İstisnasız tüm gerçek ve tüzel kişileri ilgilendiren ve uygulaması 07.04.2016 tarihinde yürürlüğe giren 24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kanuni düzeyde kurallara bağlanan "Kişisel Verilerin Korunması" konusu, gündemi yoğun bir şekilde meşgul etmektedir.

Mevzuat gereği veri sorumlusu, veri ilgilisi, veri işleyeni durumunda olan herkes; görev, yetki, sorumluluk ve haklarının ne olduğu konusunda tereddüt yaşamakta ve bilgi sahibi olmaya ihtiyaç duymaktadır.

Bu ihtiyaçtan hareketle "Kişisel Verilerin Korunması" konusu ele alınmış, önce konuya ilişkin birtakım tanımlamalara yer verilmiş, kişisel verilerin işlenmesi konusuna açıklık getirilmiş, konunun aktörlerinin hak, yükümlülük ve sorumlulukları üzerinde durulmuş, uygulamanın ne şekilde yapılacağına ilişkin kısa bir bilgilendirme yapılmış ve son olarak da 6698 sayılı Kanunda düzenlenen kabahatlere ve yaptırımlarına değinilmiştir.

A) Tanımlar

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

Kişisel veri: Kimliği belirli veya belirlenebilir olan gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bilgiler çok geniş kapsamda olup; ad, soyad, doğum tarihi gibi kimlik bilgilerinin yanı sıra, sahip olunan taşıtın plakası, e-posta adresi, hobiler, grup üyelikleri gibi her tür bilgiyi kapsamaktadır.Tüzel kişilerin ise kişisel verilerinden söz edilemez.

Özel Nitelikli Kişisel Veri: Başkaları tarafından öğrenildiği takdirde veri ilgilisinin mağduriyetine, ayrımcılığa maruz kalabilmesine neden olabilecek verilerdir. Bunlar, 6698 sayılı Kanun’da açıkça ve tek tek belirtilmiştir. Buna göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Veri İlgilisi: Kişisel verisi işlenen veya işlenecek olan gerçek kişidir.

Veri Sorumlusu: Kişisel verilerin, işlenme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

B) Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kişisel veriler, ancak 6698 sayılı Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel Verilerin İşlenme Şartları

Yukarıda kişisel verilerin bir kısmını özel nitelikli olarak ayırmıştık. Bu ayrım, 6698 sayılı Kanun’un 5 ve 6. maddelerinde yapılmış olup; 5'inci maddede, genel olarak kişisel verilerin işlenme koşullarına yer verilmiş, 6. maddede ise özel nitelikli kişisel verilerin işlenme koşulları düzenlenmiştir.

Söz konusu kanuni düzenlemelere göre;

Kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak, aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın (özel nitelikli veriler dışındaki) kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel nitelikli verilerin işlenebilmesi için ise, ilgilinin açık rızasımutlaka alınmak zorundadır. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler ise kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

C) Kişisel Verilerin İşlenmesinde Haklar ve Yükümlülükler

Kişisel veriler işlenirken; veri sorumlusu, veri işleyen ve veri ilgililerinin bazı hak ve yükümlülükleri bulunmaktadır. Bunlar, 6698 sayılı Kanunda ayrıntılarıyla düzenlenmiş olup, aşağıdaki içeriktedir:

1) Veri Sorumlusunun Aydınlatma Yükümlülüğü (6698 sayılı Kanun m.10)

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) İlgili kişinin sahip olduğu hakları,

konusunda bilgi vermekle yükümlüdür.

2) İlgili Kişinin Hakları (6698 sayılı Kanun m.11)

Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) Kanunda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) Düzeltme ve silme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

3) Veri Güvenliğine İlişkin Yükümlülükler (6698 sayılı Kanun m.12)

Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b)Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır.

Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

Ç) Başvuru ve Şikayet

6698 sayılı Kanunun Dördüncü Bölümünde, veri ilgilisinin taleplerini veri sorumlusuna ne şekilde iletebileceği, taleplerinin karşılanmaması durumunda yapabilecekleri ve veri sorumlusunun bu talebi nasıl karşılayacağı, talebi karşılarken yerine getirmesi gereken yükümlülükleri ve “Veri Sorumluları Sicili” ile ilgili hükümler yer almaktadır. Bunlar;

1) Veri sorumlusuna başvuru (6698 sayılı Kanun m.13)

İlgili kişi, 6698 sayılı Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulu'nun (Kurul) belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

2) Kurula şikâyet (6698 sayılı Kanun m.14)

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

Kanunun 13'üncü maddesi uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.

Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

3) Şikâyet üzerine veya resen incelemenin usul ve esasları (6698 sayılı Kanun m.15)

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.

01/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.

Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.

Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

4) Veri Sorumluları Sicili (6698 sayılı Kanun m.16)

Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.

Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:

a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.

b) Kişisel verilerin hangi amaçla işleneceği.

D) Kabahatler (6698 Sayılı Kanun m.18)

6698 sayılı Kanunun 18’inci maddesinde, Kanunun bazı hükümlerine aykırılıklar, kabahat olarak kabul edilmiş ve idari para cezası yaptırımına bağlanmıştır.

Buna göre; Kanunun,

• 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

• 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

• 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

• 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.

Kanunda öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

Kabahat olarak kabul edilen eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

E) Organize Sanayi Bölgeleri İçin Durum

OSB’ler,istihdam ettikleri çalışanları ve organ üyelerinin kişisel veri niteliğindeki bilgilerini edinmek, işlemek ve muhafaza etmek zorunluluğunda olan ve bu çerçevede "veri sorumlusu" konumunda olan tüzel kişiliklerdir. Bu nedenle, kişisel verilerin işlenmesinden ve muhafazasından, yukarıda açıkladığımız çerçevede ve mevzuata uygun bir şekilde hareket etmek yükümlülüğü ve sorumluluğundadır.

Nitekim OSB'ler, işe alım yaparken, alt işverenlerle ilişki kurarken ya da OSB içindeki kuruluşların yetkililerine ilişkin kayıtları tutarken kişisel veri niteliğinde bilgilere erişmekte kimi zaman bir takım raporlar istemektedir. Örneğin; sağlık raporu, adli sicil belgesi, askerlik durum belgesi vb. Bu belgeler istenirken öncelikle isteyen veri sorumlusunun, veri ilgililerine bu belgelere neden ihtiyaç olduğunu açık ve anlaşılır şekilde bildirmelidir. 6698 sayılı Kanunun 5. Maddesinin ikinci fıkrasındaki haller dışında veri ilgililerinin açık rızası istenmelidir. Veri sorumluları gereksiz olabilecek verileri mümkün olduğunca istemekten kaçınmalı, mümkün olan en az kişisel veriyi istemeye ve işlemeye özen göstermelidir. İstenen veriler bir diğer kuruma veya kuruluşa aktarılacaksa ilgilinin rızası alınmalıdır.

Özellikle dikkat çekmek isterim ki,

• OSB’lerde veri sorumlusu Bölge Müdürü veya OSB Yönetim Kurulu Başkanı değil bizatihi OSB tüzel kişiliğidir,

• Veri sorumluları Kişisel Verileri Koruma Kurulu tarafından tutulan veri sorumluları siciline (VERBİS) gecikmeden kayıt yaptırmalıdır.

Bu kayıt online yapılabilmektedir https://verbis.kvkk.gov.tr/DataResponsible/Register#

• Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.(6698 sayılı Kanun m.5/2)

OSB’ler tarafından, veri işleme konusuyla ilgili olarak görevlendirilen kişilerin, veri işleme görevini mevzuata uygun şekilde tesis etmeleri, herhangi bir sorun ile karşılaşılmaması için çok önemlidir.

#kişiselveri #KVK #kişiselverilerinkorunması