⮐ 

KVKK

Kişisel Verilerin Korunması

07.04.2016 tarihli Resmî Gazete ’de yayımlanarak yürürlüğe giren 6698 sayılı KVKK’nın 3. maddesine göre kişisel veri kavramı, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bilginin bir kişiye ait olması ve ardından bu kişinin belirli veya belirlenebilir nitelikte olması kişisel verinin unsurlarını oluşturmaktadır.

KVKK’nın kişisel veri tanımının; Türkiye’nin de taraf olduğu ve 02.05.2016 tarihinde onaylanarak 01.09.2016 tarihinde yürürlüğe koyduğu 108 sayılı Avrupa Konseyi Sözleşmesi ile Avrupa Birliği veri koruma hukukunun temelini oluşturan Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Hakkındaki 95/46/EC sayılı Avrupa Birliği ve Avrupa Konseyi Yönergesi ve son olarak 27 Nisan 2016 tarihinde yayınlanan ve 25 Mayıs 2018 tarihinde yürürlüğe giren 2016/679 sayılı Genel Veri Koruma Tüzüğü’nde düzenlenen veri tanımı ile uyuştuğu görülmektedir.

Bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.

Özel Nitelikli Kişisel Veriler

Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilemez.

Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Buna göre, hassas veriler kişisel verilerin daha fazla koruma uygulanan küçük bir grubu olarak değerlendirilebilir.

Kişisel Verilerin İşlenmesi ve Şartları

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kişisel verilerin işlenme şartları yani hukuka uygunluk halleri kanunda sınırlı sayıda sayılmış olup, bu şartlar genişletilemez. Kişisel veri işleme, kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Nitekim, ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir.

Kanunun 5. maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Bu çerçevede, özel nitelikli olmayan kişisel verilerin hangi hallerde hukuka uygun olarak işlenebileceği kanundaki esaslara göre aşağıdaki şekilde düzenlenmiş olup, bu şartlardan sadece bir tanesinin bulunması özel nitelikli olmayan kişisel verilerin işlenmesi için yeterli hukuki şartı oluşturacaktır.

  • İlgili kişinin açık rızasının varlığı,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Veri Sorumlusu ve Veri İşleyen

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri işleyen, veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir. Veri sorumlusu ve veri işleyen sıfatı, veri işleme faaliyetinin niteliğine göre ilgili tarafı tanımlamaktadır. Dolayısıyla, herhangi bir gerçek veya tüzel kişi yürüttüğü farklı faaliyetleri nedeniyle aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir.

Veri Sorumlusu Yükümlülükleri

Veri sorumluları öğrendikleri kişisel verileri kanun hükümlerine aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamazlar. Veri sorumlusunun bir diğer yükümlülüğü ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde de bu durumu kurula bildirme yükümlülüğüdür. Kurul, gerekmesi halinde bu durumu kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan eder. Yükümlülükler; kanuna uyumlu kişisel ver işleme, kişisel veri silme/yok etme/ anonimleştirme süreçlerinin kurgulanması, 3. Parti şirketlere karşı denetim sorumluluğu yerine getirilmesi, ilgili kişi bilgilerinin güncellenmesi, ilgili kişilerin bilgi edinme taleplerine cevap verme, istisna dışı haller dışında açık rıza süreci tamamlanması, kişisel veri güvenliği konusunda idari ve teknik altyapıların güçlendirilmesi, aydınlatma yükümlülüğünün yerine getirilmesi ve VERBİS veri sorumluları siciline kayıt şeklinde sıralanabilir.

Veri Sorumluları Sicili- VERBİS

Veri sorumluları sicili, verbis, veri sorumlularının kaydedildiği, kişisel verileri koruma kurulunun gözetiminde başkanlık tarafından kamuya açık olarak tutulan sicildir.

Sicile kayıt başvurusu bir bildirimle yapılır ve bu bildirim şu hususları içerir:

  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin alınan tedbirler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan azamı süre.

