bugün
25.04.2019
Bültenler
07.04.2016 Tarih ve 29677 Sayılı Resmi Gazete' de yayınlanan “Kişisel Verilerin Korunması Kanunu”.
Sayı:   Tarih  19 Mart 2016 Cumartesi

Konu : 07.04.2016 Tarih ve 29677 Sayılı Resmi Gazete’ de yayınlanan “Kişisel Verilerin Korunması Kanunu”.

 

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 07.04.2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanmak suretiyle yürürlüğe girmiştir.

 

Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasları düzenlemektir.

 

KVKK; kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanır. Yine kişisel verilerin otomatik olan veya olmayan yollarla işlenmesi bakımından herhangi bir fark öngörülmemektedir.

 

KVKK, kişisel verileri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamaktadır. Kanun tasarısının gerekçesi incelendiğinde, kişisel veri kavramının sadece ad, soyad, doğum yeri, doğum tarihi gibi kişilerin tanınmasını ve teşhisini sağlayan bilgilerden ibaret olmadığı ayrıca kişilerin fiziksel, ailevi, ekonomik, kültürel, sosyal veya psikolojik tüm bilgileri kapsadığı da ifade edilmiştir. Bu kapsamda, kişinin kimlik bilgilerine ek olarak, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler de kişisel veri kapsamındadır.

 

Kişisel verilerin işlenmesi kavramı geniş bir alanı kapsamaktadır. Buna göre verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.

 

KVKK, veri kayıt sistemini kişisel verileri belirli kriterlere göre sınıflandırarak bunlara ulaşımı kolaylaştıracak şekilde yapılandırılmış sistemler olarak tanımlamıştır. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir.

 

KVKK, Başbakanlığa bağlı, idari ve mali özerkliğe sahip Kişisel Verileri Koruma Kurumu (“Kurum”) ve Kişisel Verileri Koruma Kurulu (“Kurul”) oluşturulmasını öngörmektedir.

 

Veri sorumlusu, kişisel verilerin işlenmesine yönelik veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişileri ifade etmektedir. KVKK’nın 7.10.2016 tarihinde yürürlüğe girecek 16. Maddesi uyarınca kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Veri sorumlusu sicile kaydolmadan kişisel veri toplayamaz, saklayamaz ya da işleyemez. Veri Sorumluları Sicili, Kurul Genel Sekreterliği tarafından kamuya açık olarak tutulacaktır. Kurul tarafından sicile kayıt zorunluluğuna istisnalar getirilebilecektir.

 

Veri sorumlusunun verilerin elde edilmesi sırasında kimliği, hangi amaçla verilen işleneceği, verilerin kimlere ve ne amaçla aktarılabileceği vb. hususlarda ilgili kişileri aydınlatma yükümlülüğü bulunmaktadır. İlgili kişilerin veri sorumlusuna başvuru ve Kurul’a şikayet hakları da KVKK’da düzenlenmiştir.

 

Veri işleyen ise, veri sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir.

 

Kanun uyarınca kişisel veriler ancak KVKK’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Buna göre kişisel verilerin işlenmesinde;

– hukuka ve dürüstlük kurallarına uygun olma,

– doğru ve gerektiğinde güncel olma,

– belirli, açık ve meşru amaçlar için işlenme,

– işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

– ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulmak zorundadır.

 

Buna göre verilerin ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Veri sorumlularının verilerin saklanma sürelerini açıkça belirlemeleri gerekmektedir. Herhangi bir veri, daha fazla saklanması için geçerli bir sebep yoksa silinecek veya anonim hale getirilecektir. Gelecekte kullanma ihtimali gerekçesiyle veri saklanamayacaktır. Anonim hale getirme ile kastedilen, kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

 

Kişisel veriler ve özel nitelikli kişisel veriler, KVKK’da sayılı istisnai haller hariç, ilgili kişinin açık rızası olmaksızın işlenemeyecektir. Rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.

