07.04.2016 tarihli Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile birlikte Anayasa’da güvence altına alınmış olan özel hayatın gizliliği ve kişisel verilerin korunmasını isteme hakkı ayrıntılı bir şekilde düzenlenmiştir. Bu kapsamda çeşitli şekillerde kişisel veri işleyen veri sorumlularının mevzuata uyum sürecinde nasıl bir yol izlemesi gerektiği sorusu büyük önem kazanmıştır.
Kanun’un Amacı Nedir?
Kanun, kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenlemektedir. Kişisel veri işleyen, veriyi paylaşan ve saklayan kuruluşlar için önemli bir dönüşüm ve uyum süreci öngörmektedir. Temel olarak Kanun, toplanan verilerin asgari düzeye inmesinin sağlanmasını, mevcut olan verilerin de belirli ilkeler esas alınarak korunmasını amaçlamaktadır.
Kanun’dan Kaynaklanan Yükümlülükler Kimleri İlgilendirmektedir?
Kanun; kişisel verileri işlenen gerçek kişilere, kişisel verileri tamamen veya kısmen otomatik olarak işleyen gerçek ve tüzel kişilere ve kişisel verileri bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişilere uygulanmaktadır.
Kişisel Veri Nedir?
Kişisel veri, gerçek kişilerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi anlamına gelmektir. Bireyin kimliğini ortaya koyan bilgilerin yanında kişinin telefon numarası, motorlu taşıt plakası, SGK numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri genetik bilgiler, IP, e-posta adresi, hobileri, tercihler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan ve dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak değerlendirilmektedir.
Özel Nitelikli Kişisel Veri Nedir?
Özel nitelikli kişisel veri, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan hassas verilerdir. Bu sebeple diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.
Açık Rıza Nedir?
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. İlgili kişinin kendisiyle ilgili veri işlenmesine yönelik hür iradesiyle, konuyla ilgili yeterli bilgi sahibi olduktan sonra tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır. Belirli bir konu ile sınırlandırılmayan genel nitelikteki açık rızalar, hukuken geçerli değildir.
Kişisel Verilerin İşlenmesi
Kişisel verilerin işlenmesi, kişisel verilerin; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, elde edilebilir hâle getirilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, sınıflandırılması, kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Kanun kişisel verilerin işlenmesi esnasında aşağıda belirtilen genel ilkelere uyulması gerektiğini belirtmektedir. Kişisel verilerin işlenmesinde sayılan genel ilkeler şunlardır:
· Hukuka ve dürüstlük kurallarına uygun olma,
· Doğru ve gerektiğinde güncel olma,
· Belirli, açık ve meşru amaçlar için işlenme,
· İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
· İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir. Kişisel verilerin hukuka uygun olarak işlenmesi için genel ilkelere uyumlu olmanın yanında aşağıda yer verilen şartlardan en az birisinin gerçeklemiş olması gerekmektedir.
· Veri sahibinin açık rızasının varlığı
· Kanunlarda açıkça öngörülmesi
· Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
· Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
· İlgili kişinin kendisi tarafından alenileştirilmiş olması
· Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
· Veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel Verilerin Aktarılması
a. Yurtiçinde Aktarma
İşlenmek üzere elde edilen kişisel veriler ancak ilgili kişisinin rızası alınmak suretiyle üçüncü kişilere aktarılabilir. Veri sorumlusu ve veri işleyen arasında gerçekleştirilecek her türlü veri paylaşımı veri aktarımı kabul edilmektedir.
b. Yurtdışında Aktarma
Yurtdışına veri aktarımı ancak ilgili kişinin açık rızasının bulunması ve veri aktarılacak ülkede yeterli korumanın bulunmasıdurumunda mümkündür. Veri aktarılacak ülkede yeterli korumanın bulunmaması halinde yeterli korumanın yazılı olarak taahhüt edilmesi ve Kişisel Verilerin Korunması Kurulu’nun (“Kurul”) izninin bulunmasıgerekmektedir.
Veri Sorumlusu – Veri İşleyen Kimlerdir?
Veri Sorumlusu, kişisel verilerin işleme amaçlarınıve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi ifade etmektedir.
