Günümüzde gerek devlet kurumları gerekse özel kuruluşlar, her gün binlerce kişiye ilişkin çeşitli bilgilere ulaşabilmektedir. Elde edilen bilgiler, bilişim teknolojilerinde yaşanan gelişmelerin de etkisiyle, kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bunun sonucunda da kişisel verilerin korunması ihtiyacı doğmuştur.
“Kişisel veriler” kavramı, 2010 Anayasa Değişikliği ile Anayasaya girmiştir. O değişiklik ile Anayasa’nın “Özel hayatın gizliliği” başlıklı 20.maddesine şu fıkra eklenmiştir:
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
2016 yılında ise “6698 sayılı Kişisel Verilerin Korunması Kanunu” kabul edilmiştir ve “Kişisel Verileri Koruma Kurumu” ve “Kişisel Verileri Koruma Kurulu” kurulmuştur. Kurul, Kurum’un karar organıdır. Kanun kapsamında belirli yönetmelikler, tebliğler çıkartılmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun amacı, kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır.
Kişisel verilerin hangi kurallara tabi olarak, hangi şartlarda işlenebileceği hususunu kontrol altına alma amacını güden Kanun, kişisel verilerin işlenmesine ilişkin denetim mekanizmaları getirerek, bu verilerin hukuka aykırı olarak işlenmesini engellemeyi hedeflemektedir.
6698 sayılı KVKK’nın kapsamı m.2’de belirtilmiştir. Buna göre "kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında" uygulanır.
Kanunun kapsamına girmeyen haller ise KVKK m.28’de sayılarak belirtilmiştir.
ULUSAL DÜZENLEMELER
12 Ekim 2004 – 5237 sayılı Türk Ceza Kanunu
12 Eylül 2010 – Kişisel Verilerin Korunması ile ilgili hükmün T.C. Anayasasına girmesi (m.20)
17 Mart 2016 – 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin Türk Hukukuna dahil edilmesi
7 Nisan 2016 – 6698 sayılı Kişisel Verilerin Korunması Kanunu
05 Mayıs 2016 – 181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokolün Türk hukukuna dahil edilmesi
Aşağıda bazı kavramların kanundaki ve diğer kaynaklardaki tanımları vardır:
Kişisel veri; kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgilerdir.
➔ Her türlü bilgi deyiminden yalnızca bireyin adı soyadı, doğum tarihi gibi onun kesin teşhisini sağlayan bilgiler değil; aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve buna benzer özelliklerine ilişkin bilgiler de kastedilmektedir.
➔ Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişi ile ilişkilendirilmesini ifade eder. Herhangi bir kayıt ile gerçek kişinin eşleştirilmesi yeterlidir.
➔ KVKK ile koruma altına alınan kişisel veriler sadece gerçek kişilere ait olan kişisel veriler olup, tüzel kişilere ait olan veriler KVKK kapsamında değildir. Fakat tüzel kişilere ait verinin elde edilmesi, bir veya birden fazla gerçek kişinin kimliğinin belirlenmesine neden oluyorsa, bu tür veriler de KVKK kapsamına dahildir.
➔ Yalnızca gerçek kişilerin kişisel verileri işlenebilirken, bu kişisel verileri işleme işlemini ise hem tüzel kişiler hem de gerçek kişiler gerçekleştirebilir.
Veri sahibi (ilgili kişi), kişisel verisi işlenen gerçek kişidir.
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir.
➔ Şirketteki görevleri kapsamında veri işleyen şirket çalışanları veri sorumlusu değildir. Şirket tüzel kişiliğinin kendisi veri sorumlusudur.
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir. (Ör: Veri bulut hizmeti sağlayıcıları)
Kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
➔ Kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli bir kritere göre yapılandırılmış her türlü sistem KVKK kapsamına girmektedir.
➔ Otomatik olmayan yollarla işlenen veriler konusunda önemli olan, işlenen verilerin veri kayıt sisteminin parçası olup olmadığıdır.
➔ Kişisel veriyi elde ettikten sonra hiç kullanmayan, sadece veriyi sisteminde saklayan kişi de veri işlemektedir.
Açık rıza; ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.
➔ Açık rıza, belirli bir konuya ilişkin olmalıdır.
➔ İlgili kişinin işlemeyle alakalı bütün konularda açık ve anlaşılır bir biçimde bilgilendirilmesi gerekir. Bilgilendirmenin iki temel unsuru vardır:
o Anlaşılabilirlik
o Erişilebilirlik
➔ Rıza ancak ilgili kişinin özgür iradesiyle açıklandığı zaman kabul edilir.
