Kişisel Verilerin Korunması

KİŞİSEL VERİ NEDİR?

Kişisel Verilerin Korunması Kanun’un (“Kanun”) 3. maddesinde kişisel veriler, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır.

Kanun’un gerekçesine göre; kişinin adı, soyadı, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler, kişileri belirli veya belirlenebilir kılmalarından dolayı kişisel veriler olarak kabul edilmektedir.

KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

KİŞİSEL VERİLERİN İŞLENMESİNDE UYULMASI GEREKEN TEMEL İLKELER

Kişisel verilerin işlenmesinde uyulması gereken temel ilkeleri;

Hukuka ve dürüstlük kurallarına uygun olma,
Doğru ve gerektiğinde güncel olma,
Belirli, açık ve meşru amaçlar için işlenme,
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süreyle sınırlı olarak muhafaza edilmesi,

olarak tanımlayabiliriz.

KİŞİSEL VERİLERİN İŞLENMESİNDE İLGİLİ KİŞİNİN AÇIK RIZASI

Kural olarak kişisel verilerin işlenebilmesi için kişisel verisi işlenen gerçek kişinin (“İlgili Kişi”) açık rızasının olması gerekmektedir. Ancak, Kanun’da sayılan bazı istisnai hallerde açık rıza olmadan da kişisel verilerin işlenmesi mümkün kılınmıştır. Bu haller;

Kanunlarda açıkça öngörülmesi,
Rızasını açıklayamayacak durumda bulunan veya rızası hukuken geçersiz olan kişinin ya da bir başkasının hayatı ya da beden bütünlüğünün korunması için zorunluluk olması,
Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
Taraflara ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması,
İlgili Kişi’nin kendisi tarafından alenileştirişmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, ve
Veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

şeklinde tanımlanmaktadır.

ÖZEL NİTELİKLİ KİŞİSEL VERİLER

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biometrik verileri özel nitelikli kişisel veri olarak tanımlanmaktadır.

Bu veriler, kanunlarda sayılan istisnai haller dışında, ancak İlgili Kişi’nin açık rızası olursa işlenebilmektedir.

Sağlık ve cinsel hayata ilişkin verilerde ise özel bir durum söz konusudur. Bu bilgiler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmektedir.

VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Açık rıza verilen haller veya açık rıza aranmayan istisnai durumlara uygun olarak işlenmiş kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde veya İlgili Kişi’nin talebi doğrultusunda, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Kanun’un 7. maddesi hükmüne aykırı olarak, kişisel verileri silmeyen veya anonim hale getirmeyenler, 5237 sayılı Türk Ceza Kanunu (“TCK”)’nun 138. maddesi uyarınca, 1 yıldan 2 yıla kadar hapis cezasıyla cezalandırılmaktadır.

VERİ SORUMLUSU İLE VERİ İŞLEYENİN YÜKÜMLÜLÜKLERİ

Veri Sorumlusu. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetiminden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmaktadır.

Veri İşleyen. Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmaktadır.

Veri Sorumlusu’nun Aydınlatma Yükümlülüğü. Veri Sorumlusu’nun veya Veri İşleyen’in aydınlatma yükümlülüğü bulunmaktadır. Kanun’un 10. maddesi uyarınca Veri Sorumlusu veya Veri İşleyen, İlgili Kişi’lere, (i) Veri Sorumlusu’nun ve varsa temsilcisinin kimliği, (ii) kişisel verilerin hangi amaçla işleneceği, (iii) işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, (iv) kişisel veri toplamanın yöntemi ve hukuki sebebi ve (v) Kanun’da sayılan İlgili Kişi’nin hakları, konusunda bilgi vermekle yükümlüdür.

İlgili Kişi, Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle Veri Sorumlusu’na iletir. Veri Sorumlusu, başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırmalıdır.

Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk Lirasından 100.000 Türk Lirasına kadar idari para cezası verilebilmektedir.

Veri Sorumlusu’nun Veri Güvenliğine İlişkin Yükümlülüğü. Veri Sorumlusu’nun aydınlatma yükümlülüğünün yanında veri güvenliğine ilişkin yükümlülükleri de bulunmaktadır. Veri Sorumlusu, (i)kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (ii)kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve (iii)kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Veri Sorumlusu’na, bu yükümlülüklerini ihlal etmesi halinde, 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası uygulanabilmektedir.

İLGİLİ KİŞİNİN HAKLARI

İlgili Kişi’ler, veri sorumlusuna başvurarak kendisiyle ilgili;

Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
Kanun’un ilgili maddelerinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
Kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptirler.

KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA YAPILMASI GEREKENLER

Kişisel Verilerin Korunması Kanunu uyarınca;

KVKK Politikası,
Özel Nitelikli KVKK Politikası,
Aydınlatma Metni,
Çerez Politikası,
Başvuru Formu,
İmha Politikası,
Kişisel Verilerin İşlenmesine Dair Envanter,

hazırlanarak mevcut sözleşmelerin bu kapsamda yeniden düzenlenmesi ve revize edilmesi gerekmektedir.

Latest News

Contact Us

Follow Us On

Important Links

Contact Us