerin özel hayatının gizliliğini sağlamak ve veri güvenliğini temin etmek kanuni bir zorunluluktur. Verilerin işlenmesi, aşağıda yer alan en az birinin varlığı halinde mümkündür:
- Veri sahibinin açık rızası (Açık rıza, bilgilendirme ve özgür iradeye dayanmalıdır)
- KVKK ve diğer ilgili mevzuatlarda öngörülmüş olması,
- Fiili imkânsızlık nedeniyle iradesini açıklayamayan veya ifadesi hukuken geçersiz olan kişilerin veya bir başkasının beden bütünlüğü veya hayatı için zorunlu olması,
- Sözleşmenin kurulması veya ifası için zorunlu olması,
- Kişisel verinin korunması için zorunlu olması,
- Verilerin alenileştirmiş olması,
- Bir hakkın yerine getirilmesi veya korunması için zorunlu olması,
- Veri sahibinin temel hak ve özgürlükleri için zaruri durum olması
Yukarıda belirtilen şartlar sınırlı sayıda olup, farklı bir gerekçeyle kişisel verinin işlenmesi mümkün değildir. Ayrıca aşağıda yer verilen şu ilkelere aykırı davranılmaması gerekmektedir:
- Hukuka ve dürüstlük kuralına aykırı olmaması: Bilgilere erişime sahip kişi sayısının fazla belirlenmemesi
- Güncel olması: Eski ev adresinin veri olarak kaydedilmemesi
- Kişisel veri işleme şartlarına uygun açık, belirli ve uygun bir amacın olması: Sözleşmenin kurulması için kişinin anne kızlık soyadının kişisel veri olarak alınmaması
- Sınırlı ve ölçülü olarak kaydetme: Sözleşmenin kurulması için aile hayatına ilişkin bilgilerin toplanmaması,
- Gerekli süre kadar muhafaza etme: Sözleşmenin ifası ve sona ermesinden sonra bilgileri saklamama
Özel nitelikteki verilerin korunmasına ayrı bir hassasiyet gösterilmiş olup, ancak kişinin açık rızasıyla işlenmesi mümkündür. Açık rıza dışında şu durumların varlığı halinde kaydedilebilir;
- Sağlık ve cinsel hayatı dışındaki veriler İş Kanunu, Ticaret Kanunu gibi kanunlarda yer alan kanuni hükümlerin yerine getirilmesi için. Örneğin maaş bordosunun tutulması,
- Sağlık ve cinsel hayatına ilişkin kişisel veriler için kamu sağlığı için zaruri olması gerekmektedir.
Kişisel Veri Sahibi Hakları Nelerdir?
Kişisel Verilerin Korunması Kanun m.11 hükmünde veri sahibinin her zaman şu hakları mevcuttur:
- Veri sahibinin verilerinin işlenip işlenmediğini hakkında bilgi alma,
- Veri işlenmişse işlenen verilere ilişkin bilgi talep etme,
- Verilerin amacına uygun olarak olarak kullanılıp kullanılmadığını sorma,
- Verilerin yurt içi veya yurt dışında aktarılan kişilerin bilgilerini öğrenme,
- İşlenen verilerin eksik veya yanlış olması halinde bunların düzeltilmesi
- Verilerin silinmesini veya imhasını isteme
- Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesi durumunda, bu işlemlerden haberdar edilmesi gereken üçüncü kişilerin haberdar edilmesini isteme,
- Otomatik sistemlerle yapılan analiz sonucu aleyhine çıkan hususlara itiraz etme
- Hukuka aykırı olarak işlenen verilerden kaynaklı olarak ortaya çıkan zararını talep etmedir.
Veri Sorumlusu ve Veri İşleyen
Veri sorumlusu, verilerin; işleme amacını, toplanacak verileri, toplanan verilerin hangi amaçla kullanılacağını, kimlerden kişisel veriler toplanacağı gibi hususlara karar veren ve veri tabanı sistemi kurmak zorunda olan kişiyi ifade etmektedir. Veri sorumlusu, kişisel verilerin korunması sağlamakla yükümlü olan kişidir.
Veriyi işleyen, kişisel veri sorumlusunun vermiş olduğu talimat doğrultusunda verileri işleyen kişiyi ifade etmektedir.
Kişisel Veri İşleme Sözleşmeleri ve Yükümlülükler
Kişisel veri işleme sözleşmeleri, veri sorumlusu ile veri işleyen arasındaki ücret karşılığı yapılan bir sözleşmedir. Veri sorumlusu, belirli şartlar halinde kişisel verilerin işlenmesini veri işleyene devretmekte ve bunun karşılığında bir ücret ödemektedir. Veri işleme sözleşmesi kanunen tanımlanmış sözleşme olmayıp, taraflar arasında sözleşme serbestliği kapsamında düzenlenmektedir.