 

Özel nitelikli kişisel veriler, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Bu veriler, başkalarınca öğrenilmeleri halinde, özellikleri gereği, ilgili kişinin mağduriyetine yol açabilecek veya ayrımcılık tehlikesini oluşturacak nitelikte hassas verilerdir.

 

KKVK’ya uygun işlenen veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. Yine, kişisel verilerin ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılması mümkün değildir.

 

Kanuna aykırılık halinde hapis ve ağır para cezalarına maruz kalınabilir. Örneğin; Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırılık halinde 20.000-1.000.000 TL arası idari para cezası yaptırımı öngörülmüştür.

 

KVKK’nın 8 (Kişisel verilerin aktarılması), 9 (Kişisel verilerin yurt dışına aktarılması), 11 (İlgili kişinin hakları), 13 (Veri sorumlusuna başvuru), 14 (Kurula şikayet), 15 (Şikayet üzerine veya resen incelemenin usul ve esasları), 16 (Veri Sorumluları Sicili), 17 (Suçlar) ve 18 (Kabahatler) maddeleri 7.10.2016 tarihinde, diğer maddeleri ise yayımı tarihinde yürürlüğe girer.

 

KVKK uyarınca veri sorumluları, Kurul tarafından belirlenen ve ilan edilen sürede Veri Sorumluları Siciline kayıt yaptırmak zorundadırlar. Bunun yanında Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, 7.4.2018 tarihine kadar KVKK hükümlerine uygun hale getirilmelidir. Ancak Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, 1 yıl içinde aksine bir irade beyanında bulunulmaması halinde KKVK’ya uygun kabul edilir.

 

Şirketler açısından bakıldığında;

  • Toplanan kişisel verilerin belirlenmesi,
  • Toplanma amaçlarının ve kullanım sürelerinin belirlenmesi ile ihtiyaç duyulup duyulmadığının tespiti,
  • Aktarıldıkları başka kişiler, firmalar varsa bunların ve aktarılma amaçlarının belirlenmesi,
  • Toplanırken kişilere verilen bilginin ve onaylarının şeklinin, zamanının belirlenmesi suretiyle mevcut durum tespiti yapılmalıdır.

 

Durum tespiti yapıldıktan sonra;

  • Kişisel verilerin korunması için alınan idari ve teknik tedbirlerin tespiti,
  • Verilerin özel nitelikli veri olup olmadığının tespiti,
  • Toplanma ve işlenme amaçlarının mevzuata uygunluğunun tespiti,
  • Kişilerden alınan onayların amaçlara uygunluğunun tespiti,
  • İşlenme sürelerinin mevzuata uygunluğunun tespit edilmesi gerekecektir.

 

KVKK’ya uygunluk için;

  • Veri Sorumluları Sicili’ne kayıt,
  • Mevzuata uymayan ama uygun hale getirilebileceği tespit edilen veriler için gerekli kişilerin onaylarının 7.4.2018 tarihine kadar alınarak verilerin KVKK’ya uygun hale getirilmesi,
  • Mevzuata uymayan ve uygun hale getirilemeyecek verilerin en geç 7.4.2018 tarihine kadar silinmesi gerekmektedir.

 

ÖRNEK SORU VE CEVAPLARLA

 

Kişisel Verilerin korunması Kanunu

 

Soru :Yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın banka hesap numarası alınabilecek midir?

Cevap: KVKK uyarınca bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli olduğu taktirde bu verilerin alınabileceği düzenlendiğinden alacaklı tarafın banka hesap numarası alınabilecektir.

 

Soru :Bir şirket, çalışanına maaş ödeyebilmek için banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işleyebilecek midir?

Cevap :KVKK uyarınca veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmek için zorunlu olan verileri işleyebileceğinden, çalışanına ilişkin bu verileri işleyebilecektir.

