Kişisel Verilerin Korunması ve Şirketlerin Yükümlülükleri

Kişisel Verilerin Korunması ve Şirketlerin Yükümlülükleri

29-03-2020
Kişisel Verilerin Korunması ve Şirketlerin Yükümlülükleri

KİŞİSEL VERİLERİN KORUNMASI KANUNU KİMLERİ KAPSIYOR

Kişisel verilerin korunması kanunu kimleri kapsıyor sorusunun cevabı olarak 6698 sayılı sayılı kişisel verilerin korunması hakkındaki kanunun düzenlenme amacı sadece tüzel kişilerin bu kanuna uymasını sağlamak değil gerçek kişilerin de uyumunu sağlamak bakımından geniş çaplı ele alınmıştır. Nitekim kanun amacında yapılan düzenlemeye bakılacak olursa kişisel verilerin işlenmesinde başta ÖZEL HAYATIN GİZLİLİĞİ OLMAK ÜZERE KİŞİLERİN TEMEL HAK VE ÖZGÜRLÜKLERİNİ KORUMAK ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olarak belirtilmiştir. Anlaşılacağı üzere sadece tüzel kişileri kapsamına almayan gerçek kişilerin de kanuna uyması gerektiğini hüküm altına alan bir kanundur. Ancak kanunla korunan tüzel kişi değil gerçek kişilerdir.

Tüzel kişilerin verilerinin korunması değil gerçek kişilerin verilerinin korunması için çıkartılmış bir kanundur. Bu yüzden sadece tüzel kişilere ait olan bilgiler kapsam dışıdır. Yalnız buradan tüzel kişilerin elinde bulunana ve gerçek kişilere ait olan bilgilerin kapsam dışında olduğu anlaşılmamalıdır. Zira tüzel kişi kendi tüzel kişiliği ile ilgili olan bilgiler kapsamında koruma altında değildir. Ancak tüzel kişinin gerçek kişilerle ilgili her türlü kişisel veriler kanun kapsamındadır. Örneğin şirketin pay oranları kişisel veri kapsamında değildir. Ancak bu paylara şirket ortaklarından kimin sahip olduğu yönündeki bir bilgi gerçek kişiye ait olduğu için kişisel veridir. Bir de tekrar üzerinde durulması gereken bir konu kanun sadece kişisel verilerin korunması saikine sahip değil özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak amacına hizmet vermektedir. Artık yaptığımız ya da yapacağımız bütün işlemlerimizde faaliyete geçmeden önce işlemlerimizin KVKK ya uyumlu olup olmadığını, hak ihlaline yol açıp açmayacağını değerlendirmeli ve buna göre hareket etmeliyiz. Gelişen dünya ve içinde bulunduğumuz teknolojik konjonktür bunu gerektirmekte olup aksi durum büyük sorunların ortaya çıkmasına gebedir.

Nitekim kapsam başlıklı 2. Maddede kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı belirtilmiştir. Kanunda korunan kişilik gerçek kişi olup tüzel kişi değildir. Bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (gerçek bir kişiyle ilişkilendirileceği durumlar hariç) kişisel veri sayılmamaktadır. Kanuna uyması gerekenler ise kişisel verileri işleyen gerçek ve tüzel kişilerdir. Bu ayrımın yapılması kanunun kapsamını kavramak bakımından son derece önemlidir.

Kişisel Veri Nedir

Kişisel veri nedir- Kişisel veri kanun tanımından bakılacak olursa kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak kısaca tanımlanmıştır. Peki örnekleme yoluyla bu kişisel verilerin neler olduğu hakkında bilgilendirmelerde bulunalım. Öncelikli olarak sadece bireyin kesin teşhisini sağlayan ad, soyad, doğum tarihi, doğum yeri gibi bilgiler değil; aynı zamanda bireyin belirlenebilir kılınmasını sağlayan fiziki, ailevi, ekonomik, sosyal ve buna benzer özelliklere ilişkin bilgiler de kişisel veri olarak örneklenebilir. Kanunumuzda kişisel veriler numerus clausus olarak belirtilmemiş yani sınırlandırılmamış olduğundan bu örneklerin genişletilebilmesi mümkündür. Kimlik bilgileri - ad, soyad,  doğum tarihi,doğum yeri vb. telefon numarası, motorlu  taşıt plakası, sosyal güvenlik  ve pasaport numaraları vb. özgeçmiş, fotoğraf, resim,vb. net gelir, harcama tercihleri,  yatırımları,vb. medeni durum, çocuk sayısı, iletişim adresi,vb. hobiler, tercihler, etkileşimde  bulunulan kişiler, grup  üyelikleri,vb. emaıl adresleri, ıp adresleri,  konum bilgileri,vb. örneklemelerde bulunulabilir.