Özel nitelikli (hassas) kişisel veriler, kişiler hakkında ayrımcılığa yol açabilecek şekilde kullanılabilme ihtimali olan verileridir. Bu veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
➔ Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
➔ T.C. Kimlik No, maaş, medeni hal, aile içi sırlar, kredi kartı numarası gibi bilgiler çoğunlukla sanılanın aksine hassas veri değildir. Hassas veriler, yukarıda sayılanlarla sınırlıdır.
KVKK m.6/3 →
- Sağlık ve cinsel hayat dışındaki diğer özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
- Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi: 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebepler ortadan kalkmışsa, söz konusu kişisel veriler resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir.
➔ Anonim hale getirmek: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Bu veriler anonim hale getirildikten sonra kişisel veri niteliğini kaybeder.
Bu konu hakkında “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” çıkartılmıştır. Bu Yönetmeliğin amacı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir (m.1).
Kişisel veriler işlenirken, yalnızca KVKK ve diğer kanunlarda öngörülen ilkelere göre işlenebilir. Bu ilkeler şunlardır: (KVKK m.4)
1. Hukuka ve dürüstlük kurallarına uygun olma
a. Hukuka uygunluk, genel olarak hukuk normlarına ve evrensel hukuk ilkelerine uygunluk anlamına gelmektedir.
b. Dürüstlük kurallarına uygunluk ise, TMK m.2’de düzenlenen dürüstlük kuralına göre ve ilgili kişinin haberi olmadan hiçbir şekilde kişisel verisinin toplanmaması ve işlenmemesi, kişisel verilerin ilgili kişi bakımından bir haksızlığa yol açacak şekilde kullanılmaması, makul beklentisinin karşılanması ve toplanma amacının aşılmaması anlamlarına gelmektedir.
c. Kişisel veriler meşru bir temele dayanarak, şeffaf bir şekilde, bireylerin makul beklentileri ve öngörüleri doğrultusunda işlenmiş olmalıdır.
2. Doğru ve gerektiğinde güncel olma
a. Kişisel verilerin doğru ve güncel tutulmamasından veya yanlış tutulmasından dolayı, kişilerin maddi ve manevi zarara uğramaları mümkündür.
b. Zarara uğranılmasının engellenmesi için:
i. Kişisel verilen elde edildiği kaynaklar belirli olmalı
ii. Kişisel verilerin toplandığı kaynağın doğruluğu test edilmeli
iii. Kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmalı ve bu kapsamda makul önlemler alınmalıdır.
3. Belirli, açık ve meşru amaçlar için işlenme
a. Bu ilke sayesinde:
i. Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmaktadır.
ii. Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiği tespit edilmektedir.
iii. Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmaktadır.
b. Kişisel verileri işleme amaçlarının sadece veri sorumlusu tarafından bilinmesi ya da tahmin edilebilir olması bu ilkeye aykırıdır.
4. İşledikleri amaçla bağlantılı, sınırlı ve ölçülü olma
a. Ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir.
b. İşlenen kişisel veriler, belirlenen amaçların gerçekleştirilebilmesine elverişli olmalıdır, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmalıdır.
c. Sonradan ortaya çıkması muhtemel ihtiyaçlar için veri işlemek için, kişisel verilerin işlenme şartlarının yeniden sağlanmış olması gerekmektedir.
5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
a. Veri sorumlusu, KVKK m.16’da sicile kayıt için başvuru yaparken kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi bildirmek zorundadırlar.
b. Bir kişisel verinin daha fazla saklanması için geçerli bir sebep yoksa, veri sorumlusu söz konusu veriyi silecek, yok edecek veya anonim hale getirecektir. Gelecekte kullanma ihtimaline dayanarak veri saklanamaz.
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez (KVKK m.5).
➔ Veri sahibinin açık rızası olması gerekir.
o Bu açık rıza, belirli bir konuya ilişkin olmalıdır. Yani rıza beyanı; hangi verilerin işlenebileceğini ve hangi amaçlarla işleme yapılabileceğini açıkça göstermelidir.
▪ Sınırların belirli bir şekilde çizilmiş olması gereklidir.
▪ Veri sahibinin bütün verilerinin her türlü amaçla işlenebileceğini onaylamış olması geçerli bir rıza oluşturmayacaktır.
o Bu açık rıza, özgürce verilmelidir.
▪ Veri sahibini işlenen veri türleriyle veya işlemenin sonuçlarıyla ilgili yanlış yönlendirerek alınan rıza, özgürce verilen bir rıza değildir ve dolayısıyla geçerli değildir.