 

Soru :Bir hazır giyim mağazasının müşterilerinin kan gruplarını işlemesi KVKK kapsamında meşru amaç olarak değerlendirilecek midir?

Cevap :Hazır giyim mağazasının müşterilerinin kimlik ve iletişim bilgilerini işlemesi KVKK kapsamında meşru amaç olarak değerlendirilecekken, kan gruplarını işlemesi meşru amaç olarak değerlendirilmeyecektir.

 

Soru : Bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması hukuka uygun mudur?

Cevap : KVKK uyarınca bir hakkın tesisi, kullanılması veya korunması için veri işlenmesi zorunlu olması durumunda kişisel veriler işlenebileceğinden şirket açılan bir davada ispat için bazı verileri kullanabilecektir.

 

Soru :Bir kişinin haklarının korunması amacıyla vasinin veya kayyımın, kısıtlının mali bilgilerini tutması hukuka uygun mudur?

Cevap :KVKK uyarınca bir hakkın tesisi, kullanılması veya korunması için veri işlenmesi zorunlu olması durumunda kişisel veriler işlenebileceğinden bu durum hukuka uygun kabul edilecektir.

 

Soru :Bankayla kredi sözleşmesi yapılması sırasında banka, o kişiye ait maş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinebilecek midir?

Cevap :KVKK uyarınca bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenebileceğinden, banka, kredi sözleşmesi yapılması sırasında ilgili belgeleri edinebilecektir.

 

Soru :Bir firmanın faturasında yer alan müşterisi ile ilgili bilgiler kişisel veri midir?

Cevap :Evet, faturada yer alan müşteriye ait bilgiler müşterinin kişisel verisi olarak kabul edilir.

 

Soru :KVKK tüzel kişilerin veri güvenliğini de kapsar mı?

Cevap :Hayır, KVKK’ da bahsi geçen “ilgili kişi” sadece gerçek kişilerdir. Şirketler, kurum ve kuruluşlar bu kanun kapsamında korunma altında değildir. Tüzel kişilik denilen bu kurum ve kuruluşların hakları tabi oldukları mevzuat hükümlerince korunur.

 

Soru :Kişinin kendisi tarafından kamuoyuna açıklanmış olan kişisel veriler işlenebilecek midir?

Cevap :Kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinen veriler, korunması gereken hukuki yararın ortadan kalkması sebebiyle işlenebilecektir.

 

Soru : İlgili kişinin açık rızası bulunması halinde özel nitelikli kişisel veriler işlenebilecek midir?

Cevap :Kişinin rızası, özgürce, konuyla ilgili yeterli bilgi sahibi olunarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olma şartlarına haiz ise geçerli olacak ve özel nitelikteki kişisel veriler işlenebilecektir.

 

Soru :Kişinin kendisi tarafından kamuoyuna açıklanmış olan özel nitelikli kişisel verileri işlenebilecek midir?

Cevap :Kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinen veriler, korunması gereken hukuki yararın ortadan kalkması sebebiyle işlenebilecektir.

 

Soru :Hastaneler, eczaneler, Sosyal Güvenlik Kurumları hastanın özel nitelikli kişisel verilerini işleyebilecek midir?

Cevap :KVKK uyarınca, ilgili kişinin rızası olmasa bile, kanunlarda açıkça öngörülen hallerde özel nitelikli veriler işlenebilecektir. Yukarıda belirtilen kurumların hastalarla ilgili veri işlemesi bu kapsamda sayılacaktır.

 

Soru :Bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından veri işleyen olarak kabul edilebilecek midir?

Cevap : KVKK uyarınca, herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabileceğinden, muhasebe şirketi hem veri sorumlusu hem de veri işleyen kabul edilecektir.

 

Soru : Hürriyeti tahdit edilen bir kişinin kurtarılması amacıyla kişisel verileri işlenebilecek midir?

Cevap :Evet, kişinin yerinin belirlenmesi için, kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı gibi veriler işlenebilecektir.