Aydınlatma Yükümlülüğü ve Açık Rıza

Kişisel veri işleme faaliyeti kapsamında kişisel verinin elde edilmesi sırasında veri sorumlusu tarafından ilgili kişilerin aydınlatılması gerekmektedir. Bununla birlikte aydınlatma yükümlülüğü yerine getirilirken ilgili kişiye verilecek bilgiler, eğer veri sorumluları siciline kayıt yükümlülüğü varsa, veri sorumluları siciline açıklanan bilgilerle uyumlu olmalıdır. Kayıt yükümlüğü yoksa kanunun 10. ve 11. maddeleri kapsamında aydınlatma yükümlülüğü yerine getirilmelidir. Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olmadığı ve faaliyetin kanundaki başka şartlar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ve yetkilendirdiği kişinin ilgili kişiyi aydınlatma yükümlülüğü devam etmektedir.

Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır. Açık rızanın üç unsuru bulunmaktadır:

  • Belirli bir konuya ilişkin olması: Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Buna göre genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz bir rıza tek başına kanun bağlamında açık rıza olarak kabul edilemez. Diğer bir ifade ile örtülü rızalar hukuken geçersizdir.
  • Rızanın bilgilendirmeye dayanması: açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesi gerekir. Bu kapsamda, kişiye yapılacak bilgilendirme, mutlaka verinin işlenmesinden önce yapılmalı ve veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir.

Bilgilendirme yapılırken elde edilecek kişisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmeli, kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır.

  • Özgür iradeyle açıklanması: kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde kişinin özgür biçimde karar vermesi mümkün değildir. Örneğin, işçiye rıza göstermeme imkanının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez.

İstisnalar

Kanun hükümleri aşağıdaki hâllerde uygulanmaz:

  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10., zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11. ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. maddeleri aşağıdaki hâllerde uygulanmaz:

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Bu kapsamda; milli istihbarat teşkilatı ile diğer istihbarat birimlerinin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik faaliyetleri kapsamında işlediği veriler kanunun uygulama alanı dışında tutulmaktadır. Aynı şekilde belirtilen amaçlarla, suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali suçların araştırılması konusunda yetkili birimler tarafından, yürütülen faaliyetler kapsamında işlenen veriler de bu istisna kapsamındadır. Bu konulardaki yetkili birimin; milli savunmayı, milli güvenliği kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik olmak üzere mali araştırma yapmak, mali istihbarat elde etmek ve üretmek, veri toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri almak, analiz etmek, değerlendirmek, inceleme yapmak ve ilgili kurumlarla paylaşmak suretiyle işlediği veriler de kapsam dışında tutulmaktadır.

Maddenin 2. fıkrasında, kısmen kanun kapsamı dışında kalan hususlar düzenlenmektedir. Buna göre, kural olarak bu fıkrada sayılan haller kanun hükümlerine tabi olmakla birlikte, yalnızca maddenin 2.fıkrasında belirtilen yükümlülükler bakımından istisna tutulmaktadır. Bu fıkra kapsamında; veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. madde, zararın giderilmesini talep etme hakkı hariç olmak üzere ilgili kişinin haklarını düzenleyen 11. madde ve veri sorumluları siciline kayıt yükümlülüğünü düzenleyen 16. madde hükümlerinin belirtilen durumlar bakımından uygulanmayacağı ifade edilmektedir. Ancak her durumda bu kapsamda gerçekleşen veri işleme faaliyetinin, kanunun diğer hükümlerine ve temel ilkelerine uygun ve orantılı olması aranacaktır.

Özel Nitelikli Verilerin İşlenmesi

Özel nitelikli kişisel verilerin işlenme şartları ise kanunun 6. maddesinde farklı esaslara bağlanmıştır. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilir.

