KISA KISA KVKK

26 Mart 2020

6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.


 Kişisel Verilerin Korunması Kanunu Ne Zaman Yürürlüğe Girmiştir?

6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır?                                                                               

Kanun herhangi bir sektör ayrımı gözetmeksizin kişisel veri ile temasta bulunan tüm alanları düzenlemektedir.                                                                                                        

Kişisel Veri ve Özel Nitelikli Kişisel Veri Nedir?

Kişisel veri, Kanun’da yer alan tanım doğrultusunda kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.

Özel Nitelikli Kişisel Veri ise; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade etmektedir.

Kişisel Verilerin Korunması Alanında Uluslararası Düzenlemeler Nelerdir?                                                                            

3 Eylül 1953 – İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesi

23 Eylül 1980 – OECD’nin Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri

28 Ocak 1981 – 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi

14 Aralık 1990 – BM’nin Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri

25 Ekim 1998 – 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi

8 Kasım 2001 – 181 No’lu Kişisel Verilerin İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokol

2018 – 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)                                                                                 

Kişisel Verilerin Korunması Alanında KVKK Öncesi Ulusal Düzenlemeler Nelerdir?                                                                                                                     

  1. 12 Ekim 2004 – 5237 sayılı Türk Ceza Kanunu
  2. 12 Eylül 2010 – Kişisel Verilerin Korunması ile ilgili hükmün Anayasaya dahil edilmesi
  3. 17 Mart 2016 – 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Türk hukukuna dahil edilmesi
  4. 7 Nisan 2016 – 6698 sayılı Kişisel Verilerin Korunması Kanunu                                                                                                                                                                                                                                                                                                      

İlgili Kişi Kimdir?

Kanun kapsamında yalnızca gerçek kişilerin verileri korunmaktadır. Bu nedenle, Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır.

 

İlgili Kişi Kim Değildir?                                                                                                                       

Tüzel kişiler, merhum veya henüz doğmamış kişiler ilgili kişi kabul edilmemekte Kanun kapsamında korunmamaktadır.                                                                                                                  

Kişisel Verilerin İşlenmesi Nedir?

Kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlemler kişisel veri işlemedir.                                                                                                                          

Veri Kayıt Sistemi Nedir?                                                                                                                                                                             

Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir.                                                                                                  

Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Bu kapsamda şirketiniz veri sorumlusu sıfatına sahiptir

Veri İşleyen Kimdir?                                                                                               

Veri İşleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.

Kişisel Veri İşlenirken Uyulması Gereken İlkeler Nelerdir?                                                                                                                                                                                         

a) Hukuka ve dürüstlük kurallarına uygun olma                                                                                                                                                            

b) Doğru ve gerektiğinde güncel olma                                                                                                                                                                                   

c) Belirli, açık ve meşru amaçlar için işlenme                                                                                                                                                              

d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma                                                                                                                                                    

e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme                                                                                                                            

Kişisel Verilerin İşlenme Şartları Nelerdir?                                                                                                                                                                                  

Kişisel veriler kural olarak ilgili kişinin açık rızası olmaksızın işlenemez.

Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

  • Kanunlarda açıkça öngörülmesi
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, özleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması                                                                                                     

Açık Rıza Nedir?                                                                                                              

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.                                                                                                                                                    

Aydınlatma Yükümlülüğü Nedir?

Kişisel verilerin işlenmesinden önce, ilgili kişilerin bilgilendirilmesi faaliyeti aydınlatma olarak kabul edilmektedir. KVKK kapsamında ilgili kişilerin işlenen kişisel verilerinin hangi amaçla, nasıl işlendiği, ne kadar süreyle saklandığı ve veri sorumlusunun kimliği gibi konularda ilgili kişilerin aydınlatılması bir yükümlülük olarak kabul edilmiştir.

Kişisel Verilerin Aktarımı Hangi Şartlarda Mümkündür?                                                                                                            

Kişisel verilerin kural olarak, ilgili kişinin açık rızası olmaksızın aktarılamayacağı kabul edilmiş ancak birtakım istisnalar düzenlenmiştir.

Kişisel veriler; 5 inci maddenin ikinci fıkrasında, Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

Kişisel Verilerin Yurtdışına Aktarımı Hangi Şartlarda Mümkündür?                                                                                                       

Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

Ancak, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla kişisel veriler ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları Nelerdir?                                                                                                  

Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Veri Sorumlusunun Yükümlülükleri Nelerdir?                                                                                                                                                                                                                    

Veri sorumlusu; 

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek;

kişisel verilere hukuka aykırı olarak erişilmesini önlemek;

kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel verilerin Veri sorumlusunun kendisi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, tedbirlerin alınmasında müşterek sorumluluk esastır.

Veri İşleme Sebebinin Ortadan Kalkması Halinde Ne Yapılmalıdır?

KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hâle getirilmelidir.

 

Kişisel Verilerin İmha Edilmesi Ne Demektir?

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi imha olarak tanımlanmıştır.

İlgili Kişinin Hakları Nelerdir?

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) Kanun’un 7 nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

İlgili Kişinin Başvurusu Ne Kadar Sürede Sonuçlandırılmalıdır?

Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür.

İlgili Kişi Ne Zaman Kuruma Şikayette Bulunabilir?

İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kuruma şikâyette bulunabilir.

Veri Sorumlusuna Başvurulmadan Kuruma Şikayette Bulunulabilir mi?                                                                                                                              

Başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.                                                                                                                                                                                                

Kişisel Veri İhlalinde Ne Yapılmalıdır?

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu 72 saat içerisinde ilgilisine ve Kurula bildirmelidir.

KVKK’da Öngörülen Para Cezaları Nelerdir?

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

Öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.                                                                                     

Kişisel Verilerin Korunması İle İlgili Hapis Cezaları Nelerdir?

Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ile 140.madde hükümleri uygulanır.

Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.

Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Nitelikli haller

Yukarıdaki maddelerde tanımlanan suçların;                                                                                                                                                                                                             

a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,

b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır.

Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.