Telefon bankacılığında bireyin ses kaydının yönlendirmesi ile vermiş olduğu SES KAYDI kişisel veri sayılabileceği gibi Kişisel Verilerin Korunması Kurumunun resmi internet sitesinde vermiş olduğu ve çok çarpıcı bir örnek olduğundan aynısını aktarmak istediğimiz; “Bir velayet davasında ailesine ilişkin çocuğa yaptırılan çizim, çocuğun ailesine karşı duygularını göstereceği için kişisel veri kapsamındadır. Diğer yandan, bu çizim aracılığıyla anne ve babanın aile içindeki davranışları da anlaşılabiliyorsa, çizim aynı zamanda anne ve babanın da kişisel verisi sayılır.” Şeklinde belirtilmiştir. Örneğe de bakılacak olursa bu durumun hiç de yabana atılır bir durum olmadığı aslında büyük bir önemi haiz sonuç olduğu ortaya çıkacaktır. Bize bu durum çok garip gelebilir, benimsemek konusunda kültürel yapımız bakımından bu durumlara alışmak zor gelebilir ancak gerçeklerle yüzleşmek gerekeceğinden kanunun ve kanunun uygulayıcısı olan Kişisel Verilerin Korunması Kurumunun gayet ciddi olduğu vermiş olduğu kararlardan ötürü açık bir şekilde ortadadır. Bu yüzden hem gerçek kişiler olan bizlerin hem de tüzel kişilerin bu durumları yabana atmadan kanuna uygun olarak hareket etmeleri hukuki ve mali gelecekleri bakımından bizce zaruridir. 

Kişisel Verilerin Korunması Şireketlerin Yapması Gerekenler

Kişisel verinin işlenmesi kanuni tanımıyla; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işleme verilen addır. Kişisel verilerin işlenmesi bakımından uyulması gereken ilkeler Kişisel Verilerin Korunması Kanununun 4. Maddesinde düzenlenmiştir. Buna göre bu ilkeler; 

  • Hukuka ve dürüstlük kurallarına uygun olma. 
  • Doğru ve gerektiğinde güncel olma.
  • Belirli, açık ve meşru amaçlar için işlenme.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme olarak sayılmaktadır.

Görüleceği üzere kişisel verilerin korunması bakımından işlenmesi sırasında uyulması gereken ilkeler içinde bu verilerin işlenmesi sırasında hukuka ve dürüstlük kurallarına uygun hareket edilmesi, verilerin işlenmesi sırasında verilerin doğru ve güncel olması, açık ve meşru amaçlar için işlenmesi kanuna aykırı haller için işlenmemesi gerekir. Ayrıca işlendikleri amaç ile bağlantılı olmalıdır. Örneğin şirkete alınacak işçinin anne kızlık soy adının bilinmesi şirketin o işçinin çalıştırılması amacıyla gerekli olan bir kişisel veri değilken bu bilgilerinin dahi elde edilmesi bu ilkelere aykırı olacaktır. Takma isimler, lakaplar tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayacak nitelikte ise bu tarz veriler kişisel veri olarak kabul edilmektedir. Kişisel Verileri Koruma Kurumuna göre Amacın meşru olması; işlenen kişisel verinin, veri sorumlusunun yaptığı iş veya sunduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Aynı kurum Bir e-ticaret sitesinin, alışveriş yapan kişinin ad, soyad ve kargo gönderimi için adres bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadı veya kan grubu bilgisini işlemesi meşru amaç kapsamında değerlendirilemeyeceğini örneklemektedir.

