BvT HUKUK VE DANIŞMANLIK
ANASAYFA BvT HUKUK VE DANIŞMANLIK KVKK
Sıkça Sorulan Sorular
KVKK Hakkında Sorular
Kişisel Verilerin Korunması Kanunu “KVKK”, Kanunda belirtilen istisnalar haricinde kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesinin yasaklandığı aksi halde para ve hapis cezası gibi yaptırımların belirlendiği kanundur. KVKK , Avrupa Birliği Konseyi tarafından kabul edilen kişisel verileri korumaya yönelik 95/46 Direktifi esas alınarak hazırlanmış olup “Kişisel verileri koruma kanunu” 2016 yılında resmi gazetede yayınlanmıştır.
Kısaca uluslararası hukuk tarafından kabul edilen kişisel verilerin korunması kanunudur. 2018 yılında uluslararası hukuk tarafından hazırlanmış ve kabul edilmiştir. “KVKK” hukuk sistemimiz tarafından hazırlanıp yürürlüğe girdiği tarihte GDPR henüz hazırlanmamış olması sebebiyle KVKK 95/46Direktif esas alınarak hazırlanmış ve bu sebeple KVKK ile GDPR bazı noktalarda farklılıklar göstermektedir.
GDPR’nin en önemli özelliği ülkemiz sınırları içerisinde faaliyet gösteren gerçek/tüzel kişiler, Avrupa Birliği üye ülkelerinden birine ait gerçek/tüzel kişiye herhangi bir veri aktarımı yapacağı hallerde uygulanacak olan hukuk KVKK değil GDPR olacaktır. Bu sebeple yurtdışına özellikle Avrupa Birliği üye ülkelerine ait bir gerçek/tüzel kişiye veri transferi yapılacağı zaman GDPR’ın bilinmemesinin çok büyük sakıncaları olacaktır. Nitekim uluslararası veri koruma kurulu tarafından veri ihlalleri durumunda öngördüğü yaptırımlar bizim sistemimizdekinden çok daha fazladır.
Kişisel veri belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir. Yani biz bir veri ile o verinin sahibi olan kişiye ulaşabiliyorsak kişisel veridir. Veri sahibi ile birlikte yer alan ikincil verilerin tamamı da kişisel veridir çünkü kime ait olduğu bellidir. Örneğin ; sarı saçlı Ahmet Mehmet dediğimiz zaman , sarı saç tek başına verinin kime ait olduğunu belirlemezken Ahmet Mehmet’le birlikte kullanıldığı hallerde sarı saç verisi Ahmet Mehmet’in kişisel verisi olarak kabul edilecektir.
Özel nitelikli kişisel veriler KVKK 6. Maddesinde tek tek sayılmış olup yorum yolu ile çoğaltılamaz. Kanuna göre ;Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir .
Uygulamada çeşitli kabuller olmakla birlikte bireyin kendi onurunu koruması ve kişiliğini geliştirebilmesi için kişisel verileri üzerinde serbestçe tasarruf edebilmesi gerektiği ancak o şekilde insan onuruna yaraşacak bir yaşam sürdürebileceği ve kişilik haklarını koruyabileceğine kanaat getirildiğinden insan hakkı olduğu görüşü kabul edilir. Ancak ekonomik hak olduğunu kabul edenler de bulunmaktadır.
Bilginin nesnelliği ya da öznelliği kişisel veri açısından herhangi bir ayrım oluşturmamaktadır. Örneğin; kişinin yaşı gibi nesnel veriler de kişisel veri konumunda iken öznel değerlendirmeler içeren yakışıklı, güzel, tembel gibi bilgiler de kişisel veri olarak kabul edilir.
Hayır etkilemez. Önemli olan verinin doğruluğu ya da yanlışlığı değil o veriden yola çıkarak ilgili kişinin belirlenip belirlenmediğidir. Örneğin; 3-A sınıfında Ali’yi herkes Adanalı olarak biliyor ve sınıfta Ali adında başka biri yoksa, Adanalı Ali dediğimiz zaman Ali’nin memleketi başka bir şehir olsa bile Adana verisi Ali’nin kişisel verisidir.
Hatta kimi değerlendirmelere göre de rastgele yapılan karalamalar da yetkili kişiler tarafından incelendiğinde kişinin karakteri hakkında bilgi verebileceğinden kişisel veri olduğu savunulmaktadır.
Hatta kimi değerlendirmelere göre de rastgele yapılan karalamalar da yetkili kişiler tarafından incelendiğinde kişinin karakteri hakkında bilgi verebileceğinden kişisel veri olduğu savunulmaktadır.
