KİŞİSEL VERİLERİN KORUNMASI

AVUKATINIZ CEVAPLIYOR

AV. Zeynep Tepegöz

AV. Zeynep Tepegöz
ASFED Avukatı

Kişisel Veri Nedir ?

 Kişisel Verilerin Korunması Hakkında Kanunda (KVKHK) ,  kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait olan her türlü bilgiye verilen addır.  Bu bilgiler; kişinin kimlik bilgileri, kişinin teşhisini sağlayan fiziksel bilgiler, psikolojik kimliği, cinsel yönelimi, kişinin ailevi, sosyal, ekonomik durumu, sağlık bilgileri, ayrıca kişinin belirlenebilmesini sağlayabilecek kişiye ait ses, görüntü, özgeçmiş, telefon numarası, biyometrik veri ve dijital parmak izine kadar genişletebileceğimiz her türlü veri  olarak tanımlanmıştır.

Kişisel verilerin korunması ile ilgili genel yasal çerçeve nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu, 24.03.2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Anılan kanun ile iş ilişkilerinde işe giriş aşamasından iş sözleşmesinin ifası ve sona erme süreçlerine kadar kişisel verilerin girilmesi, şirketlerin müşterilerine ait kişisel bilgilerin ilenmesi ve korunması, dernekler yasal mevzuatı gibi birçok alanda gerçek ve tüzel kişilere ait kişisel verilerin girilmesi, paylaşılması ve  korunması konusunda  özenli ve dikkat  davranma yükümlülüğü getirmektedir.

Kişisel Verilerin Korunması Kurumu nedir?

Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak amacıyla kurulan  kurum, kişisel verilerin silinmesini, değiştirilmesini, kişisel verilerin yok edilmesini isteyen gerçek ve tüzel kişilerin talepleri ile   hakları ihlal edilen kişilerin şikayetlerini karara bağlar.

Secret document

Kişisel Verileri Ne Zaman Kullanabiliriz?

Kişisel veriler üzerinde gerçekleştirilen kaydetmek, saklamak, değiştirmek, açıklamak, aktarmak gibi tüm işlemler, kişisel veri işlemek olarak tanımlanmaktadır. Yani bir gerçek kişinin bilgisini öğrendiğimiz andan, bilgiyi tamamen yok ettiğimiz ana kadar yaptığımız tüm işlemlerle Kanun’a göre kişisel veri işlemiş olmaktayız. Bu işleme süreçlerinin hukuka uygun olması için de aşağıdaki şartların gerçekleşmiş olması gerekmektedir.

– Kişisel verileri işlenen kişinin açık rızasının bulunması; ki bu açık rıza kişinin bilgilendirilmesine dayanmalı ve aydınlatıldığına dair bir onam içermelidir.

– Yasada belirlenen ilkelere göre kişisel veri işleme faaliyetleri hukuka ve dürüstlük kurallarına uygun olmalı; işlenen kişisel verilerin doğru ve gerektiğinde güncel olması sağlanmalı; veri işleme amaçları belirli, açık ve meşru olmalı; işlenen veriler işleme amacıyla bağlantılı, sınırlı ve ölçülü olmalı ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre boyunca saklanıp, bu sürenin ardından silinmeli veya anonim hale getirilmelidir..

– Kişisel verileri işlenen kişilerin; veri sorumlusunun kimliği, veri işleme amaçları, yöntemleri ve hukuki dayanakları, verilerin aktarılabileceği kişiler ve aktarma amaçları, ayrıca kişisel verileri üzerinde kullanabileceği hakları konularında aydınlatılmak zorundadır. Bu yükümlülüğün yerine getirilmesi için, güncel, kapsamlı ve kişisel verileri işlenen herkesin ulaşıp anlayabileceği kişisel veri bilgilendirilmeleri (daha yaygın adıyla, gizlilik politikaları) oluşturulması önerilmektedir.

– Kanun’a göre, verisi işlenen kişilerin; kendisine ait veri işlenip işlenmediğini, işlenmişse şartlarını, amacını ve amaca uygun kullanılıp kullanılmadığını, verilerin aktarıldığı kişileri öğrenme; eksik veya yanlış kişisel verilerin düzeltilmesini, işlenme sebebi ortadan kalkan verilerin silinmesini veya yok edilmesini, bu işlemlerin aktarılan kişilere de bildirilmesini ve işleme sebebiyle zarara uğradıysa bu zararın karşılanmasını isteme, verilerin otomatik sistemlerle işlenmesi sonucu ortaya çıkan olumsuz sonuçlara da itiraz etme hakları bulmaktadır.

– Kişisel veri işleme amaç ve yöntemlerini belirleyen gerçek veya tüzel kişiler olarak belirlenen kişisel veri sorumlularının, Kişisel Verilerin Korunması Kurumu bünyesinde oluşturulacak olan Veri Sorumluları Sicili’ne veri işleme faaliyetleri hakkında bilgi verilerek kayıt olması zorunlu tutulmaktadır.