Ölçülü olma ilkesi ise elde edilen kişisel verilerin ihtiyaç dışında da elde edilmemesini ya da ihtiyaçtan fazla kişisel veri elde etmenin hukuka aykırı olacağını belirtmektedir. Yine kişisel veriler belirli bir amaç için işlenmişse bu amacın dışına çıkılması da elde edilen kişisel veriyi hukuka aykırı bir veri haline getirecektir. Örneğin bir toplantıya katılmak amacıyla herhangi bir kurum tarafından mail adresinizin alındığını ve alınma sebebinin  de toplantı hakkındaki bilgi ve belgelerin gönderilmesi olarak düşünelim. Kurum mail adresini bu amaç dışında kullanırsa örneğin kurumun reklamını yapma amacı taşıyan kısa reklam filmleri göndermiş ise ya da kurumun satışa çıkaracağı şeyler hakkında reklamlar göndermişse bu durumda kişisel verinin elde edilme amacı sakatlanacağından kurumun hukuki, idari ve cezai yaptırımlarla karşılaşma olasılığı artacaktır. Ayrıca veri sorumlusu almış olduğu verilerin tutulması süresi bakımından kanun ile kısıtlanmış ise bu kısıtlı sürelere uymak mecburiyetindedir. Örneğin işçinin işten çıkmasından sonra bu verilerin 5 yıl süre ile saklanması gerektiğine ilişkin bir düzenleme varsa veri sorumlusu işçinin işten çıkmasından itibaren bu verileri 5 yıl sonra ortadan kaldırmalı yok etmelidir. 5 yılın sonunda hala verilerin elde tutulması veri sorumlusunun sorumluluğuna yol açacaktır. Yine Kişisel Verilerin Korunması Kurumunun vermiş olduğu bir örnekten yola çıkacak olursak Bir benzin istasyonunun belirli bir sürede belirli miktarda benzin alan kişilere ödül vereceği bir kampanyada, kampanyaya katılım için topladığı isim ve araç plaka bilgilerini başka herhangi bir işleme şartı yok ise kampanya bitiminde silmesi gerekmektedir. Kişisel verilerin işlenmesi ilkesine göre elde edilmiş olan kişisel verilerin kullanılmasından elde edilecek yarar ortadan kalkmış, amaç sonlanmış, süre geçmiş ya da kişi veri sorumlusuna başvurarak kişisel verilerinin silinmesini talep etmiş ise bu durumlarda artık veri sorumlusunun bu kişisel verileri gelecekte kullanma ihtimalinin mevcudiyetine dayanarak saklaması meşru bir gerekçe olmayacaktır.

Kişisel Verilerin İşlenme Şartları

Kişisel verilerin işlenme şartları- Kişisel verilerin korunması kanununun 5. Maddesi kişisel verilerin işlenme şartları başlığını taşımaktadır. Önemle belirtmemiz gerekir ki kişisel verilerin işlenmesinde var olması gereken husus verisi işlenecek kişinin kanun lafzıyla ilgili kişinin açık rızasının bulunmasıdır. Ancak burası daha da önemlidir ki 5. Maddenin 2. Fıkrasındaki hususların bulunması durumunda ilgili kişinin açık rızası aranmadan kişisel verilerin işlenebileceği hususudur. Burası çok önemlidir çünkü bu 5/2 deki hususların bulunması durumunda açık rıza alınması veri sorumlusunun sorumluluğunu doğurabilecek cinstendir. Bunu biraz sonra örnek ve kurumun vermiş olduğu bir karar üzerinden irdeleyeceğiz. Şimdi gelelim 5/2 de sayılmış olan hususlara. Yani kişisel verilerin kişinin rızası olmadan işlenebileceği durumlara ki bu durumlar;

  • Kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. 
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması. 
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması olarak ifade edilmiştir. Aslında 5. Maddede yer alan hususlardan birinin varlığı kişisel verilerin hukuka uygun olarak işlenebileceğini bizlere göstermektedir. Bu maddedeki  5/2 deki bütün hususların kül olarak bulunması şart koşulmamıştır.

Öncelikle belirtmek gerekir ki ilgili kişinin yani verisi işlenecek kişinin verisi işlenecek süjenin rızasının hukuka uygun olarak alınması, daha doğru ifade ile rızanın, aydınlatma yükümlülüğünün iradeyi sakatlamayacak seviyede yerine getirilmesi ile alınması ve sonrasında da özgürce verilmesi gerekmektedir. Ancak yine belirtmekte fayda vardır ki rızanın alınmış olması Kişisel verilerin Korunması Kanununun 4. Maddesindeki ilkelere aykırı veri elde etmeyi gerektirmeyecek, veri sorumlusu 4. Maddedeki hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uymak zorunda olma ilkelerine uygun hareket edecektir.

Kanunlarda açık bir şekilde kişisel verilerin işlenebileceği hususu belirtilmiş ise bu durumda kişinin açık rızası olmadan kişisel veriler işlenebilecektir. Örneğin iş kanununa göre çalışanların özlük dosyalarının tutulması gerektiği ya da avukatların müvekkillerinin dosyalarını 3 yıl süreyle saklamak zorunda olmaları veya bankaların bankacılık kanunu gereği müşterilerinin verilerini bulundurma yükümlülükleri gibi durumlar buna örnek olarak verilebilir.