Örneğin sokak fotoğrafındaki evlere ait veriler kural olarak kişisel veri değildir. Çünkü aslolan verinin nesneye ait değil kişiye ait olmasıdır. Ancak bir evin fotoğrafı çekilmiş, ilana konulmuş ve evin kime ait olduğu da belirtilmişse ilgili kişi ile ilişkilendirilebilmesi sebebiyle kişisel veri olarak kabul edilecektir.
Sağlık verisi denildiği zaman sadece dar anlamda kişinin hastalığı ya da sağlığı ile alakalı bilgileri içeren veriler akla gelmemelidir.
Sistematik bir şekilde kişiye ait tutulan boy/kilo verileri de kişinin obezite olup olmadığına ilişkin bir değerlendirme yapılabiliyorsa ya da kaç yıldır sigara içtiği değerlendirilerek akciğer fonksiyonlarına ilişkin bir risk değerlendirmesi yapılabiliyorsa kişinin düzenli olarak tutulan boy/kilo verisi ile yine sigara tüketimi verisi de sağlık verisi kabul edilmelidir. Örneklerin bunlarla sınırlı olmayıp çoğaltılabileceği de unutulmamalıdır.
Sistematik bir şekilde kişiye ait tutulan boy/kilo verileri de kişinin obezite olup olmadığına ilişkin bir değerlendirme yapılabiliyorsa ya da kaç yıldır sigara içtiği değerlendirilerek akciğer fonksiyonlarına ilişkin bir risk değerlendirmesi yapılabiliyorsa kişinin düzenli olarak tutulan boy/kilo verisi ile yine sigara tüketimi verisi de sağlık verisi kabul edilmelidir. Örneklerin bunlarla sınırlı olmayıp çoğaltılabileceği de unutulmamalıdır.
Kural olarak tek başına ses ve görüntü verisi biyometrik veri değildir. Ancak bu verilerin biyometrik veri olabilmesi için olarak hazırlanmış veri bulunması (parmak izi, retina kaydı, biyometrik ses ya da görüntü kaydı) ve bunları tanıyan bir sistemde işlenmesi (yüz tanıma sistemleri vs..) gerekir.
Uygulamada sıklıkla karşılaşılan bir sorun da işverenlerin veri işlemediklerini iddia etmeleridir. Verilerin işlenmesi, ilgili kişilere ait her türlü kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması, gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Bununla birlikte veri işlemenin sadece bilgisayar ortamında yapılması gibi bir zorunluluk da bulunmamaktadır. Her türlü ortamda yapılan veri işleme faaliyeti kanunun açıkladığı anlamda veri işleme olarak kabul edilecektir.
Veri kayıt sistemi, elektronik ya da fiziki ortamda oluşturulabilen kişisel verilerin belirli kriterle göre sınıflandırılarak işlendiği kayıt sistemidir.
Kişisel verisi işlenen gerçek kişiyi ifade eder.
Hayır. KVKK ancak gerçek kişilere ilişkin kişisel verileri korumakta olup tüzel kişiler hakkındaki veriler kanunun koruması kapsamında değildir.
Ancak tüzel kişilere ait kişisel veriler gerçek kişiye ait veriler içeriyor ya da tüzel kişilere ait verilerden gerçek kişiye ulaşabiliyorsak tüzel kişilere ait veriler açısından da KVKK uygulanabilecektir. Örneğin; şirketin kurumsal e-posta adresinin adı burakyavuz@kurumsal.com ise e posta adresi şirkete ait olmasına rağmen gerçek kişiye ilişkin bilgiler içermesi sebebiyle KVKK uygulanabilecektir.
Ancak şirketin adresi, ticaret sicil numarası gibi gerçek kişiyle ilişkilendirilmesi mümkün olmayan veriler kanunun koruması kapsamında değildir.
Ancak tüzel kişilere ait kişisel veriler gerçek kişiye ait veriler içeriyor ya da tüzel kişilere ait verilerden gerçek kişiye ulaşabiliyorsak tüzel kişilere ait veriler açısından da KVKK uygulanabilecektir. Örneğin; şirketin kurumsal e-posta adresinin adı burakyavuz@kurumsal.com ise e posta adresi şirkete ait olmasına rağmen gerçek kişiye ilişkin bilgiler içermesi sebebiyle KVKK uygulanabilecektir.
Ancak şirketin adresi, ticaret sicil numarası gibi gerçek kişiyle ilişkilendirilmesi mümkün olmayan veriler kanunun koruması kapsamında değildir.
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. (KVKK m.3)
Veri sorumlusu gerçek ya da tüzel kişi olabilir. Eğer tüzel kişilik veri işleme faaliyetinde bulunuyorsa veri sorumlusu tüzel kişiliğin kendisidir.