Veri İşleyen ise Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmaktadır.
Veri Sorumlusunun Yükümlülükleri Nelerdir?
Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında kendileri veri sorumlusu kabul edilir ve hukuki sorumluluk tüzel kişiliğin şahsında doğmaktadır. Veri sorumlusu yükümlülükleri ise şunlardır:
1. Aydınlatma yükümlülüğü
2. Denetim yapma veya yaptırma yükümlülüğü
3. Sır saklama yükümlülüğü
4. İhlal halinde bildirim yükümlülüğü
5. Başvurularının cevaplanması ve Kurul kararlarının yerine getirilmesi
6. Veri sorumluları siciline kaydolma yükümlülüğü
7. Elde ettiği kişisel verilerin doğru ve güncelliğini sağlama yükümlülüğü
8. Veri güvenliğini sağlama yükümlülüğü
İlgili Kişinin Hakları Nelerdir?
Kanun kapsamında yalnızca gerçek kişilerin verileri korunmaktadır. Bu nedenle, Kanun’da kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. İlgili kişi, veri sorumlusuna başvurmak suretiyle aşağıdaki hakları kullanabilir:
· Kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme
· Kişisel verilerinin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
· Kişisel verilerin aktarıldığı üçüncü kişileri bilme,
· Kişisel verileri eksik / yanlış işlenmişse düzeltilmesini isteme,
· Kişisel verilerin silinmesini veya yok edilmesini isteme
· Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
· Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde bu zararın giderilmesini talep etme
İlgili kişiler belirtilen taleplerini yazılı olarak veri sorumlusuna bildirir, veri sorumlusu kendisine yöneltilen talepleri en geç 30 (otuz) gün içerisinde ücretsiz olarak sonuçlandırmalıdır. Veri sorumlusu talebi kabul veya reddedebilir. Ret durumunda gerekçesini açıklayarak yazılı olarak kişiye bildirmekle yükümlüdür. Kişi verilen cevabı yetersiz bulursa veya cevap verilmezse cevabı öğrendiği tarihten itibaren 30 (otuz) gün her halde başvuru tarihinden itibaren 60 (altmış) gün içinde Kurul’a şikâyette bulunabilecektir. İlgili kişi Kanun’un uygulanmasıyla ilgili taleplerini öncelikle veri sorumlusuna iletmelidir. Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurul’a şikâyet yoluna gidilebilmesi mümkün değildir.
Veri Sorumluları Sicil Bilgi Sistemi Nedir? VERBİS Nedir?
Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”), Kanun gereğince şartları sağlayan veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir.
Kanun gereğince kişisel verileri işleyen gerçek ve tüzel kişilerin kişisel veri işlemeye başlamadan önce sicile kaydolmaları gerekmektedir. Bu kapsamda Türkiye’de yerleşik gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının Türkiye’de kişisel veri işlemeleri halinde genel kural olarak VERBİS’e kayıt olmaları gerekmektedir.
Kişisel Veri İşleme Envanteri Nedir?
Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanmaktadır. Veri sorumluları kişisel veri işleme envanteri tutmakla yükümlü olup; bu envanter aşağıdaki asgari unsurları içermelidir:
· Kişisel veri işleme amacı
· Veri kategorisi
· Aktarılan alıcı grubu
· Kişisel verinin tutulacağı azami süre
· Yabancı ülkelere aktarımı öngörülen kişisel veriler
· Veri güvenliğine ilişkin alınan tedbirler
· Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Son Güncelleme Tarihi: 19 Şubat 2020
Ayrıntılı bilgi için: info@yonet.av.tr
İşbu bilgilendirme notu YÖNET tarafından, Türkiye Barolar Birliği'nin meslek kuralları ve 1136 sayılı Avukatlık Kanunu uyarınca, sadece bilgilendirme amaçlı olarak temin edilmiştir.
İşbu bilgilendirme notu burada belirtilen tarih itibariyle hazırlanmıştır. YÖNET'in mevzuat veya olaylarda gerçekleşen veya dikkatimize sunulan değişiklikleri bildirme yükümlülüğü bulunmamaktadır.