6698 sayılı Kişisel Verilerin Korunması Kanunu , 2010 yılında yapılan değişikliklerle Anayasa'nın 20. maddesine eklenen fıkra ile kişisel verilerin korunmasını isteme hakkı, özel hayatın gizliliği başlığı altında anayasal bir hak olarak güvence altına alındıktan sonra 2016 yılında bu maddenin alt normu olarak kanunlaşmıştır.
Kişisel Verilerin Korunması Kanunu'nun Amacı
-Kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerini korumak
-Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek
-Kişilerin kişisel veri güvenliğini ve mahrem mahfuz alanını korumak
Hukuka aykırı kişisel verilerin işlenmesini engellemek
Kişisel Verilerin Korunması Kanunu'nun Kapsamı ve Kişisel Veri, İlgili Kişi, Veri Sorumlusu
-Otomatik yollarla veri işleyenler
-Bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla veri işleyenler
-Kısmen otomatik yolla veri işleyenler
-Gerçek kişilere ait kişisel veriler
Tüzel kişilere ait kişisel veriler bu Kanun kapsamı dışındandır. Yani Kanun'a göre, sağlanan korumadan sadece gerçek kişiler yararlanmaktadır. Eğer tüzel kişiye ilişkin verinin gerçek kişiyi işaret eder bir veri olması halinde bu veri de koruma altında olacaktır.
Kişisel veri, belirli ve ya belirlenebilir nitelikteki bir gerçek kişiye ait her türlü bilgiyi ifade etmektedir.
Gerçek kişinin kimliğini ortaya çıkaran her türlü bilgi, kişisel veridir. Kimlik bilgileri, kişinin fiziki, ailevi, ekonomik, siyasi bilgileri, telefon numarası, özgeçmiş, resim, ses kaydı, genetik bilgiler vs.
İlgili kişi kişisel verisi işlenen gerçek kişiyi ifade eder.
Veri Sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
Kişisel Verilerin Korunması Kanunu'nun Kapsamı Dışındaki Haller
Kapsam dışındaki iş ve işlemler 6698 Sayılı KVKK m.28'de İstisnalar başlığı altında sayılmıştır:
İstisnalar
MADDE 28- (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Özel Nitelikli Kişisel Veri Nedir?
Kanunda tahdidi (sınırlı) olarak sayılmış öğrenilmesi halinde kişiniz dokunulmaz mahfuz alanını ihlal edici nitelikte verilerdir. Özel nitelikli kişisel veri sadece ilgili kişinin açık rızası ile ya da Kanun'da sayılan sınırlı hallerde işlenebilir.
Sınırlı sayıda sayılan veri türleri:
-ırk
-etnik köken
-siyasi düşünce
-felsefi inanç
-din
-mezhebi veya diğer inançlar
-kılık ve kıyafet
-dernek, vakıf ya da sendika üyeliği
-sağlık
-cinsel hayat
-ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler
-biyometrik ve genetik veriler
Veri İşleme Nedir?
Veri işlemenin tanımı Kanun'un 3. maddesinde yapılmıştır. Bu sayılanlar tahdidi olmamakla beraber bu anlamdaki faaliyetler de tanımın kapsamına girmektedir. Kişisel veri işleme; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, ifade etmektedir.
Açık Rıza ve Hukuka Uygunluk Halleri Nedir?
KVKK m.3'e göre belirli konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızaya açık rıza denmektedir. Kanun özel-genel nitelikli kişisel veri farketmeksizin açık rıza aramaktadır. Bu noktada açık rıza ciddi hususiyet arz etmektedir. Özellikle internet siteleri üzerinden veri işleyen kuruluş, firma ve şirketler bu konunun üzerine düşmelilerdir.
Kanun'da hem özel nitelikli kişisel veriler için hem de genel nitelikli kişisel verilerin işlenmesi için açık rıza, hukuka uygunluk halleri olmadığında genel kural olarak devreye girmektedir.
Genel nitelikli kişisel verilerin açık rıza aranmaksızın işlenmesi için gereken hukuka uygunluk halleri:
-Kanunlarda açıkça öngörülmesi.
-Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
-Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin -taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
-Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
-İlgili kişinin kendisi tarafından alenileştirilmiş olması.
-Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
-İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin açık rıza aranmaksızın işlenmesi için gereken hukuka uygunluk halleri:
1) Sağlık ve cinsel hayata ilişkin olmayan kişisel verilerin işlenmesi için kanunlarda öngörülmüş olması hali
2) Sağlık ve cinsel hayata ilişkin kişisel veriler ise sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacı
İlgili Kişiden Açık Rıza Nasıl Alınmalıdır?
Açık rıza, ilgili kişinin kendisiyle ilgili verinin işlenmesine hiçbir baskı altında kalmadan yeterli bilgi sahibi olarak herhangi bir tereddüte mahal vermeyecek şekilde sadece o işlemle ilgili olarak verilmelidir. Kişinin hareketsiz kalması o işleme onay verdiği anlamına gelmez.
Genel manada her türlü işlemi kapsayan ucu açık bir rıza geçerli bir onam olmayacaktır.