Veri sorumlusu gerçek ya da tüzel kişi olabilir. Eğer tüzel kişilik veri işleme faaliyetinde bulunuyorsa veri sorumlusu tüzel kişiliğin kendisidir.
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. (KVKK m.3)
Bir şirket açısından örnek verecek olursak; çalışanlarının verilerini işleyen şirket tüzel kişiliği veri sorumlusu iken, çalışanların verisini şirket tüzel kişiliği adına işleyen muhasebe/insan kaynakları departmanındaki yetkili kişi veri işleyen konumundadır.
Bir şirket açısından örnek verecek olursak; çalışanlarının verilerini işleyen şirket tüzel kişiliği veri sorumlusu iken, çalışanların verisini şirket tüzel kişiliği adına işleyen muhasebe/insan kaynakları departmanındaki yetkili kişi veri işleyen konumundadır.
GDPR(General Data Protection Regulation) ve 95/46 Direktif’te yer almasına karşı KVKK’da tanımı yapılmamıştır. Ancak uygulamada sıklıkla karşımıza çıkmaktadır. Ortak veri sorumluluğunda tek bir veri kayıt sistemi vardır. Bu veri kayıt sistemi çerçevesinde veri işleme faaliyeti ve amaçların birden fazla kişi tarafından müştereken belirlendiği durumlarda ortak veri sorumluluğu bulunmaktadır. Her bir ortak veri sorumlusu veri güvenliğine ilişkin yükümlülükleri yerine getirmekle mükelleftir.
GDPR ortak veri sorumluluğuna geniş yer ayırmıştır. GDPR’a göre ortak veri sorumluları arasında sözleşme olmalı ve ortak veri sorumluluğundan verisi işlenen ilgili kişilerin de haberdar olması gerekmektedir
GDPR ortak veri sorumluluğuna geniş yer ayırmıştır. GDPR’a göre ortak veri sorumluları arasında sözleşme olmalı ve ortak veri sorumluluğundan verisi işlenen ilgili kişilerin de haberdar olması gerekmektedir
Verisi işlenen ilgili kişiler bakımından her türlü hukuki sorumluluk veri sorumlusuna aittir. Veri işleyenin veri sorumlusu ile birlikte müştereken sorumluluğu sadece veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesiyle sınırlıdır.
Veri sorumlusu ile veri işleyen arasında yapılacak bir sözleşme ile veri işleyenin her türlü veri işleme ihlallerinden sorumluluk veri işleyene bırakılabilir. Ancak bu iç ilişkide hüküm doğuracak olup 3. Kişilere hüküm ifade etmez. Verisi işlenen kişiler ihlal durumunda veri sorumlusuna her halükarda başvurabileceklerdir.
Veri sorumlusu ile veri işleyen arasında yapılacak bir sözleşme ile veri işleyenin her türlü veri işleme ihlallerinden sorumluluk veri işleyene bırakılabilir. Ancak bu iç ilişkide hüküm doğuracak olup 3. Kişilere hüküm ifade etmez. Verisi işlenen kişiler ihlal durumunda veri sorumlusuna her halükarda başvurabileceklerdir.
KVKK uyarınca böyle bir zorunluluk bulunmamaktadır. Ancak veri sorumluları olan işverenler çalışanlarının farkındalık ve dikkat seviyelerini daha yukarı çekerek yapabilecekleri ihlal nedeniyle şirketlerini zarara uğratmamak adına veri işleyenlerle aralarında taahhüt yapabilirler.
Hatta GDPR (General Data Protection Regulation) açısından veri sorumluları ile veri işleyenler arasında sözleşme yapılmış olması bir zorunluluktur.
Hatta GDPR (General Data Protection Regulation) açısından veri sorumluları ile veri işleyenler arasında sözleşme yapılmış olması bir zorunluluktur.
Açık rıza, belirli bir bilgilendirmeye dayanan ve özgür iradeyle verilmiş rızadır. Kanunda rıza ve açık rıza ayrımına gidilmemiştir. Uygulamada yanlış bilinmesi sebebiyle açıklamakta fayda görüyoruz. Kanunda sadece açık rızadan bahsedilmiştir.
Açık rızanın kanunun öngördüğü şekilde alınmış sayılması için en geç verinin işlendiği anda alınmış olması gerekmektedir. Veri işleme faaliyetinden sonra alınmış rızalar açık rıza hükmünde değildir.