–  Veri  sorumlularının işlenen kişisel verilere yetkisiz kişilerin erişmesini engelleyecek tüm güvenlik tedbirlerini alması  gerekmektedir.

Kişisel Verilerin Kullanılmasında Açık Rıza Her Zaman Şart Mıdır?

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak kabul edilmektedir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

– Kişisel veri işlemenin kanunda öngörülmüş olması, kanuni yükümlülüğün yerine getirilmesi veya bir hakkın kullanılması için zorunlu olması durumunda, kanunda öngörülen veya işlenmesi zorunlu olan kişisel veriler, açık rıza olmadan da işlenebilir.

– Yine bir sözleşmenin kurulması veya sözleşmedeki yükümlülüklerin yerine getirilmesi için gereken bilgiler de sözleşmenin diğer tarafına ait olmaları şartıyla rıza olmadan işlenebilir.

– Rızasını açıklayamayacak kişilere ait kişisel verilerin zorunlu durumlarda işlenmesi veya kişiye zarar vermediği sürece işlemenin veriyi işleyen kişinin menfaatleri için zorunlu olması hallerinde de kişisel veriler açık rızaya gerek olmadan işlenebilir.

Aydınlatma Yükümlülüğü Nedir?

– Kişisel verileri işlenen kişilerin; veri sorumlusunun kimliği, veri işleme amaçları, yöntemleri ve hukuki dayanakları, verilerin aktarılabileceği kişiler ve aktarma amaçları, ayrıca kişisel verileri üzerinde kullanabileceği hakları konularında aydınlatılmak zorundadır. Bu yükümlülüğün yerine getirilmesi için, güncel, kapsamlı ve kişisel verileri işlenen herkesin ulaşıp anlayabileceği kişisel veri bilgilendirilmeleri (daha yaygın adıyla, gizlilik politikaları) oluşturulması önerilmektedir. Örneğin  işyeri olsa dahi gizli kamera ile çekim yapılması yasak iken belirli, açık ve meşru amaç için işlenme koşuluna göre  kamera uygulamasını yapılacaksa bunu meşrulaştırmak gerekmektedir. İş sağlığı ve güvenliği veya genel güvenlik koşulları gibi meşru gerekçeler olarak kabul edilebilir. Ancak, iş güvenliği amacı ile  kamera uygulaması kullanılıyorsa bu kullanım sınırlı kalmalı ve ölçülü olmalıdır. Yani, işçilerin giyinme soyunma odalarına kamera konamaz, kişilerin temel  insan haklarına zarar verecek boyutlara getirilemez.

Kişisel Veriler Yurtdışına  Aktarılabilir mi?

Kişisel verilerin yurtdışına aktarılabilmesi için öncelikle  kişinin açık rızasının alınması gerekmektedir. Ancak eğer kanuni istisnalara dayanılarak veriler yurtdışına aktarılacaksa, aktarım yapılacak ülkelerin Kişisel Verileri Koruma Kurulu tarafından belirlenecek güvenli ülkeler arasında yer alması ya da yurtdışındaki veri aktarılacak kişilerin Kişisel Verileri Koruma Kurulu tarafından uygun bulunacak şekilde yeterli korumayı taahhüt etmesi gerekmektedir. Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve izin verilip verilmeyeceğine;  Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,  kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

Kanuna Uyulmaması Halinde Öngörülen  Yaptırımlar Nelerdir?

Kanun’un kişisel verileri silmeyen veya anonim hale getirmeyenler hakkında Türk Ceza Kanunu hükümlerine göre cezalandırılır. Türk Ceza Kanunun 133. maddesine  göre hukuka aykırı olarak kişi­sel verileri kaydeden kimseye,  kişilerin siyasî, felsefî veya dinî görüşle­rine, ırkî kökenlerine; hu­kuka aykırı olarak ahlâkî eğilim­lerine, cinsel yaşamlarına, sağlık durumla­rına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse altı aydan üç yıla kadar hapis cezası ile ,  kişisel verileri, hukuka ay­kırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile  bu suçların kamu görevlisi tarafından ve görevinin ver­diği yetki kötüye kulla­nılmak suretiyle ya da belli bir meslek ve sanatın sağladığı kolay­lık­tan yararlanmak sure­tiyle işlenmesi hâlinde, verilecek ceza yarı oranında artırılarak uygulanır. Aynı şekilde Türk Ceza Kanunu’nun 138. maddesine  göre  maddede, kanunların belirlediği sü­rele­rin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini ye­rine getir­mediklerinde altı aydan bir yıla kadar hapis ce­zası verilir. Kanunda  yer alan aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000TL’den 10.000 TL ‘ye kadar , veri güvenliğini sağlamayanlar hakkında 15.000TL’den 1.000.000 TL, kurul kararlarını yerine getirmeyenler hakkında  25.000 TL’den 1.000.000 Türk Lirasına kadar, veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı  hareket  edenler hakkında 20.000 TL’den 1.000.000 Türk Lirasına kadar  para cezası  öngörülmektedir.  

Etiketler: ,

Yorumlar kapalı.