Avukat Gülşen Yağcı

veraset-ilaminin-iptali-davasi

KVK KANUNU’NUN AMAÇ VE KAPSAMI İLE KANUN ÇERÇEVESİNDE YAPILMASI GEREKENLER

  1. Anasayfa
  2. Makaleler

KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN AMAÇ VE KAPSAMI İLE KANUN ÇERÇEVESİNDE YAPILMASI GEREKENLER

KANUN’UN AMAÇ VE KAPSAMI:

Anayasa’nın 20.maddesinde düzenlenen “Herkes kendisi ile ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak kişinin kendisi ile ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp, kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esaslı usuller kanunla düzenlenir.” hükmü ile herkesin kişisel verilerinin korunmasını isteme hakkı Anayasal bir hak olarak Anayasamızda yerini almıştır.

Bu bağlamda 6698 sayılı Kişisel Verilerin Korunması Kanunu 7.04.2016 tarih ve 29677 Sayılı Resmi Gazete ’de yayımlanarak yürürlüğe girmiştir. Kanunun ilk maddesi kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir.

GENEL OLARAK KİŞİSEL VERİ KAVRAMI:

Kanuna göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Buna göre; kişilerin kesin olarak belirlenmesini sağlayan adı, soyadı, doğum tarihi, doğum yeri gibi bilgilerin yanında, kişinin fiziki, ailevi, ekonomik ve sosyal özelliklerine ilişkin bilgiler de kişisel veri kapsamında değerlendirilmektedir. Ayrıca kişilerin telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, başkaları ile yaptığı haberleşmeler, parmak izi, genetik bilgiler, IP adresi, kredi kartı bilgileri, dernek ve sendika üyeliği bilgileri de kişisel veri niteliğinde olup, kişisel verilerin korunması kapsamındadır.

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerine gerçekleştirilen her türlü işlemi kapsamaktadır.

Kişisel verilerin işlenmesinde dikkat edilmesi gereken hususlar Kanun’un 4, 5 ve devamı maddelerinde açıkça sayılmıştır. Kişisel verilerin işlenmesinde öncelikli olarak hukuka ve dürüstlük kurallarına uyulması, işlenen kişisel verilerin doğru ve gerektiğinde güncel olması gerekmektedir. Kişisel veriler ancak belirli açık ve meşru amaçlarla işlenebilir ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Ayrıca kişisel veriler yalnızca ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Kişisel verilerin işlenmesinde dikkat edilecek en önemli husus kişinin açık rızadır. İlgili kişinin açık rızası olmaksızın kişisel veriler işlenemez ve aktarılamaz. Ancak, kanunda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarında ilgili kişinin açık rızası kanun tarafından aranmamaktadır.

Bunun yanı sıra veri sorumlusu veya yetkilendirdiği kişi; veri sorumlusu ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve Kanunun 11. maddesinde sayılan diğer hakları konusunda kişisel verilerini işleyeceği ilgili kişiye bilgi vermekle yükümlüdür. Bu hususta da veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA ŞİRKETLERİN SORUMLULUĞU:

Kişisel verilerin nasıl tutulacağına ilişkin bilgilere yer vermeden önce Kişisel Verilerin Korunması Kanunu kapsamında kimlerin sorumluluğunun bulunduğunu belirlemekte fayda bulunmaktadır.

6698 sayılı Kanunun Geçici 1. maddesinin 2. fıkrasında, Veri Sorumluları Siciline kayıt yükümlülüğünün başlama tarihleri ile ilgili karar alma ve bunu ilan etme görev ve yetkisi Kişisel Verileri Koruma Kurulu’na verilmiştir.

Kurul ise, 19.07.2018 tarihli ve 2018/88 sayılı Kararı ile

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesine,
  • Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesine,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesine,
  • Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesine” karar vermiştir.

Ancak Kişisel Verileri Korunma Kurulunun "VERBİS Kayıt Sürelerinin Uzatılması" hakkında 03.09.2019 tarihli ve 2019/265 sayılı Kurul Kararınca Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına karar verilmiştir.

Bu nedenle yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için son tarih 31.12.2019 olup bu tarihten önce sicile kayıt zorunluluğu olan şirketlerin kayıt işlemlerini yapmış olması gerekmektedir.

Veri sorumluları için sicile kayıt yükümlülüğüne 2018/32, 68, 75 ve 87 sayılı Kurul Kararları ile istisna getirilmiştir. Buna göre:

  • Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
  • Noterler,
  • 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  • Siyasi partiler,
  • Avukatlar,
  • Gümrük müşavirleri,
  • Arabulucular,
  • Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar sorumluluk kapsamı dışında tutulmuştur.