6698 Sayılı Kişisel Verileri Koruma Kanunu 2016 yılında yürürlüğe girmiş ve kişisel verilerin işlenmesi için aydınlatma yükümlülüğü, açık rıza yükümlülüğü gibi birtakım şartlar getirmiştir. Ancak 2016’dan önce işlenen verilerde bu yükümlülükler yerine getirilmeden işlenmiş olması sebebiyle işlenen bütün veriler açısından açık rıza ve aydınlatma yükümlülüklerinin yerine getirilmesi gerekip gerekmeyeceği tartışması ortaya çıkmaktadır. Kurul bu durumu açıklığa kavuşturmuş ve 2016’dan önce genel hukuk kurallarına uygun olarak işlenmiş kişisel veriler ilgili kişiler açısından 1 yıl içerisinde itiraz edilmediği sürece hukuka uygun olarak işlenmiş kabul edilecektir.
Kanuna göre bazı durumların varlığı halinde ilgili kişiden açık rıza almaksızın verisi işlenebilecektir. Bu durumlar kişisel veriler açısından kanunun 5.maddesinde özel nitelikli kişisel veriler açısından ise 6. Maddesinde sayılmıştır.
a) Kanunlarda açıkça öngörülmesi
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Durumlarının varlığında ilgili kişiden açık rıza almaksızın kişisel verisi işlenebilir.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Durumlarının varlığında ilgili kişiden açık rıza almaksızın kişisel verisi işlenebilir.
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (KVKK m.6)
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (KVKK m.6)
Kanunun 5.maddesinde sayılan durumlardan birinin varlığı halinde kişiden açık rıza alınmasına gerek olmadan veriler işlenebilmektedir. Örneğin; işçi ile aralarındaki iş akdinin ifası amacıyla işçiye ödeme yapılması için IBAN verisi açık rızası alınmaksızın işlenebilecektir.
Kanunda sayılan şartlarının varlığına rağmen kişiden ayrıca açık rıza alınması kişiyi yanıltacaktır. Nitekim açık rıza her zaman geri alınabileceği için, kişinin açık rızasına dayanarak işlenen verinin ilgili kişi geri aldıktan sonra işlenemeyeceği ve işlenmiş olanların silinmesi gerekeceği konusunda yanlış bir algı oluşturacaktır. Şöyle ki; İlgili kişi, açık rızasını geri aldığı takdirde veri sorumlusunun veri işleme faaliyetine son ermesi gerektiği algısı oluşmaktadır. Oysa veri sorumlusu kanun ile getirilen yükümlülükleri vs. yerine getirebilmek için kanundan kaynaklanan işleme şartlarının varlığına dayanarak veri işlemektedir.
Kişisel verileri koruma kurulu kanunda öngörülen şartların varlığına rağmen alınan açık rızayı hukuka aykırı olarak kabul etmiştir.
Kanunda sayılan şartlarının varlığına rağmen kişiden ayrıca açık rıza alınması kişiyi yanıltacaktır. Nitekim açık rıza her zaman geri alınabileceği için, kişinin açık rızasına dayanarak işlenen verinin ilgili kişi geri aldıktan sonra işlenemeyeceği ve işlenmiş olanların silinmesi gerekeceği konusunda yanlış bir algı oluşturacaktır. Şöyle ki; İlgili kişi, açık rızasını geri aldığı takdirde veri sorumlusunun veri işleme faaliyetine son ermesi gerektiği algısı oluşmaktadır. Oysa veri sorumlusu kanun ile getirilen yükümlülükleri vs. yerine getirebilmek için kanundan kaynaklanan işleme şartlarının varlığına dayanarak veri işlemektedir.
Kişisel verileri koruma kurulu kanunda öngörülen şartların varlığına rağmen alınan açık rızayı hukuka aykırı olarak kabul etmiştir.
Açık rızaya dayalı olarak kişisel veri işlenmesi durumunda ilgili kişi tarafından verilen açık rıza her zaman geri alınabilecektir.
İspat yükü veri sorumlusunda yani işverendedir. Hal böyle olunca ilgili kişilerden kanunun öngördüğü şekilde ve yazılı olarak açık rıza alınması işverenin para cezalarıyla karşılaşmaması açısından önemlidir.
Uygulamada en çok adını duyduğumuz ve işverenlerin sadece uymakla yükümlü zolduklarını annettikleri terim VERBİS’tir. İşverenlerin birden çok yükümlülüğü olmasına karşı VERBİS’e kayıt zorunluluğu bunlardan sadece bir tanesidir.
Çalışan sayısı 50’den fazla olan veya yıllık mali bilançosu 25 milyondan fazla olan işverenlerin işledikleri veriler açısından kayıt olmak zorunda oldukları sisteme VERBİS denilmektedir.
