17.11.2020, 13:31

Kişisel Verilerin Korunması Kanunu Hakkında Bilinmeyenler

6698 sayılı Kişisel Verilerin Korunması Kanunu’na Ne Kadar Uyumluyuz?

Kişisel verilerin işlenmesi (saklama ve imha) politikası oluşturdunuz mu?

Veri işlerken açık rıza beyanı alındı mı?

Verilerinizi yurt dışında herhangi bir gerçek/tüzel kişiye aktardınız mı?

Kanunu kapsamında aydınlatma yükümlülüğünüzü yerine getirdiniz mi?

Kişisel Verilerin Korunması Kanunu:

Söz konusu kanun 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek yasalaşmıştır. 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir. 

Gelişen teknoloji doğrultusunda her gün her an kişisel bilgilerimiz kurum ve kuruluşlar, elektronik platformlar, uygulamalar tarafından öğrenilerek kayıt altına alınmaktadır. Hukuk düzeni is bu verilerin korunmasını amaçlayarak yeni bir kanun tasarlama ihtiyacı duyulmuştur. Verilerin hangi şekilde, ne aralıklarla işleneceği, veri sorumlularını belirleyerek birtakım yükümlülükler getirmiştir. Kişisel verilerimiz işbu kanunla birlikte hukuki statü kazanmıştır. 

Kişisel Veri Nedir?:

KVKK’ nın tanımına göre Kişisel Veri “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade etmektedir.

Bir gerçek kişinin adı, soyadı, doğum tarihi, doğum yeri vs. gibi kişinin salt kimliğini ortaya koyan bilgilerle sınırlı olmayıp; pasaport sicil numarası, çalışanların bordro bilgileri, sağlık verileri, fotoğrafı, kan bağı olan kimseler, dernek veya vakıf üyelikleri gibi hem doğrudan hem dolaylı olan kişiyi belirli veya belirlenebilir hale getiren tüm verileri ifade etmektedir.

Kişisel verilerin kullanılmasına dair kanun gerçek kişilerin kişisel verilerini kapsamaktadır. Tüzel kişilerin verileri ise ticaret kanunu haksız rekabet gibi hükümlerle korunmaktadır.

Burcu Kılıç tek başına kişisel veri olmayabilir yanına e-mailin eklenmesi halinde kişiyi belirlenebilir kıldığı için artık kişisel veri kabul edilebilir.
Kişisel verilerin kullanılmasına ilişkin kanun kişisel veri noktasında özel ve genel nitelikli kişisel veri ayrımı yapmıştır.

Özel Nitelikli Kişisel Veriler:

Özel Nitelikli Veriler Kanunda sınırlı olarak sayılmış olup genişletilmesi mümkün değildir.

Kanunumuzda kişi hakkında ayrımcılık yapılmasına ve mağduriyet yaratılmasına mahal verecek verilere hassas nitelikti yani özel nitelikli olarak tanımlanmıştır.

İhlali noktasında daha ağır sorumluluk öngörülmüştür. Kişilerin ırkı, mezhebi, sağlığı, cinsel tercihi, siyasi düşüncesi özel nitelikli veri kabul edilmiştir.

Alenileştirme:

Kanun, kişiyi belirlenebilir her veriyi kişisel veri saymış fakat alenileştirme kavramı adı altında kişilerin kendi verilerini kamuya açık hale getirmesi durumunda veri işleyenlere sorumluluk öngörmemiştir. Peki alenileştirme nedir? Örneğin; kişinin sosyal paylaşım hesabında gizlilik ayarları ‘public’ yani herkesin görebileceği aleni gizlilik seviyesine getirerek, gerek özel hayatı gerek siyasal düşüncesi gerekse kimlik bilgileri açısından paylaşımlarda bulunması ve bunu tüm insanların görebiliyor olması halinde ilgili kişilere, veri sorumlularına, veri aktaranlara bu konuda verilerinin ihlaline ilişkin hesap sorma yetkisine sahip değildir. Alenileştirme teşkil edip etmediğinin değerlendirmesi hukukun iyi niyet ilkesi ile çözümlenmektedir. 

Veri Sorumlusu:

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Yani şirketin kendisidir.  Aynı zamanda veri sorumlusu, şirketten yetkili organları aracılığıyla bu işlemleri yürütmesi ve süreci takip etmesi için birini atayabilmektedir. Ama bu kişiyi atamış olması veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.

Veri İşleyen:

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir

Veri işleyen hem şirket içerisinde veri sorumlusu olarak yetkilendirdiğimiz kişiler olabilir hem de aynı zamanda üçüncü parti firmalar olabilir. 

