Kişisel Verilerin Korunması

Kişisel Verilerin Korunması Kanunu Avukatlık Hizmeti

Kişisel verilerin korunması, ticari hayatta firmaların en çok sorun yaşadığı alanlardan biridir. Avrupa Birliği uyum sürecinde hayatımıza giren bu hukuk dalı, yeni olması sebebiyle uygulamada birçok sorun yaratmaktadır. Ofisimiz bu alanda başlıca şu hizmetleri sunmaktadır;

• KVKK’ya uyum,
• Sözleşmelerin KVKK’ya göre rezervi,
• Şirket içi eğitimler,
• Güncel mevzuatın takibi ve şirketi bilgilendirme,

KVKK İstisnaları

KVKK m.28/1 hükmünde kanun kapsam tamamen dışı bırakıldığı, kişisel veri ihlal oluşmayacak durumlara yer vermiştir:

• Bireyin kendisi veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi (ancak üçüncü kişilere verilmemek ve veri güvenliği yükümlülüklerine uyulması koşuluyla),
• Verilerin anonim hâle getirilerek resmi istatistik, araştırma, planlama ve istatistik gibi amaçlarla kullanılması.
• Millî savunma, kamu güvenliği, kamu düzeni ve ekonomik güvenlik gibi kritik alanlarda, kanunla görev verilmiş kamu kurumları tarafından yapılan işlemler,
• Soruşturma veya kavuşturma gibi ceza hukuku işlemlerinde işlenmesi

KVKK m.28/2 hükmünde kanun kısmen kapsam dışı, kişisel veri ihlal oluşmayacak durumlara yer vermiştir:

• Suç işlenmesinin önlenmesi veya soruşturma için kişisel verinin işlenmesi,
• Devletin mali ve ekonomik çıkarlarının korunması gerektiğinde,
• Kamu kurumlarınca yapılan vergi denetimi durumunda işlenen kişisel veriler,
• Veri sahibinin kendi alenileştirdiği verileri

Kişisel Verilerin İşlenmesi ve Korunması

Kişisel verilerin işlenmesi kavramı; verinin ilk defa işlenmesi, verilerin toplanması, kaydedilmesi, saklanması, değiştirilmesi, aktarılması gibi bütün süreci kapsayan zincirleme bir faaliyettir. Bir kişisel verinin işlenmesi için şu şartların aynı anda sağlanmış olması gerekmektedir:

• Veri işleme şartlarına uyulmuş olması,
• Veri sahibinin aydınlatılmış olması,
• Veri işleme ilkelerine uyulmuş olması

Kişisel verilerin işlenmesinin birçok farklı yolu mevcuttur. Başlıca  veri işleme yöntemleri:

• Veri toplama veya kaydetme: Kişisel verinin ilk defa elde edilmesiyle başlayan süreç,
• Depolama/Muhafaza Etme: Elektronik veya fiziksel olarak, kişisel verilerin korunması, saklanması ya da depolanması,
• Değiştirme / Yeniden Düzenleme: Kişisel verilerin farklı yöntemlerle değiştirilmesi veya yeniden düzenlenmesi,
• Aktarılma / Devralınma: Kişisel verilerin iletilmesi

Kişisel verilerin otomatik veya otomatik olmayan şekilde işlenmesi mümkündür:

• Otomatik işleme: İnsan müdahalesinin asgari seviyede olduğu ve elektronik ortamda otomatik olarak toplanması
• Otomatik olmayan işleme: Kişisel verilerin belirli kriterlere göre fiziki veya elektronik olarak tutulmasıdır.

Kişisel Verilerin İşlenme Şartları

Kişisel verilerin korunması, bireylerin özel hayatının gizliliğini sağlamak ve veri güvenliğini temin etmek kanuni bir zorunluluktur. Verilerin işlenmesi, aşağıda yer alan en az birinin varlığı halinde mümkündür:

• Veri sahibinin açık rızası (Açık rıza, bilgilendirme ve özgür iradeye dayanmalıdır)
• KVKK ve diğer ilgili mevzuatlarda öngörülmüş olması,
• Fiili imkânsızlık nedeniyle iradesini açıklayamayan veya ifadesi hukuken geçersiz olan kişilerin veya bir başkasının beden bütünlüğü veya hayatı için zorunlu olması,
• Sözleşmenin kurulması veya ifası için zorunlu olması,
• Kişisel verinin korunması için zorunlu olması,
• Verilerin alenileştirmiş olması,
• Bir hakkın yerine getirilmesi veya korunması için zorunlu olması,
• Veri sahibinin temel hak ve özgürlükleri için zaruri durum olması