Çalışan sayısı 50’den fazla olan veya yıllık mali bilançosu 25 milyondan fazla olan işverenlerin işledikleri veriler açısından kayıt olmak zorunda oldukları sisteme VERBİS denilmektedir.
Kanunda gerçekleşen veri ihlallerinin kurula “en kısa sürede” bildirilmesi gerektiği belirtilmişken ilgli kişiye yapılacak bildirim süresi ise makul süre olarak tanımlanmıştır. İlgili kişiye yapılacak bildirimdeki makul süre kavramı her somut olaya göre değişecektir. Kimi durumda 2 ay makul süre olabilecekken kimi durumlarda 1 ay bile makul süre olmayacaktır.
Ayrıca kurul belirsizliği ortadan kaldırmak için ilke kararı yayınlayarak gerçekleşen veri ihlallerinin 72 saat içerisinde kurula bildirilmesini zorunlu kılmıştır. Bildirim yükümlülüğüne uyulmaması durumunda para cezası mevcut olup kurul bir kararında Facebook’a bildirim yükümlülüğünü ihlal etmesi sebebiyle 550.000,00 TL idari para cezası vermiştir.
Ayrıca kurul belirsizliği ortadan kaldırmak için ilke kararı yayınlayarak gerçekleşen veri ihlallerinin 72 saat içerisinde kurula bildirilmesini zorunlu kılmıştır. Bildirim yükümlülüğüne uyulmaması durumunda para cezası mevcut olup kurul bir kararında Facebook’a bildirim yükümlülüğünü ihlal etmesi sebebiyle 550.000,00 TL idari para cezası vermiştir.
a. Hukuka ve dürüstlük kurallarına uygun olma.
b. Doğru ve gerektiğinde güncel olma.
c. Belirli, açık ve meşru amaçlar için işlenme.
d. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
e. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Kişisel verileri koruma kurulu başkanı bir toplantıda kullandığı ifade ile idari para cezaları ve ilke kararları alırken en çok dikkat ettikleri konunun temel ilkeler olduğunu söylemiştir.
b. Doğru ve gerektiğinde güncel olma.
c. Belirli, açık ve meşru amaçlar için işlenme.
d. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
e. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Kişisel verileri koruma kurulu başkanı bir toplantıda kullandığı ifade ile idari para cezaları ve ilke kararları alırken en çok dikkat ettikleri konunun temel ilkeler olduğunu söylemiştir.
33. Aydınlatma Yükümlülüğü Nedir? KVKK m.28’de sayılan haller dışında veri sorumluları tarafından ilgili kişiye ait verileri işlenecekse veri işlenmeden önce işledikleri verinin konusu, hukuki sebebi, işleme amacı konularında ilgili kişinin aydınlatılması zorunlu kılınmıştır.
İlgili kişi tarafından açık rıza alınması halinde dahi aydınlatma yükümlülüğü yerine getirilmelidir. Çünkü açık rızanın tanımından da açıkça görüleceği üzere açık rıza; bilgilendirmeye dayanan bir rızadır.
Çok basit bir kavram gibi gözükse de gerçekleştirilirken çok önemli detaylara dikkat edilmesi gerkmektedir. Uluslararası veri koruma kurulu Google’a aydınlatma yükümlülüğünün tam ve gereği gibi yerine getirilmemesi sebebiyle 50.000.000,00 Euro idari para cezasına çarptırmıştır.
İlgili kişi tarafından açık rıza alınması halinde dahi aydınlatma yükümlülüğü yerine getirilmelidir. Çünkü açık rızanın tanımından da açıkça görüleceği üzere açık rıza; bilgilendirmeye dayanan bir rızadır.
Çok basit bir kavram gibi gözükse de gerçekleştirilirken çok önemli detaylara dikkat edilmesi gerkmektedir. Uluslararası veri koruma kurulu Google’a aydınlatma yükümlülüğünün tam ve gereği gibi yerine getirilmemesi sebebiyle 50.000.000,00 Euro idari para cezasına çarptırmıştır.
Veriler işlenirken işlendikleri amaç dışında fazla veri işlenmemeli yani asgari sayıda veri işlemeye özen gösterilmelidir.
Kurul bir kararında; Bir mahkeme tarafından talep edilenden daha fazla bilginin mahkeme ile paylaşılmasını ölçülük ve sınırlılık ilkesine aykırı bularak kurula bildirimde bulunulmasına karar verilmiş ve kurul tarafından da KVKK m.18/1-b fıkrası uyarınca idari para cezasına çarptırılmıştır.