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumunda da verisi işlenecek kişinin yani ilgili kişinin açık rızasına gerek yoktur. İki kişi arasında yapılacak olan sözleşmenin tarafları kişisel verilerinin bu sözleşmeyle bağlı kalmak daha doğru ifade ile sözleşmenin kurulması bakımından bu amaçla sınırlı olması koşuluyla işlenmesi hallerinde tarafların rıza vermesine gerek yoktur. Ancak yukarıda belirtmiş olduğumuz bir hususun açıklığa kavuşturulması gerekmektedir. Veri sorumlusu tarafından sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatması hususu Kişisel Verilerin Korunması Kurumu tarafından hak ihlali sayılmış ve gerekçe olarak; açık rıza verilmesini gerektirmeyen bir durumun varlığında Açık Rızanın Hizmet Şartına Bağlanması, Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği, Ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı belirtilmiş ve devamında, bu durumun Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil edeceği karara bağlanarak veri sorumlusuna idari para cezası uygulanmıştır. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmasına örnek verecek olursak Bir bankanın, maaş müşterisi ile imzaladığı sözleşme kapsamında müşterinin kimlik numarası, elektronik posta, adres, imza, cep telefon numarası gibi kişisel verilerini işlemesi ve dosyasında muhafaza etmesidir.

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumunu örnek vererek anlatalım. Buradaki hukuki yükümlülükten kasıt kanuni yükümlülük değildir. Zaten kanuni bir yükümlülük varsa 5/2-1 de bu durum belirtilmiştir. Buradaki hukuki yükümlülükten kasıt iki taraf arasında yapılmış olan bir sözleşme olduğunu düşünelim. Bu sözleşmedeki hukuki yükümlülüğün yerine getirilmesi için veri işlenmesi durumunda rızaya gerek olmayışıdır. Birine hediye göndermek istiyorsunuz ve kargo şirketine kargoyu teslim ettiğinizde artık aranızda bir hukuki ilişki kuruluyor ve kargo şirketinin sizinle yapmış olduğu sözleşme gereği yükümlülüğü o kargoyu verdiğiniz adrese teslim etmek. Görüleceği üzere kargo şirketi kargoyu teslim için bir adrese ihtiyaç duyuyor ve üçüncü kişiye ait olan bu adresin işlenmesi hukuki yükümlülüğün yerine getirilmesi olduğundan ötürü 3. Kişinin rızasının alınmasına gerek duyulmuyor.

İlgili kişinin kendisi tarafından alenileştirilmiş olması durumunda da açık rızaya gerek yoktur. Burada dikkat edilmesi gereken husus alenileştirme iradesi yani bu kişinin alenileştirme iradesi neyse buna göre kişisel verilerin kullanılabileceğidir. Örneğin bir çalışanınızın numarası yapmış olduğunuz iş gereği müşterilere bilgi vermek amaçlı olarak alenileştirildi. Örneğin şirket danışmanı konumunda bulunan bir kişinin telefonu müşterilerin danışması amacıyla alenileştirildi. Buradaki alenileştirilme amacı tamamen şirketin danışmanlığının verilmesi ile ilgilidir. Eğer 3. Kişiler tarafından çalışanın telefonuna reklam amaçlı mesajlar gönderilirse alenileştirilme amacının dışında bir sebeple kullanılacağından ötürü bu durum hukuka aykırı olacak ve ihlalin varlığını sağlayacaktır. Kurumun verdiği örnek üzerinden gidecek olursak İkinci el araç satışı yapılan internet sitesinde aracını satmak isteyen ilgili kişinin iletişim bilgilerinin, araç alım satımı dışında pazarlama amacıyla kullanılması, bu veri işleme şartı kapsamında değerlendirilmemektedir ve kişinin açık rızasına bağlıdır. Yine kurumun verdiği örnekte Bir avukatın kartvizitini verdiği kişi, sadece hukuki konularda danışma gibi bir amaçla kartvizitte yer alan GSM numarası kullanabilir. Ancak söz konusu GSM numarasına reklam ve kampanya içerikli SMS gönderilmesi veya arama yapılması avukatın irade beyanına aykırıdır.

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması şartı ise Bir şirketin  kendi çalışanı tarafından açılan bir davada, ispat için bazı verileri kullanması bu kapsamda değerlendirilir. Yine avukatın müvekkilinin kişisel verilerini kullanarak dava açması gibi.