 

Soru: Kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında kişisel verileri işlenebilecek midir?

Cevap: Kişinin kan grubu, geçirdiği hastalıklar ve ameliyatlar, kullandığı ilaçlar gibi veriler ilgili sağlık sistemi üzerinden işlenebilecektir.

 

Soru :Askerlik yapacak kişilerin bazı özel sağlık bilgilerinin ilgili kanun hükümleri uyarınca işlenmesi yasal mıdır?

Cevap :KVKK uyarınca, ilgili kişinin rızası olmasa bile, kanunlarda açıkça öngörülen hallerde özel nitelikli veriler işlenebileceğinden bu durum yasal olacaktır.

 

Soru : Siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumlar tarafından, kendi üye ve mensuplarının özel nitelikli verileri işlenebilecek midir?

Cevap :Kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işlenebilecektir.

 

Soru : KVKK’da yer alan hukuka uygun olarak işlenmiş olup da işlenmesini gerektiren sebepler ortadan kalkmışsa, söz konusu veriler resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirileceği şeklinde ki düzenlemede yer alan “silinme” ve “yok etme” ne anlama gelmektedir?

Cevap :Kişisel verilerin silinmesi; kişisel verilerin tekrar hiçbir şekilde kullanılmayacak ve geri getirilemeyecek şekilde imhası olup veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinmesi,

Kişisel verilerin yok edilmesi; bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesidir.

 

Soru : KVKK’nın uygulanmadığı alanlar mevcut mudur?

Cevap : Evet KVKK’da açık bir şekilde belirtilen aşağıdaki durumlar Kanununun kapsamı dışındadır.

  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güveliğine ilişkin kurallara uymak kaydıyla, şahsi olarak ve aynı konutta aile fertleriyle ilgili olarak faaliyetler çerçevesinde işlemesi,
  • Resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında kişilerin ve devletin haklarına ve çıkarlarına zarar vermeyecek şekilde işlenmesi,
  • Kanunla görevli ve yetkili kılınmış kamu kurum ve kuruluşlarınca kanunda yazılı amaçlara uygun işlenmesi,
  • Soruşturma, kovuşturma gibi adli kurumlar tarafından kendi amaçlarına uygun işlenmesi KVKK’ nın kapsamında değildir.
  • Bazı kamu kurum ve kuruluşlar da bu kanunun bazı maddelerine uymakla yükümlü değildir.

 

KVKK ile ilgili sorularınız hakkında lütfen bizimle iletişime geçmekten çekinmeyiniz.

 

Saygılarımızla,

 

Engin Hukuk Bürosu

HABERLER
Elektronik Tebligat Yönetmeliği

“Elektronik Tebligat Yönetmeliği” 6 Aralık 2018 tarih ve 30627 sayılı Resmi Gazete’de yayımlanmıştır. Yönetmelik uyarınca aşağıdaki belirtilen gerçek ve tüzel kişilere yapılacak tebligatların elektronik yollarla yapılması zorunludur:   5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanununa ekli (I), (II), (III) ve (IV) s[…]

Aday Çırak ve Çıraklar ile İşletmelerde Mesleki Eğitim Gören, Staj veya Tamamlayıcı Eğitime Devam Eden Öğrencilerin Ücretlerine Yapılan Devlet Katkısı Ödemelerinin Süresi 3 Eğitim ve Öğretim Yılı Uzatıldı

“Aday Çırak ve Çıraklar ile İşletmelerde Mesleki Eğitim Gören, Staj veya Tamamlayıcı Eğitime Devam Eden Öğrencilerin Ücretlerine Yapılan Devlet Katkısı Ödemelerinin Süresinin Uzatılmasına İlişkin Kararda Değişiklik Yapılması Hakkında Karar (Karar Sayısı: 356)” 23 Kasım 2018 tarih ve 30604 sayılı Resmi Gazete’de yayımlana[…]