Kurul bir kararında; Bir mahkeme tarafından talep edilenden daha fazla bilginin mahkeme ile paylaşılmasını ölçülük ve sınırlılık ilkesine aykırı bularak kurula bildirimde bulunulmasına karar verilmiş ve kurul tarafından da KVKK m.18/1-b fıkrası uyarınca idari para cezasına çarptırılmıştır.
GDPR(General Data Protection Regulation)’da açıkça öngörülmüş olmasına karşı bizim hukukumuzda açıkça bahsedilmemiş ancak kurul kararları ile dolaylı olarak hesap verilebilirlik ilkesi işaret edilmiştir.
Buna göre veri sorumluları veri güvenliğine yönelik tedbirleri almakla yetinmeyip aldığı tedbirleri de açıklamalıdır
Buna göre veri sorumluları veri güvenliğine yönelik tedbirleri almakla yetinmeyip aldığı tedbirleri de açıklamalıdır
Kanunda veri sorumlusunun meşru menfaati hukuki sebebinden bahsedilmiş ve veri sorumlularının işyerlerinde görüntü alması bu meşru menfaat hukuki sebebine dayandırılmıştır. Hal böyle olunca, mülki idarenin de kamu güvenliğini sağlamak için kameradan faydalanması çok normaldir.
Ancak işyerlerinde kameranın açık ve görülebilir yerde olduğu ve işyerinde görüntü alındığına yönelik uyarı levhalarını asılması gerektiği gibi, mobese kameralarının olduğu yerde de ikaz levhaları olmalıdır.
Ancak işyerlerinde kameranın açık ve görülebilir yerde olduğu ve işyerinde görüntü alındığına yönelik uyarı levhalarını asılması gerektiği gibi, mobese kameralarının olduğu yerde de ikaz levhaları olmalıdır.
Evet. Ancak ilgili kişinin alenileştirme amacı dışında kullanılamaz. Öncelikle alenileştirmenin tanımı çok iyi yapılmalıdır. Örnek verecek olursak avukatın telefon numarasını kartvizit bastırması ya da internet sitesinde yayınlaması alenileştirmedir. Kişiler avukattan açık rıza almadan ve aydınlatma yükümlülüğünü yerine getirmeden avukatın telefon numarasını kullanabilecektir. Ancak burada dikkat edilmesi gereken en önemli nokta kişisel veri alenileştirme amacı dışında kullanılamayacaktır. Yani avukatın telefonu mesleki faaliyeti nedeniyle danışmak için kullanılabilecekken bir sigorta şirketi tarafından internette fark edilip sigorta teklifinde bulunmak için aranılamayacaktır.
Kurul bir kararında internet sitesi üzerinden yayınlanan bir numaranın, sigorta şirketi tarafından teklif verilmek için aranmasını hukuka aykırı bulmuştur.
Kurul bir kararında internet sitesi üzerinden yayınlanan bir numaranın, sigorta şirketi tarafından teklif verilmek için aranmasını hukuka aykırı bulmuştur.
Veri ihlallerinin denetimi şikayet ve kurulun re’sen incelemesi olmak üzere 2 şekilde yapılmaktadır.
İlgili kişilerin kurula şikayette bulunabilmeleri için öncelikle veri sorumlusuna başvuru yolunu tüketmiş olmaları gerekmektedir.
a. İlgili kişi tarafından yapılan başvuruya veri sorumlusu tarafından olumsuz cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikayette bulunabilecektir.
b. İlgili kişi tarafından yapılan başvuruya veri sorumlusu tarafından cevap verilmediği takdirde , ilgili ilgili veri sorumlusuna başvurduğu tarihten itibaren 60 gün içerisinde kurula şikayete bulunabileceği,
c. İlgili kişi tarafından yapılan başvuru , veri sorumlusunca kanunda tanınan 30 günlük süreden sonra cevap verilmesi halinde, ilgili kişinin 30 günlük süreden sonra veri sorumlusunu beklemekle yükümlü olmayıp , kurula şikayet süresi veri sorumlusunun cevap verdiği tarihten itibaren 30 gün değil, ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde kurula şikayet yoluna başvurulabilecektir.
Veri sorumlularına başvurma yolunun şart koşulması, veri sorumluları tarafından yapılan hukuka aykırı işlemeyi hukuka uygun hale getirmeyecektir.