Kişisel veri işleme sözleşmelerinde başlıca şu hususlara yer verilmesi gerekmektedir:
- Verilerin işleme amaçları,
- Verilerin; nasıl işleneceği, saklanacağı ve hangi suretle aktarılacağı,
- Verilerin korunması için alınacak önlemler,
- Tarafların hak ve yükümlülükleri
Kişisel Verilerin Aktarılması
KVKK kapsamında kişisel verilerin yurt içinde ve yurt dışına aktarılması olarak iki başlıkla olarak incelenmektedir. Kişisel verilerin aktarılması için belirli şartların yerine getirilmesiyle mümkün olmaktadır.
Verilerin Yurt İçinde Aktarılması
KVKK m.8’de düzenlenmiş olup, kişinin açık rızasıyla mümkün olmaktadır. Ayrıca söz konusu kanunun m.5 v 6’da yer alan hükümlerin yerine getirilmesi zorunludur. Sonuç olarak kişisel verilerin yurt içinde aktarılması için bunlardan birinin bulunması gerekmektedir;
- Açık rıza veya
- Kişisel verilerin işlenme şartlarından birinin mevcut olması (yukarıda belirtilmiştir).
Verilerin Yurt Dışına Aktarılması
Kişisel verilerin yurt dışına aktarılması, KVKK m.9’da düzenlenmiş olup, şu şartlar halinde mümkündür;
- Açık rıza,
- Verilerin aktarılacağı ülkenin KVKK m.5/2 ile m.6/3 fıkralarındaki şartların sağlanması (veri işlenme şartları),
Kişisel verilerin korunması şartlarını sağlamayan ülkeler için;
- Kurulun izni,
- Yurt dışındaki ve Türkiye’deki veri sorumluların yeterli verilerin korunması sağlayacaklarına ilişkin taahhütname,
Kişisel Verilerin İhlali ve Yaptırımlar
Kişisel verilerin ihlali, kabahatler ve suçlar olarak ikiye ayrılmış durumdadır. KVKK’ya aykırılık teşkil eden suç fiilleri:
- KVKK m. 17 kapsamında verileri silmeme veya anonimleştirmememe suçu,
- TVK m.135 kapsamında izinsiz bir şekilde kişisel verileri işleme suçu,
- TCK m.136 kapsamında, kişisel verileri haksız olarak bir başkasına verme, dağıtma veya elde etme,
KVKK’ya aykırılık teşkil eden kabahatler ise:
- Aydınlatma yükümlülüğünü yerine getirmeme,
- Kişisel verilerin korunmasını sağlayamama,
- Sicili kayıt ve bildirim yükümlülüğünü yerine getirmeme
Kişisel verilerin ihlali ve yaptırımları çok geniş olup, bir başka makalemizde ayrıntılı olarak değinilecektir. Ancak KVKK’ya aykırılık halinde; cezai yaptırımlar, idari para cezaları ve tedbirler öngörülmüştür.
Kişisel Verilerin Korunması Kurulu (Kurul) ve İşlevi
Kurul, kişisel verilerin işlenmesi hakkındaki tüm süreçleri denetlemek ve KVKK’ya ihlal durumlarında müdahale etmek için kurulmuş bir kamu kurumudur. Kurulun başlıca görevi verilerin korunmasını sağlamak ve ihlallerinin önüne geçmektedir. Bu kapsamda bir kişisel verilerin ihlali halinde reseen veya şikayet üzerine inceleme yapıp, idari para cezası veya tedbir uygulayabilmektedir.
Kurulun başlıca görevleri;
- Veri sorumlularını denetlemek,
- Kişisel verilerin korunması ilkelerini belirlemek,
- Sicile kayıt düzenlemek,
- Resen veya şikayet üzerine kişisel verilerin ihlallerini incelemek ve yaptırım uygulamak başlıca görevleridir.
Kişisel verilerin korunması hakkında detaylı bilgi edinmek için; daha fazla bilgi için sitemizdeki “Blog” kısmını tıklayarak makalelerimize ulaşabilirsiniz. Hukuki hizmet almak için, sitemizdeki “Online Hukuk Hizmeti” kısmından tarafımıza ulaşabilir veya “İletişim Formu”nu doldurarak sorunlarınızı bize iletebilirsiniz.
Bu alana ilişkin daha fazla bilgi için sitemizdeki “Blog” kısmını tıklayarak makalelerimize ulaşabilirsiniz. Hukuki hizmet almak için, sitemizdeki “Online Hukuk Hizmeti” kısmından tarafımıza ulaşabilir veya “İletişim Formu”nu doldurarak sorunlarınızı bize iletebilirsiniz.