Veri İşleme:

Kişisel verilerin tamamen veya kısmen otomatik veya otomatik olmayan yollarla ;

Gerek yurt içi gerekse yurt dışı veri tabanlarına kaydedilmesi,

Depolanması,

Muhafaza edilmesi,

Yeniden düzenlenmesi,

Devralınması,

Elde edilebilir hale getirilmesi,

Sınıflandırılması,

Paylaşılması

Kişisel verileri işleyen kelimesinde ki herkes ise;

Hastaneler,

Otobüs firmaları,

Üyelik sistemi ile çalışmakta olan tüm web siteleri,

e-ticaret siteleri,

sigorta şirketleri,

konum servisi bilgisi kullanan tüm kişi ve şirketleri

loyalty hizmeti sunan tüm perakende satış şirketleri

kanun kamu ve özel ayrımı yapmamaktadır.bir takım istisnalar dışında kurumda sorumludur. Bu istisnalar ise mesela bie suçun işlenmesini engellemek amacıyla bir suçun soruşturma kovuştrma aşamaları gibi istisnalarıdır.

Veri kayıt sistemi; Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi elektronik ya da fiziki ortamda oluşturulabilir. 

VERİ SORUMLULUĞUN KAPSAMI?

Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Ayrıca, veri sorumlusu, kurum ve kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır. Belirli şartlar da VERBİS kaydının yapılması gerekmektedir. 

Verbis kaydına Tabi Olan Veri Sorumluları:

Yıllık çalışan sayısı 50 ‘den çok veya yıllık mali bilanço toplamı 25 milyon TL’ den çok olan gerçek ve tüzel kişi veri sorumluları

Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları,

Yıllık çalışan sayısı 50 den az ve yıllık mali bilanço toplamı 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları,

Kamu kurum ve kuruluşu veri sorumluları

Sonradan kayıt yükümlüsü haline gelen veri sorumluları ise ilgili yükümlülüğün doğmasına müteakiben 30 gün içerisinde VERBİS e kaydolmak ile yükümlüdür.

Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 -1 milyon TL idari para cezası vardır.

Veri sorumluları öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri görevden ayrılmalarından sonra da devam eder. Öte yandan, veri sorumluları için düzenlenen sır saklama yükümlülüğü Kanunda ile veri işleyenler için de getirilmiştir.

Veri sorumlusunun bir diğer yükümlülüğü ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde de veri sorumlusunun bu durumu Kurula bildirme yükümlülüğüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan eder. Madde halinde ifade edecek olursak;

Aydınlatma yükümlülüğü:

Veri işlemeye başlamadan önce kişinin açık rızasının alınması gerekmektedir.

Açık rıza: Veri sahibin kendisi ile ilgili veri işlenmesine özgürce, konu ile ilgili yeterli bilgiye sahip olarak tereddütte yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği bir onaydır.

Aydınlatma yükümlülüğü KVKK’nın 10. Maddesinde düzenlenmiştir;

Veri sorumlusunun aydınlatma yükümlülüğü;

 MADDE 10- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; 

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği, 

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, 

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür. 

Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir. Aydınlatma yükümlülüğünü yerine getirdiğinin ispatı bizzat veri sorumlusuna aittir. 

Veri güvenliğinin sağlanması:

Erişim yetkilerinin belirlenmesi ve sınıflandırılması

Kullanıcı aktivitelerinin 7/24 izlenmesi

Güçlü parola özetlerinin oluşturulması

Veri İşleme Şartları:

Tüm veri sorumluları ancak aşağıdaki şartlar oluştuğunda veya ilgili kişi açık rıza verdiğinde veri işleme hakkına sahiptir:

-Kanunlarda açıkça öngörülmesi (Bankacılık Kanunu, MASAK Mevzuatı)

-Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,

-Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi,

-İlgili kişinin kendisi tarafından alenileştirilmiş olması,

-Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

-Veri sorumlusunun meşru menfaati.

Kişisel veri işleme envanteri:

Veri Sorumluları Sicili Hakkında Yönetmelik’te; “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter” olarak tanımlanmıştır. Kısaca envanter, veri sorumlularının gerçekleştirdiği bütün veri işleme faaliyetlerini gösteren dokümandır.

Envanter İçeriğinde Bulunması Gerekenler:

-Hazırlanacak olan envanterde aşağıdakilerin bulunması önerilmektedir.

-Veriyi işleyen departman

-Süreç ve faaliyet bilgisi

-Veri kategorisi

-Kişisel Veri İşleme amacı ve işlemenin hukuki sebebi

-Veri konusu kişi grupları

-Muhafaza edilme süresi

-Alıcı grupları

-Yurtdışına aktarıma ilişkin bilgiler

-Alınan idari ve teknik tedbirler

İDARİ PARA CEZALARI

-Aydınlatma Yükümlülüğünü yerine getirmemek; 

5-000- 100.000 TL

-Veri Güvenliğinin yerine getirilmemesi;

15.000- 1 milyon TL

-Kurul tarafından verilen kararları yerine getirmemek;

25.000- 1 milyon TL

-Veri sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler

20.000 – 1 milyon TL

İdari para cezasına hükmolunur.