İlgili kişilerin kurula şikayette bulunabilmeleri için öncelikle veri sorumlusuna başvuru yolunu tüketmiş olmaları gerekmektedir.
a. İlgili kişi tarafından yapılan başvuruya veri sorumlusu tarafından olumsuz cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikayette bulunabilecektir.
b. İlgili kişi tarafından yapılan başvuruya veri sorumlusu tarafından cevap verilmediği takdirde , ilgili ilgili veri sorumlusuna başvurduğu tarihten itibaren 60 gün içerisinde kurula şikayete bulunabileceği,
c. İlgili kişi tarafından yapılan başvuru , veri sorumlusunca kanunda tanınan 30 günlük süreden sonra cevap verilmesi halinde, ilgili kişinin 30 günlük süreden sonra veri sorumlusunu beklemekle yükümlü olmayıp , kurula şikayet süresi veri sorumlusunun cevap verdiği tarihten itibaren 30 gün değil, ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde kurula şikayet yoluna başvurulabilecektir.
Veri sorumlularına başvurma yolunun şart koşulması, veri sorumluları tarafından yapılan hukuka aykırı işlemeyi hukuka uygun hale getirmeyecektir.
Mevzuatta, kurula yapılan şikayetlerin 60 gün içerisinde cevaplandırılmaması durumunda yapılan şikayetlerin reddedilmiş sayılacağı belirtilmiştir. Veri sorumlularına yapılan başvurulara 30 gün içerisinde cevap erme yükümlülüğü getirilen ve buna uyulmaması halinde idari para cezası verilmesi düzenlenen kanun siteminde, bunu denetleyecek ve idari para cezası verilmesine kara verecek olan kurula cevap vermeme, suskun kalma hakkını verilmesi tam bir çelişki oluşturmaktadır.
Söz konusu 60 günlük süre İYUK’daki idarenin cevap verme süresine paraleldir. Nasıl ki İYUK’ta idareye başvuruya 60 gün içerisinde cevap verilmemişse başvurunun reddi anlamına geleceği ve takip eden 60 gün içerisinde idare aleyhine dava açılabileceği düzenlemişse, aynı durumun kurul açısından da geçerli olması gerekmektedir. Kurula yapılan bir şikâyette 60 gün içinde cevap verilmemesi halinde 60 gün içerisinde Kurul hasım gösterilerek idari dava açılabilecektir.
Söz konusu 60 günlük süre İYUK’daki idarenin cevap verme süresine paraleldir. Nasıl ki İYUK’ta idareye başvuruya 60 gün içerisinde cevap verilmemişse başvurunun reddi anlamına geleceği ve takip eden 60 gün içerisinde idare aleyhine dava açılabileceği düzenlemişse, aynı durumun kurul açısından da geçerli olması gerekmektedir. Kurula yapılan bir şikâyette 60 gün içinde cevap verilmemesi halinde 60 gün içerisinde Kurul hasım gösterilerek idari dava açılabilecektir.
Kanunda düzenlenen idari para cezaları bir kabahat olması sebebiyle itiraz merci Sulh Ceza Hakimlikleridir. Nasıl ki trafik cezası yediğimiz aman Sulh Ceza Hakimliği’ne itiraz ediyorsak kurul kararları için de aynı durum söz konusu olacaktır.
İtiraz Yerini Sulh Ceza Hakimliği olmasının işverenler açısından bir dezavantajı vardır. O da Sulh Ceza Hakimlikleri tarafından verilen kararlara itirazlar yine bir başka Sulh Ceza Hakimliği’ne yapılabileceği için bir üst yargı denetimi bulunmamaktadır. Bu da verilen cezaların çok büyük bir oranda değişmeden kesinleşmesine yol açmaktadır. Nitekim trafik cezalarına yaptığımız itirazların birçoğu da reddedilmektedir.
Bu sebeple işvrenler açısından yükümlülükler yerine getirilmeli çünkü ihlal durumunda verilen cezaların geri dönüşü çok bulunmamaktadır.
İtiraz Yerini Sulh Ceza Hakimliği olmasının işverenler açısından bir dezavantajı vardır. O da Sulh Ceza Hakimlikleri tarafından verilen kararlara itirazlar yine bir başka Sulh Ceza Hakimliği’ne yapılabileceği için bir üst yargı denetimi bulunmamaktadır. Bu da verilen cezaların çok büyük bir oranda değişmeden kesinleşmesine yol açmaktadır. Nitekim trafik cezalarına yaptığımız itirazların birçoğu da reddedilmektedir.
Bu sebeple işvrenler açısından yükümlülükler yerine getirilmeli çünkü ihlal durumunda verilen cezaların geri dönüşü çok bulunmamaktadır.
Kurulun ihlal tespitinde olaylarda, ihlalin aynı zamanda suç teşkil etmesi ya da suç teşkil ettiğinden şüphelenilmesi durumunda derhal ilgili Cumhuriyet savcılığına ihbar edilmesi gerekecektir. Bildirim yükümlülüğü TCK m.279 gereğince zorunludur.