Yukarıda belirtilen şartlar sınırlı sayıda olup, farklı bir gerekçeyle kişisel verinin işlenmesi mümkün değildir. Ayrıca aşağıda yer verilen şu ilkelere aykırı davranılmaması gerekmektedir:

• Hukuka ve dürüstlük kuralına aykırı olmaması: Bilgilere erişime sahip kişi sayısının fazla belirlenmemesi
• Güncel olması: Eski ev adresinin veri olarak kaydedilmemesi
• Kişisel veri işleme şartlarına uygun açık, belirli ve uygun bir amacın olması: Sözleşmenin kurulması için kişinin anne kızlık soyadının kişisel veri olarak alınmaması
• Sınırlı ve ölçülü olarak kaydetme: Sözleşmenin kurulması için aile hayatına ilişkin bilgilerin toplanmaması,
• Gerekli süre kadar muhafaza etme: Sözleşmenin ifası ve sona ermesinden sonra bilgileri saklamama

Özel nitelikteki verilerin korunmasına ayrı bir hassasiyet gösterilmiş olup, ancak kişinin açık rızasıyla işlenmesi mümkündür. Açık rıza dışında şu durumların varlığı halinde kaydedilebilir;

• Sağlık ve cinsel hayatı dışındaki veriler İş Kanunu, Ticaret Kanunu gibi kanunlarda yer alan kanuni hükümlerin yerine getirilmesi için. Örneğin maaş bordosunun tutulması,
• Sağlık ve cinsel hayatına ilişkin kişisel veriler için kamu sağlığı için zaruri olması gerekmektedir.

Kişisel Veri Sahibi Hakları Nelerdir?

Kişisel Verilerin Korunması Kanun m.11 hükmünde veri sahibinin her zaman şu hakları mevcuttur:

• Veri sahibinin verilerinin işlenip işlenmediğini hakkında bilgi alma,

• Veri işlenmişse işlenen verilere ilişkin bilgi talep etme,
• Verilerin amacına uygun olarak olarak kullanılıp kullanılmadığını sorma,
• Verilerin yurt içi veya yurt dışında aktarılan kişilerin bilgilerini öğrenme,
• İşlenen verilerin eksik veya yanlış olması halinde bunların düzeltilmesi
• Verilerin silinmesini veya imhasını isteme

• Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesi durumunda, bu işlemlerden haberdar edilmesi gereken üçüncü kişilerin haberdar edilmesini isteme,
• Otomatik sistemlerle yapılan analiz sonucu aleyhine çıkan hususlara itiraz etme
• Hukuka aykırı olarak işlenen verilerden kaynaklı olarak ortaya çıkan zararını talep etmedir.

Veri Sorumlusu ve Veri İşleyen

Veri sorumlusu, verilerin; işleme amacını, toplanacak verileri, toplanan verilerin hangi amaçla kullanılacağını, kimlerden kişisel veriler toplanacağı gibi hususlara karar veren ve veri tabanı sistemi kurmak zorunda olan kişiyi ifade etmektedir. Veri sorumlusu, kişisel verilerin korunması sağlamakla yükümlü olan kişidir.

Veriyi işleyen, kişisel veri sorumlusunun vermiş olduğu talimat doğrultusunda verileri işleyen kişiyi ifade etmektedir.

Kişisel Veri İşleme Sözleşmeleri ve Yükümlülükler

Kişisel veri işleme sözleşmeleri, veri sorumlusu ile veri işleyen arasındaki ücret karşılığı yapılan bir sözleşmedir. Veri sorumlusu, belirli şartlar halinde kişisel verilerin işlenmesini veri işleyene devretmekte ve bunun karşılığında bir ücret ödemektedir. Veri işleme sözleşmesi kanunen tanımlanmış sözleşme olmayıp, taraflar arasında sözleşme serbestliği kapsamında düzenlenmektedir.