Birden fazla veri çeşitleri için birden fazla veri işleme amacı için ayrı ayrı belirtilerek rıza alınmalıdır.
Açık rıza veri işleme işleminin öncesinde alınması şarttır.
Açık rıza, veri sorumlusunun aydınlatma yükümlülüğü kapsamında yapacağı bilgilendirmenin akabinde verilmelidir.
Açık rıza için bir şekil şartı öngörülmemiştir. Yazılı olması hem veri işleyen için hem de ilgili kişi için fayda sağlamaktadır.
Aydınlatma Yükümlüğü, Aydınlatma Metni Nedir? Aydınlatma Metni Nasıl Yazılmalıdır?
Aydınlatma yükümlülüğü veri sorumlusunun yükümlülüklerindendir. Veri sorumlusu en geç kişisel verinin edinilmesi sırasında ilgili kişiyi bilgilendirmelidir. Aydınlatma yükümlülüğü ile açık rıza arasında sıkı bir ilişki vardır. Fakat sert çizgilerle de ayrılmaktadır. Aydınlatma ve açık rıza aynı kavramları karşılamazlar. Bu işlemler ayrı ayrı yapılmalı birbirlerine kaynaştırılmamalıdır. Veri sorumlusu bu yükümlülüğü yerine getirirken herhangi bir şekil şartıyla bağlı değildir. Yazılı ve sözlü olarak yerine getirilebilir. Bu yükümlülüğün fiziksel ortamda yahut elektronik ortamda yazılı olarak yerine getirilmesi özellikle veri sorumlusu için daha lehinedir.
Aydınlatma yükümlülüğü kapsamında bilgilendirilmesi gerekilen kişisel veri işleme amacının belirli, sarih, hukuka uygun olması gerekmektedir.
İlgili kişiye yapılacak bildirimin anlaşılır, sade, net olması bu yükümlülüğün gereklerindendir.
Aydınlatma yükümlülüğünün yerine getirirken hukuki sebebin açıkça belirtilmesi gerekmektedir.
Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve kimlere aktarılacağı belirlenmelidir.
Kişisel verilerin hangi yönteme göre elde edildiği açıklanmalıdır.
Hukuka Uygun Aydınlatma Metninde Olması Gereken Hususlar:
-Veri sorumlusunun ve varsa temsilcisinin kimliği
-Kişisel verilerin hangi amaçla işleneceği
-Kişisel veri toplamanın yöntemi ve hukuki sebebi (m.5 ve m.6)
-İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
-İlgili kişinin hakları (m.11)
Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) Kayıt Yükümlülüğü
VERBİS, kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik olarakbilgi girişi yapacakları bir kayıt sistemidir.
VERBİS'e kayıt zorunluluğu bulunanlar:
-Ana faaliyet konusu özel nitelikli kişisel veri işleme olanlar
-Yurtdışında yerleşik veri sorumluları
-Kamu kurum ve kuruluşları
-50'den fazla çalışanı veya bilanço büyüklüğü 25.000.000 TL'den fazla olanlar
KVKK'ya Aykırılığın Yaptırımları Nelerdir?
1) Kişisel Verileri Koruma Kurulu İdari Yaptırımı
5.000 TL - 1.000.000 TL (Güncel: 9.012 TL - 1.802.640 TL)
Kanun'un 18. maddesinde yer alan idari para cezalarının alt ve üst sınırları, 2021 için aşağıdaki şekildedir:
-Aydınlatma Yükümlülüğüne Aykırılık Hâlinde: 9.834 TL-196.686 TL
-Veri Güvenliğine İlişkin Aykırılık Hâlinde: 29.503 TL-1.966.862 TL
-Kurul Tarafından Verilen Kararlara Aykırılık Hâlinde: 49.172 TL-1.966.862 TL
-VERBİS'e Kayıt ve Bildirim Yükümlülüğüne Aykırılık Hâlinde: 39.337 TL-1.966.862 TL
2) Türk Ceza Kanunu Cezai Yaptırımı
TCK m.135-140 uyarınca ceza aralığı 6 ay - 4.5 yıl arasıdır.
3) Hukuki Yaptırım
Maddi ve Manevi Tazminat Davası
Sonuç
2010 Anayasa değişikliklerinden sonra 2016'da Kişisel Verilerin Korunması Kanunuyla regüle edilen edilen Kişisel Verilerin Korunması Hakkı önemli bir yer addetmektedir. Açıkladığımız gibi bu hakkın ihlali hallerinde önemli raddede idari para cezaları ve cezai yaptırımlar ve tazminat talepleriyle karşılaşılabilir. Bu sebeple özellikle VERBİS'e kayıt yükümlülüğü bulunan gerçek ve tüzel kişilerin bu konuda mutlaka Kişisel Verilerin Korunması Hukuku'nda uzmanlaşmış işinin ehillerinden hukuki destek alması gerekmektedir. Bu hususta verdiğimiz danışmanlık konularımız şunlardır:
- VERBİS kaydı
-Aydınlatma metni
-Kişisel veri saklama ve imha politikası
-Adli ve İdari yaptırımlar karşısında hukuki danışmanlık
-İdari ve teknik tedbirler
-Kişisel verilerin aktarımı
Comments