YUKARIDAKİ BİLGİLER IŞIĞINDA KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA YAPILMASI VE DİKKAT EDİLMESİ GEREKLİ BAZI HUSUSLARA AŞAĞIDA YER VERİLMİŞTİR:

  • Öncelikli olarak; bir veri sorumlusu atanmalıdır. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi yani şirketin kendisini ifade etmektedir. Veri Sorumluları veri işlemeye başlamadan önce Veri Sorumluları Sicili ’ne kayıt yaptırmak zorundadır.
  • Sonrasında, veri envanteri hazırlanmalıdır. Veri envanteri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade etmektedir.
  • Envanterin hazırlanmasının ardından veri sorumlusunun aydınlatma metni ve politikalarını hazırlaması gerekmektedir. Aydınlatma metni kişisel verilerin işlenmesine ilişkin rızayı içermelidir. Konuyla ilgili olarak kişilerin bilgilendirilmesine öncelik verilmeli, kişisel verilerin nasıl korunduğu, envanter olarak nelerin kabul gördüğü, aynı zamanda silinmesi ve anonimleşmesi süreçlerinin tanımlandığı bir aydınlatma metni ve politikası hazırlanmalıdır.
  • Tüm bu işlemlerin sonrasında kişisel veriler açık rıza ile toplanmalıdır. Kanunda yapılan düzenlemelere göre kişisel veriler ancak veri sahibini aydınlatmak suretiyle, belli bir amaç ve süre ile sınırlı ve hukuka uygun biçimde işlenmelidir.
  • Kişisel verileri işlenen kişileri talep ve başvurularını cevaplandırmak için gerekli sistem kurulmalıdır. Zira kanunda yapılan düzenlemeye göre bu talepler en geç 30 gün içerisinde cevaplandırılmalıdır. Aksi halde ilgilinin kurula şikayet yolu açılacaktır.
  • Yukarıda belirtildiği üzere, veri sorumlularının yükümlülükleri çerçevesinde Kişisel Verilerin Korunması Kanunu’na uygun olarak ticari hayatı sürdürmek şirketler için büyük önem arz etmektedir. Bu sebeple gerçek ve tüzel kişilerin VERBİS Veri Sorumluları Sicili Bilgi Sistemi’ne kayıtlarını Kurumun internet sitesi (www.kvkk.gov.tr) üzerinde yer alan VERBİS Modülü veya e-devlet platformu üzerinden VERBİS’E kayıt işlemlerini yaparak gerekli prosedürün uygulanması gerekmektedir.


KİŞİSEL VERİLERİN KORUNMASI KANUNU’NDA BELİRTİLEN YÜKÜMLÜLÜKLERİN YERİNE GETİRİLMEMESİNİN SONUÇLARI:

Kişisel Verilerin Korunması Kanunu’nda belirtilen yükümlülüklerin yerine getirilmemesi durumunda uygulanacak olan yaptırımlar Kanun’un “Suçlar ve Kabahatler” Başlıklı 17 ve 18’inci maddelerinde düzenlenmiştir.

Kanun’un 17’inci maddesine göre; kişisel verilerin kaydedilmesi, verilerin hukuka aykırı olarak verme ve ele geçirilmesi, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmemeleri Türk Ceza Kanunu’na göre suç teşkil etmekte ve soruşturma/kovuşturması re’ sen yapılmaktadır.

Kanun’un “Kabahatler” başlıklı 18’inci maddesine göre ise;

“Bu Kanunun;

a) 10’ uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12’ nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15’ inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16’ ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. “ denilmiştir.

SONUÇ :

Yukarıda yapılan açıklamalar ışığında 6698 Sayılı Kişisel Verilerin Korunması Kanunu üzerinde önemle durulması gerekmektedir. Aksi halde şirketlerin ciddi yaptırımlarla karşılaşma riski bulunmaktadır. Bu kapsamda Kanun’a uyum çalışmalarının en kısa sürede başlatılması gerekmektedir.

Bu nedenlerle öncelikli olarak kanun kapsamına giren gerçek ve tüzel kişilerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu tekrar gözden geçirmeleri, veri sorumlusu atamasını gerçekleştirmesi, Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişilerin 30.12.2019 tarihine kadar Veri Sorumluları Sicil Bilgi Sistemi VERBİS modülü veya e-devlet platformu üzerinden VERBİS SİSTEMİNE kayıt yaptırması gerekmektedir.

NOT : Yukarıda yapılan açıklamalar, Kişisel Verilerin Korunması Kanunu çerçevesinde genel bilgileri içermektedir.

Av. Gülşen Yağcı

© 2019 Asır Avukatlık Bürosu  |  KVKK Aydınlatma Metni
 
#
Tamam