Kişisel veri işleme sözleşmelerinde başlıca şu hususlara yer verilmesi gerekmektedir:

• Verilerin işleme amaçları,
• Verilerin; nasıl işleneceği, saklanacağı ve hangi suretle aktarılacağı,
• Verilerin korunması için alınacak önlemler,
• Tarafların hak ve yükümlülükleri

Kişisel Verilerin Aktarılması

KVKK kapsamında kişisel verilerin yurt içinde ve yurt dışına aktarılması olarak iki başlıkla olarak incelenmektedir.  Kişisel verilerin aktarılması için belirli şartların yerine getirilmesiyle mümkün olmaktadır.

Verilerin Yurt İçinde Aktarılması

KVKK m.8’de düzenlenmiş olup, kişinin açık rızasıyla mümkün olmaktadır. Ayrıca söz konusu kanunun m.5 v 6’da yer alan hükümlerin yerine getirilmesi zorunludur. Sonuç olarak kişisel verilerin yurt içinde aktarılması için bunlardan birinin bulunması gerekmektedir;

• Açık rıza veya
• Kişisel verilerin işlenme şartlarından birinin mevcut olması (yukarıda belirtilmiştir).

Verilerin Yurt Dışına Aktarılması

Kişisel verilerin yurt dışına aktarılması, KVKK m.9’da düzenlenmiş olup, şu şartlar halinde mümkündür;

• Açık rıza,
• Verilerin aktarılacağı ülkenin KVKK m.5/2 ile m.6/3 fıkralarındaki şartların sağlanması (veri işlenme şartları),

Kişisel verilerin korunması şartlarını sağlamayan ülkeler için;

• Kurulun izni,
• Yurt dışındaki ve Türkiye’deki veri sorumluların yeterli verilerin korunması sağlayacaklarına ilişkin taahhütname,

Kişisel Verilerin İhlali ve Yaptırımlar

Kişisel verilerin ihlali, kabahatler ve suçlar olarak ikiye ayrılmış durumdadır. KVKK’ya aykırılık teşkil eden suç fiilleri:

• KVKK m. 17 kapsamında verileri silmeme veya anonimleştirmememe suçu,
• TVK m.135 kapsamında izinsiz bir şekilde kişisel verileri işleme suçu,
• TCK m.136 kapsamında, kişisel verileri haksız olarak bir başkasına verme, dağıtma veya elde etme,

KVKK’ya aykırılık teşkil eden kabahatler ise:

• Aydınlatma yükümlülüğünü yerine getirmeme,
• Kişisel verilerin korunmasını sağlayamama,
• Sicili kayıt ve bildirim yükümlülüğünü yerine getirmeme

Kişisel verilerin ihlali ve yaptırımları çok geniş olup, bir başka makalemizde ayrıntılı olarak değinilecektir. Ancak KVKK’ya aykırılık halinde; cezai yaptırımlar, idari para cezaları ve tedbirler öngörülmüştür.

Kişisel Verilerin Korunması Kurulu (Kurul) ve İşlevi

Kurul, kişisel verilerin işlenmesi hakkındaki tüm süreçleri denetlemek ve KVKK’ya ihlal durumlarında müdahale etmek için kurulmuş bir kamu kurumudur. Kurulun başlıca görevi verilerin korunmasını sağlamak ve ihlallerinin önüne geçmektedir. Bu kapsamda bir kişisel verilerin ihlali halinde reseen veya şikayet üzerine inceleme yapıp, idari para cezası veya tedbir uygulayabilmektedir.

Kurulun başlıca görevleri;

• Veri sorumlularını denetlemek,
• Kişisel verilerin korunması ilkelerini belirlemek,
• Sicile kayıt düzenlemek,
• Resen veya şikayet üzerine kişisel verilerin ihlallerini incelemek ve yaptırım uygulamak başlıca görevleridir.

Kişisel verilerin korunması hakkında detaylı bilgi edinmek için; daha fazla bilgi için sitemizdeki “Blog” kısmını tıklayarak makalelerimize ulaşabilirsiniz. Hukuki hizmet almak için, sitemizdeki “Online Hukuk Hizmeti” kısmından tarafımıza ulaşabilir veya “İletişim Formu”nu doldurarak sorunlarınızı bize iletebilirsiniz.