Whatsapp Destek Hattı: +90 (544) 697 22 22
- Kişisel veri nedir? Mevzuatımıza ne zaman girmiştir?
- Kişisel verilerin işlenme şartları ve amaçları nelerdir?
- Kişisel verileri kaydedenler bu verileri ne zaman silecekler veya nasıl imha edeceklerdir?
- Kişisel verileri işlenen kişilerin kanuni hakları nelerdir? Bu hakları nasıl ve ne sırayla kullanacaktır?
- Verbis kaydı ne demektir? Neler yer alır?
- Kanuna uymamanın cezai hükümler nelerdir?
*******
Kişisel veri, kimliği belirli veya belirlenebilir GERÇEK KİŞİYE İLİŞKİN HER TÜRLÜ BİLGİyi ifade eder. Kişisel veri mevzuatımıza henüz yeni girmiştir. Ancak çok önceki yıllardan işaretlerini vermiştir.
Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme”, 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır. Bu sözleşme 17 Mart 2016 tarih ve 29656 sayılı Resmî Gazetede yayımlanarak iç hukuka dâhil edilmiştir.
Oldukça gerekli olduğu, hem Avrupa Birliği’ne dahil olunabilmesi amacıyla, hem de Türkiye’nin son zamanlarda yaşadığı birtakım olaylar neticesinde ortaya çıkmıştır.
Çalışma hayatında ve sosyal yaşamda kişisel verilerin toplanması kaçınılmaz olmakla birlikte, kişisel verilerin sınırsız ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası, amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi amacıyla KVKK gereklidir.
Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır.
Gerçek kişilere ait bilgilerin işlenebilmesi için birtakım ilkeler sözkonusudur. Bu ilkeler,
a. Hukuka ve dürüstlük kurallarına uygun olma,
b. Doğru ve gerektiğinde güncel olma,
c. Belirli, açık ve meşru amaçlar için işlenme,
ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Şeklinde ifade edilmektedir.
Hukuka uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir.
Dürüstlük ilkesi ise, ilgili kişi aydınlatılmadan hiçbir şekilde kişisel verisinin toplanmaması ve işlenmemesi, ilgili kişiye karşı haksızlığa yol açacak şekilde kullanılmaması, toplanma amacının aşılmamasını ifade eder.
Meşru olmayan amaçlar için kişisel veri işlenemez, meşru amacın ne olduğu aşağıdaki şekilde ifade edilmektedir.
Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi;
· Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını,
· Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini,
· Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını
İfade etmektedir.
Elbetteki kişisel verileri kanuni olarak ya da açık rıza ile toplayanlar bu bilgileri ilanihaye saklamayacaklardır. Peki bu veriler ne kadar süre saklanacaktır?
Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak, kişisel verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek ya da anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir.
Ayrıca veri sorumlusu, Kanunun 16. maddesi uyarınca Veri Sorumluları Siciline kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi bildirmek zorundadır.
Kişisel verilerin neden işleneceği ise aşağıdaki gibi açıklanabilir.
1. İlgili kişinin açık rızasının varlığı
2. Kanunlarda açıkça öngörülmesi,
3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
4. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
5. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
6. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sınırlı sayıda sayılmış olup, bu şartlar genişletilemez.
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Elbette sürekli olarak saklanmayacak bu kişisel veriler belirtilen imha süreleri geldiğinde imha edilmek zorudadır.
Yok etme, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kopyalar da uygun şekilde yokedilir.
Silinme işlemi resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından yapılır.
Verileri kaydedenler bu veriyi kaydettiklerini ilgili kişiye bildirmek ve onu aydınlatmak zorundadırlar. Bu husus aydınlatma yükümlülüğünü ifade etmektedir.
Veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11. maddesinde sayılan diğer hakları konusunda ilgili kişiyi bilgilendirmekle yükümlüdür.
Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin onayına tabi değildir.
Aydınlatma yükümlülüğünün yerine getirilmesi konusunda bir şekil şartı bulunmamaktadır. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir.
Aydınlatma yükümlülüğü, ilgili kişinin kendi verisinin işlendiği ile ilgili bilgiyi kendisine vermekle bundan dolayı birtakım haklara sahip olduğunu da anlatmak ve belirtmek için gereklidir. Çünkü ilgili kişinin kanundan doğan birtakım hakları bulunmaktadır. Buna göre ilgili kişi;
Kanunun 11. maddesi çerçevesinde herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a. Kişisel verilerinin işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e. Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f. Maddenin (d) ve (e) bentlerinde belirtilen düzeltme, silme ve yok etme talepleri doğrultusunda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
Verileri kaydeden gerçek veya tüzel kişiler de bu kaydettikleri verilerin güvenliğini sağlamakla yükümlüdürler. Peki veri güvenliği nasıl sağlanacakıtr?
Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Ayrıca, veri sorumlusu, kurum ve kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır.
Veri sorumluları öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri görevden ayrılmalarından sonra da devam eder. Öte yandan, veri sorumluları için düzenlenen sır saklama yükümlülüğü Kanunda ile veri işleyenler için de getirilmiştir.
Verileri kayıt altına alınan kişiler, verilerinin akıbeti ile ilgili olarak veri sorumlusuna, kurula ve yargı yoluna başvurabilir. Ancak öncelikle veri sorumlusuna başvurmak ve taleplerini iletmek zorundadır.
İlgili kişi, verilerini işleyen veri sorumlusuna başvurarak verisinin muhafazasının sağlanmasını, imha edilmesini veya düzeltilmesini (vb isteklerini) talep edebilir. Talepler 30 gün içinde ya kabul ya da red edilmek zorundadır. Verilen cevaba göre Kurula başvuruda bulunulabilir. Kurul ise veri sorumlusundan 15 gün içinde cevap verilmek üzere bilgi talebinde bulunabilir. İlgili kişi veri sorumlusuna başvurmadan kurula başvuramaz. Ancak aynı anda kurula ve yargı yoluna başvurabilir. Yargı yolunda kişilik hakları ihlal edilmiş ve zarar görülmüş ise aynı zamanda tazminat davaları da açılabilir. Kurul kişilik hakları ihlali görür ise resen de veri sorumlusunda her türlü bilgi ve belgeyi isteyebilir ve inceleme yapabilir. Yerinde inceleme de yapılabilir. Devlet sırrı niteliğindeki bilgi ve belgeler bu kapsamda değildir. Kurul ilgili kişinin talebini 60 gün içinde cevaplandırır. Cevap verilmezse reddedilmiş sayılır.
Veri sorumluları, kanuni sınırlar içinde kalıyor ise verbis sistemine hangi verileri hangi süreyle hangi amaçla tuttuğu gibi birtakım bilgileri girmek zorundadır. Bu sicil alenidir.
Veri Sorumluları Sicili, veri sorumlularının kaydedildiği, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir.
“Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.”
Sicile kayıt başvurusu bir bildirimle yapılır ve bu bildirim şu hususları içerir:
a. Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
b. Kişisel verilerin hangi amaçla işleneceği,
c. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ç. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d. Yabancı ülkelere aktarımı öngörülen kişisel veriler,
e. Kişisel veri güvenliğine ilişkin alınan tedbirler,
f. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre
Verbis bilgileri kamuya açıktır.
Tabii ki kanun çıkmadan önce veri kaydeden işletmeler bu bilgilerin gerekli ve yeterli olanının neler olduğunu ve imha edilmesi gerekenler varsa imha edilmesini yapmak zorundadır. Yani kanunun çıkması ile bu bilgiler için de firmalara süre verilmiştir.
Kanunun Geçici 1. maddesinin 3. fıkrasında, hâlihazırda işlenmiş kişisel verilerin durumu düzenlenmiştir. Buna göre, Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, Kanunun yayımı tarihinden itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilmesi gerekmektedir. Bu süreç içerisinde, Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhâl silinir, yok edilir veya anonim hâle getirilir.
Elbette bu kanundaki belirtilen hükümlere uymamanın cezai şartları vardır. Türk Ceza Kanunu’nda bu cezai hükümler mevcuttur.
Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine (md. 135-140) atıf yapılmak suretiyle düzenlenmiştir. Ayrıca, kişisel verileri yok etmeyenlerin ise Türk Ceza Kanununun 138. maddesine göre cezalandırılacağı hüküm altına alınmıştır
İlgili hükümler aşağıdadır.
“Kişisel verilerin kaydedilmesi
Madde 135 – (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.
(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Verileri hukuka aykırı olarak verme veya ele geçirme
Madde 136 – (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
Nitelikli haller
Madde 137 – (1) Yukarıdaki maddelerde tanımlanan suçların;
a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,
işlenmesi halinde, verilecek ceza yarı oranında artırılır.
Verileri yok etmeme
Madde 138 – (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
Şikayet
Madde 139 – (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.
Tüzel kişiler hakkında güvenlik tedbiri uygulanması
Madde 140- (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.”
· Metin yazımında KVKK resmi internet sitesindeki dökümanlardan yararlanılmıştır.