▪ Veri sahibinin rızası, bir sözleşmenin ifasına ya da bir hizmetin sunulmasına bağlanamaz. Bu durumlarda da rıza özgürce verilmemiştir. Örneğin, “şirketimiz ile sözleşme yapmak için kişisel verilerinizin işlemesine onay vermek zorundasınız” şeklinde bir yaklaşımla alınan rıza geçersizdir.
o Veri sahibinin, verdiği açık rızayı istediği zaman geri alma hakkının bulunması gereklidir.
o Bu açık rıza, bilgilendirmeye dayalı bir şekilde yapılmış olmalıdır. Yani kişinin hangi amaçla kişisel verilerini işletmiş olduğunu bilmesi gereklidir.
o Bu açık rıza, kişisel verilerinin işlenmesinden önce alınmalıdır.
Ancak, bazı şartların oluşması durumunda, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a. Kanunlarda açıkça öngörülmüş durumlarda,
b. Fiili imkânsızlık nedeniyle rızasını açıklamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunmasının zorunlu olduğu durumlarda,
c. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumlarında,
d. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumunda,
e. İlgili kişinin kendisi tarafından alenileştirilmiş (herkes tarafından ulaşılabilir hale getirilmiş/herkes tarafından bilinir) olması durumunda,
f. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda,
g. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olduğu durumlarda.
Özel nitelikli (hassas) verilerin işlenmesinin açık rızanın olmadığı zaman iki durum olarak incelenir:
1) Sağlık ve cinsel hayata ilişkin olanlar dışındaki hassas veriler bakımından; ancak kanunlarda öngörülen hallerde açık rıza aranmaksızın işlenebilir.
2) Sağlık ve cinsel hayata ilişkin veriler bakımından ise; ancak kamu sağlının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlaması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Kişisel Verilerin Aktarılması → Kişisel verilerin, yurt içinde ya da yurt dışında farklı gerçek ya da tüzel kişilikle paylaşılması, internette yayınlanması, başka bir yolla kamuoyuna sunulması ya da ifşa edilmesi gibi birçok fiili kapsar.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz (m.8/1).
- Kişisel verilerin aktarılması veya devralınması eylemleri, veri işleme faaliyeti olarak tanımlanmaktadır (m.3/1-e)
- Kişisel verilerin yurt içinde üçüncü kişi ve kurumlara aktarılması mümkündür. Bunun için;
o Veri sahibinin açık rızası ya da
o KVKK m.5/2 veya m.6/3’te sıralanan veri işleme şartlarından birinin bulunması durumunda veri sahibinin açık rızası olmadan aktarılması mümkündür.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz (m.9). Kişisel verilerin yurtdışına aktarımı, KVKK m.5/2 ve m.6/3 kapsamındaki veriler ile ilgili ise özel şartlara bağlanmıştır. Bunun için:
- Kanun’da sayılan veri işleme şartlarından (m.5/2, m.6/3) biri bulunmalı
- Kişisel verilerin aktarılacağı ülkede yeterli koruma bulunmalıdır.
o Yeterli korumanın bulunup bulunmadığı, Kişisel Verileri Koruma Kurulu tarafından belirlenecektir.
6698 sayılı KVKK’nın üçüncü bölümünde, “Haklar ve Yükümlülükler” düzenlenmektedir.
Veri Sorumlusunun Aydınlatma Yükümlülüğü (m.10) →
Veri sorumlusunun veya yetkilendirilen kişinin, kişisel veriyi işlerken ilgili kişiyi:
- Veri sorumlusunun ve varsa temsilcisinin kimliği
- Kişisel verilerin hangi amaçla işleneceği
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
- Kişisel veri toplama yöntemi ve hukuki sebebi
- KVKK m.11’de sayılan ilgili kişinin hakları konularında bilgilendirmesi gereklidir.
Aydınlatma yükümlülüğünün nasıl hazırlanması gerektiği konusunda “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” yayınlanmıştır.
- Aydınlatma yükümlülüğünün yazılı olarak yerine getirilmesi zorunlu değildir. Yazılı olursa eğer aydınlatma metinlerinin dilleri sade ve anlaşılır olmalıdır. Metinlerde eksik ya da veri sahiplerini yanıltıcı bilgilere yer verilmemelidir.
- Kişisel verilerin açık rıza dışındaki veri işlenme şartlarına dayalı olarak işlendiği hallerde de aydınlatma yükümlülüğünün yerine getirilmesi zorunludur.
- Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında KVKK m.18/1-a uyarınca 5.000 TL’den 100.000 TL’ye kadar idari para cezası uygulanır.