Aynı zamanda Türk Ceza Kanunu kapsamında da cezai hükümlere tabidir;

-Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

Kişisel verilerin, kişilerin siyasi, felsefi veya dini görüşlerine, ırk kökenlerine, cinsel yaşamlarına sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda cezalar yarı oranında arttırılır. 

- Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

- Kanunların belirlediği süreyi geçmiş olmasına karşın, verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verilir.

- Suçların işlenmesi halinde tüzel kişiler hakkında bunlara özgü güvenlik tedbirlere hükmolunur.

Bahsi geçen gerek KVKK Kanunu Kapsamında yüksek miktarlarda idari para cezasına gerekse TCK kapsamında cezaya maruz kalmamak adına şartları taşıyan şirketlerin yukarıda anlatmaya çalıştığımız bilgilerin daha fazlasını edinerek, danışmanlık alarak söz konusu Kanuna acilen uyumlanması şirketlerin faydasına olacaktır.

Biz derya deniz olan Kanun kapsamında yapılması gerekenleri bir nebze aktarmaya çalıştık ancak yükümlülüklere uyum ve uygulamaya yönelik çalışmaların şirket bazında şirketin bünyesinin değerlendirilerek yasal uyum sürecine adaptasyonu özellikli olarak sağlanmalıdır. 

Yorumlar (1)
İlhan çelik 1 yıl önce
çok güzel özetlemişsiniz. emeğiniz için teşekkürler
banner69
15
açık
Namaz Vakti 02 Aralık 2021
İmsak 06:04
Güneş 07:29
Öğle 12:36
İkindi 15:11
Akşam 17:32
Yatsı 18:52
Puan Durumu
Takımlar O P
1. Trabzonspor 14 36
2. Konyaspor 14 26
3. Hatayspor 14 26
4. Fenerbahçe 14 24
5. Alanyaspor 14 24
6. Başakşehir 14 22
7. Karagümrük 14 22
8. Galatasaray 14 22
9. Adana Demirspor 14 20
10. Beşiktaş 14 20
11. Antalyaspor 14 18
12. Gaziantep FK 14 18
13. Altay 14 17
14. Sivasspor 14 16
15. Giresunspor 14 16
16. Kayserispor 14 16
17. Öznur Kablo Yeni Malatya 14 13
18. Göztepe 14 11
19. Kasımpaşa 14 10
20. Rizespor 14 10
Takımlar O P
1. Ümraniye 13 27
2. Ankaragücü 14 27
3. Eyüpspor 14 27
4. Bandırmaspor 13 25
5. Erzurumspor 12 25
6. İstanbulspor 13 20
7. Tuzlaspor 12 20
8. Kocaelispor 13 20
9. Samsunspor 13 19
10. Adanaspor 14 18
11. Menemenspor 13 17
12. Gençlerbirliği 13 17
13. Boluspor 13 16
14. Denizlispor 13 15
15. Bursaspor 13 14
16. Manisa FK 14 14
17. Ankara Keçiörengücü 13 13
18. Altınordu 14 13
19. Balıkesirspor 13 7
Takımlar O P
1. Chelsea 14 33
2. Man City 14 32
3. Liverpool 14 31
4. West Ham 14 24
5. Arsenal 13 23
6. Wolverhampton 14 21
7. Brighton 14 19
8. Leicester City 14 19
9. Tottenham 12 19
10. M. United 13 18
11. Brentford 13 16
12. Crystal Palace 14 16
13. Aston Villa 14 16
14. Everton 14 15
15. Leeds United 14 15
16. Southampton 14 15
17. Watford 14 13
18. Burnley 13 10
19. Norwich City 14 10
20. Newcastle 14 7
Takımlar O P
1. Real Madrid 15 36
2. Atletico Madrid 14 29
3. Real Sociedad 15 29
4. Sevilla 14 28
5. Real Betis 15 27
6. Rayo Vallecano 15 24
7. Barcelona 14 23
8. Athletic Bilbao 15 20
9. Espanyol 15 20
10. Osasuna 15 20
11. Valencia 15 19
12. Villarreal 14 16
13. Celta de Vigo 15 16
14. Mallorca 15 16
15. Deportivo Alaves 14 14
16. Granada 14 12
17. Elche 15 12
18. Cádiz 15 12
19. Getafe 15 10
20. Levante 15 7