Dikkate alınması gereken hususlar;

  • Özel nitelikli kişisel verilere erişen çalışanların tespiti,
  • Çalışanlara özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi
  • Özel nitelikli kişisel verilere erişen çalışanlarla gizlilik sözleşmeleri yapılması,
  • Özel nitelikli kişisel verilere erişen çalışanların yetki kapsamları ve net olarak tanımlanması,
  • Özel nitelikli kişisel verilere erişen çalışanların yetki kontrolleri periyodik olarak gerçekleştirilmesi
  • Özel nitelikli kişisel verilere erişen çalışanların görev değişikliği ve işten ayrılma durumlarında erişim yetkileri derhal kaldırılması ve kendilerine teslim edilen kişisel verilerin geri alınıp alınmadığı ya da yok edilip edilmediği,
  • Özel nitelikli kişisel verilerin barındırıldığı fiziksel ve elektronik alanlar tespiti,
  • Özel nitelikli kişisel verilerin barındırıldığı elektronik ortamlar kriptografik yöntemler kullanılarak korunuyor mu, kullanılan kriptografik anahtarların güvenli ve farklı ortamlarda tutulup tutulmadığı,
  • Özel nitelikli kişisel verilerin barındırıldığı elektronik ortamlarda veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanması,
  • Özel nitelikli kişisel verilerin barındırıldığı elektronik ortamlara ait güvenlik güncellemeleri sürekli takip edilmesi, gerekli güvenlik testleri düzenli olarak yapılması, test sonuçları kayıt altına alınması,
  • Özel nitelikli kişisel verilerin barındırıldığı elektronik ortamlara uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi kullanılması,
  • Özel nitelikli kişisel verilerin barındırıldığı fiziksel ortamlarda yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınması,
  • Özel nitelikli kişisel verilerin barındırıldığı fiziksel ortamlara sadece yetkili kişilerin erişmesi için gerekli önlemlerin alınması,
  • Özel nitelikli kişisel verilerin kimlere aktarıldığı tespiti,
  • Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya kayıtlı elektronik posta (kep) hesabı kullanılarak aktarılması,
  • Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya STFP yöntemiyle veri aktarımının gerçekleştirilmesi
  • Özel nitelikli kişisel veriler kâğıt ortamında aktarılıyorsa; evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınması, evrak “gizlilik dereceli belgeler” formatında gönderilmesi konuları dikkate alınmalıdır.

KVKK mevzuatının yeni ve sürekli güncellenen bir konu olması nedeniyle kurum içinde eğitimlerin gerçekleştirilmesi ve denetim biriminin oluşturulması gereklidir.

lgili departmanlara bu uyum projesinin adımları ve sürece hâkimiyetleri adına oryantasyon programları ile eğitimler düzenlenmeli ve KVK komitesi tarafından güncellenerek sürdürülebilirliği sağlanmalıdır.

Kozal Hukuk Tarafından aşağıdaki eğitimler verilmektedir.

  • Üst Düzey Yöneticilere Sunum,
  • Denetim Birimlerinin Eğitimi,
  • Kurum İçi Eğitimcilerin Eğitimi,
  • Kurum İçi Çalışanların Eğitimi

Kozal Hukuk tarafından verilecek eğitimlerin içeriği;

  • Kişisel verilerin korunması hakkında bilgilendirme.
  • KVKK uygulanabilir mevzuat ve kurul kararları örnekleri
  • KVKK uyum programı dokümanları
  • Envanter eğitimleri
  • Bilgi güvenliği ve güvenlik standartları
  • KVKK ve işlenmesi konusundaki risklere dikkat çekme
  • İhlal olayları risklerinin en aza indirgenmesi
  • Eğitimler, kurum işleyişini aksatmayacak şekilde planlanır ve eğitimlerin bir sonraki plana ışık tutması açısından eğitim tutanaklarıyla yazılı halde saklanması beklenir.

Konum

+90 530 956 50 82

info@kozalhukuk.com