Evet, kamu kurum ve kuruluşları kanunun öngördüğü bütün yükümlülüklere uymakla mükelleftir. Ayrıca kamu kurum ve kuruluşlarının da VERBİS’e kayıt zorunluluğu bulunmaktadır.
Kamu kurum ve kuruluşları da KVKK mevzuatı ve yükümlülüklerine tabidir. Ancak kurul verdiği kararlarda kamu tüzel kişiliklerine idari para cezası vermemekte, kişisel veriye ilişkin hukuka aykırı faaliyeti gerçekleştiren memurun disiplin hükümleri gereği cezalandırılması konusunda kamu kurumunu tailmatlandırmakta ve süreci de takip etmektedir.
Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a. Kişisel veri işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f. 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
g. (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
hakları mevcuttur.
a. Kişisel veri işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f. 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
g. (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
hakları mevcuttur.
Kişisel verilerin yurt içinde aktarılması aslında veri işleme türlerinden biridir. Veri aktarımı KVKK 8. Maddesinde açıkça düzenlenmiştir buna göre;
(1)Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(1)Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
Hayır. Örneğin insan hakları departmanı ile muhasebe departmanı arasındaki veri paylaşımı veri aktarımı olarak kabul edilmemiştir. Dolayısıyla ilgili kişiden ayrıca açık rızasının alınmasına gerek bulunmamaktadır.
Evet. Her ne kadar aynı şirketler grubu içerisinde yer alsa da farklı tüzel kişilikleri olması sebebiyle iki şirket arasında yapılan veri paylaşımı veri aktarımı niteliğinedir.
Kişisel verinin yurtdışına aktarılması yeterli olup 3. Kişilerle paylaşılmasına gerek bulunmamaktadır. Dolayısıyla kişisel veri fiziken yurtdışına çıktığı anda yurtdışına aktarım yapılmş kabul edilmektedir.
Kural olarak açık rıza olmadan yurtdışına aktarım yapılamaz. Açık rıza olmaksızın yurtdışına aktarım yapılması için KVKK 5. Maddesindeki kişisel verilerini işlenme şartları ile , özel nitelikteki verilerin işlenme şartlarının düzenlendiği 6. Maddesindeki işlenme şartlarını varlığı halinde; kişisel verinin aktarılacağı yabancı ülkede;
• Yeterli korumanın bulunması • Yeterli korumanın bulunmaması halinde, Türkiye’deki ve ihlali yabancı ülkedeki veri sorumlusunun yeterli bir korumayı yazılı olarak TAAHHÜT ETMELERİ ve kurulun izni BULUNMASI KAYDIYLA ilgilinin açık rızası olmaksızın işlenebilir.
Yeterli korumanın bulunduğu ülkeler kurulca ilan edilecektir
Kural olarak açık rıza olmadan yurtdışına aktarım yapılamaz. Açık rıza olmaksızın yurtdışına aktarım yapılması için KVKK 5. Maddesindeki kişisel verilerini işlenme şartları ile , özel nitelikteki verilerin işlenme şartlarının düzenlendiği 6. Maddesindeki işlenme şartlarını varlığı halinde; kişisel verinin aktarılacağı yabancı ülkede;
• Yeterli korumanın bulunması • Yeterli korumanın bulunmaması halinde, Türkiye’deki ve ihlali yabancı ülkedeki veri sorumlusunun yeterli bir korumayı yazılı olarak TAAHHÜT ETMELERİ ve kurulun izni BULUNMASI KAYDIYLA ilgilinin açık rızası olmaksızın işlenebilir.
Yeterli korumanın bulunduğu ülkeler kurulca ilan edilecektir
a. Yurtdışına aktarım yapılacağı bilgisi
b. Aktarım yapılacak ülke ya da ülkeler
c. Aktarımın amacı
d. Aktarım sonrası verinin hangi amaçla işleneceği
e. Verinin alan kişi tarafından başka kişilere aktarılıp aktarılamayacağı
Unsurlarını içermelidir.
b. Aktarım yapılacak ülke ya da ülkeler
c. Aktarımın amacı
d. Aktarım sonrası verinin hangi amaçla işleneceği
e. Verinin alan kişi tarafından başka kişilere aktarılıp aktarılamayacağı
Unsurlarını içermelidir.
KVKK’nın uygulanmayacağı veya bazı yükümlülüklerden muaf oldnduğu durumlar KVKK m.28’de belirtilmiştr.
Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
d. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
e. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. Durumlarında kanun hükümleri uygulanmayacaktır.
a. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
d. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
e. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. Durumlarında kanun hükümleri uygulanmayacaktır.
Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
a. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
d. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
a. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
d. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.