Veri Sahibinin (ilgili kişinin) Hakları (m.11) →
KVKK m.11’de sayılmak suretiyle belirtilmiştir:
a) Kişisel veri işlenip işlenmediğini öğrenme
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
e) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme
f) 7.maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme
g) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
i) Kişisel verilerin kanuna aykırı olarak işlemesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme
NOT: Veri sorumlusu olarak bir şirketin, veri sahiplerinin taleplerini talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırması gerekmektedir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Kişisel Verileri Koruma Kurulunca belirlenecek tarifedeki ücret alınabilir.
Talebin süresi içinde sonuçlandırılmaması, reddedilmesi ya da verilen cevabın yetersiz bulunması halinde veri sahibinin Kişisel Verileri Koruma Kuruluna şikâyet hakkı doğmaktadır.
Veri Güvenliğine İlişkin Yükümlülükler (m.12) →
Veri sorumlusunun işlediği kişisel verilerin güvenliği hakkında veri sorumlusuna birtakım yükümlülükler yüklenmiştir.
MADDE 12
(1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında KVKK m.18/1-b uyarınca 15.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanır.
6698 sayılı KVKK’nın dördüncü bölümünde “Başvuru, Şikâyet ve Veri Sorumluları Sicili” düzenlenmektedir.
Veri Sorumlusuna Başvuru (m.13) →
Kanuna göre, ilgili kişilerin Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. Bu talep, yazılı olarak ya da Kişisel Verileri Koruma Kurulu’nun belirleyeceği diğer yöntemlerle de yapılabilir.
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak kabul ederek veya gerekçesini açıklayarak reddederek sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
Kurula Şikâyet (m.14) →
Veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi halinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kuruluna şikâyette bulunulabilinir.
KVKK m.13’teki veri sorumlusuna başvuru yolu tüketilmeden KVKK m.14’teki kurula şikâyet hakkı kullanılamaz.
Veri Sorumluları Sicili (m.16) →
Veri Sorumluları Sicili, veri sorumlularının veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri aleni bir kayıt sistemidir.
- Veri sorumlusu olarak gerçek veya tüzel kişilerin, Veri sorumluları siciline kayıt yaptırması zorunludur. Ancak Kişisel Verileri Koruma Kurulu tarafından bu kayıt zorunluluğuna belirli şartlar ve durumlar altında istisna getirilebilir.
- Veri Sorumluları Siciline kayıt başvurusu için aşağıdaki bilgiler ile bir bildirimde bulunulmalıdır:
o Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri
o Kişisel verilerin hangi amaçla işleneceği
o Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar
o Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
o Yabancı ülkelere aktarımı öngörülen kişisel veriler
o Kişisel veri güvenliğine ilişkin alınan tedbirler
o Kişisel verilerin işlendikleri amaç için gerekli olan azami süre
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün yerine getirilmemesinin yaptırımı, KVKK m.18/1-ç’de belirtildiği üzere, 20.000 TL’den 1.000.000 TL’ye kadar idari para cezasıdır.
6698 sayılı KVKK’nın beşinci bölümünde, “suçlar ve kabahatler” düzenlenmiştir. Buna göre;
➢ m.17’de; suçlar hakkında TCK’ya atıf yapılıp, TCK m.135 ile m.140 arası hükümler gösterilmiştir.
Kişisel verilerin kaydedilmesi
TCK Madde 135
(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.
(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Verileri hukuka aykırı olarak verme veya ele geçirme
TCK Madde 136
(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
(2) Suçun konusunun, Ceza Muhakemesi Kanununun 236’ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır. (Çocuklar hakkında bir hükümdür)
Nitelikli haller
TCK Madde 137
(1) Yukarıdaki maddelerde tanımlanan suçların;
a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,
İşlenmesi halinde, verilecek ceza yarı oranında artırılır.
Verileri yok etmeme
TCK Madde 138
(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
Şikâyet
TCK Madde 139
(1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır.
Tüzel kişiler hakkında güvenlik tedbiri uygulanması
TCK Madde 140
(1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
➢ m.18’de ise; kabahatler gösterilmiştir.
KVKK MADDE 18
(1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16’ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
Kurul karar verirken, kabahatler hususunda genel kanun niteliğinde olan 30.03.2005 tarihli ve 5326 sayılı Kabahatler Kanununun 17’nci maddesinin (2) numaralı fıkrasında belirtildiği üzere kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunu dikkate alacaktır.
6698 SAYILI KVKK’NIN KAPSAM DIŞI BIRAKTIĞI HALLER →
MADDE 28-
(1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16’ncı maddeleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Comments