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, veri sorumlusunun haklı menfaatlerinin gerçekleştirilmesi için ve kişilerin hak ve özgürlüklerine halel gelmeyecek şekilde ilgili kişilerin verilerinin işlenmesidir. 

KVKK Açık Rıza Örneği

KVKK açık rıza örneğine geçmeden önce belirtmemiz gereken bir husus bulunmaktadır. Şimdi ilgili kişinin kişisel verilerinin işlenebilmesi için öncelikle yukarıda değinilen veri işleme şartlarından bir tanesinin bulunup bulunmadığına bakılmalıdır. Yukarıda yer alan hususlardan bir tanesinin varlığı halinde diğerlerinin var olmasına gerek yoktur ki veri işleme şartlarından en az birinin varlığı halinde açık rızaya başvurulma şartı da ortadan kalkmaktadır. Çünkü açık rıza da veri işleme şartlarından biridir. Ancak sayılanların bulunmaması durumunda olması gereken bir husustur. Açık rıza belirli bir konu hakkında bilgilendirmeye dayanan ve özgür irade ile açıklanan rızaya verilen isimdir. Anayasanın 20. maddesinin 3. fıkrasında kişisel verilerin ancak kanunda öngörülen hallerde VEYA kişinin açık rızasıyla işlenebileceği belirtilmiştir. Açık rıza veri işleme şartlarından birisi olsa da diğer şartlara göre bir önceliği yoktur. Açık rıza belirli bir konuya ilişkin olmalıdır. Kişisel verilerimin kullanılmasını kabul ediyorum gibi muğlak bir ifade ile verilerin işlenmeye başlanması ne yazık ki açık rızayı sakatlayacak ve veri işleme, kanuna aykırı hale gelecektir. Açık rıza bilgilendirmeye dayanmalıdır. İlgili kişinin neye rıza gösterdiği ve rızasının sonuçlarının nelere yol açacağını bilmesi gerekmektedir. Ayrıca bilgilendirme mutlaka ama mutlaka verinin işlenmesinden önce yapılmalıdır. Rıza özgür irade ile açıklanmalıdır. Verisi işlenecek kişinin yani ilgili kişinin rızasının cebir tehdit ya da hile ile alınması rızayı sakatlayacağından geçersiz olacaktır. Yine bir hizmetin verilmesi açık rıza alınması şartına da bağlanamayacaktır. 

Özel Nitelikli Kişisel Veri

Sağlık hizmetlerinde kişisel verilerin korunması- Özel nitelikli kişisel veriler ile genel kişisel veriler birbirinden farklılıklar göstermektedir. Çünkü bir kere özel nitelikli kişisel verilerin işlenmesi için mutlaka kişinin açık rızasına gerek vardır bir şart dışında. O da sağlık verileridir. Sağlık verilerinin sağlık amacıyla işlenebilmesi durumunda kişinin açık rızasına gerek yoktur. Özel nitelikli kişisel verilere hassas kişisel veriler de denilmektedir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri bu tür kişisel veriler içerisine girmektedir. Kişisel verilerin korunması kanunu 6. Madde özel nitelikli kişisel verilerin işlenmesini düzenlemiştir. Kanunlarda açıkça öngörülmesi halinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmektedir. Kurumun resmi internet sitesinde bu duruma örnek olarak Bir kişinin, A hastanesinde tansiyon tedavisi, B hastanesinde ise kalp rahatsızlığı tedavisi gördüğü bir durumda, kalp rahatsızlığı nedeniyle ameliyat olması gereken hasta hakkında bu iki hastane doktorunun sağlık verilerini birbirlerine aktarması gösterilmiştir. Özel nitelikli kişisel verilerin korunması için alınması gereken diğer önlemler kurum tarafından yayımlanmıştır. Bu önlemler;
1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5- Özel nitelikli kişisel veriler aktarılacaksa
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir,
şeklinde belirtilmiştir.

KVKK Aydınlatma Yükümlülüğü

KVKK aydınlatma yükümlülüğü kişisel verilerin korunması bakımından büyük önemi haizdir. Nitekim aydınlatma yükümlülüğünün yerine getirilmesi veri sorumlusu için bir yükümlülük iken verisi işlenen gerçek kişi için yani ilgili kişi için aynı zamanda bir haktır. Bu yükümlülüğün yerine getirilmesi hususunda siz değerli okuyucularımıza şunu unutmamalarını tavsiye ederiz. Bu kanun sadece tüzel kişilerin uyması gereken usul ve esasların neler olduğunu belirtmek için hazırlanmamıştır. Gerçek kişiler de kişisel verilerin korunması, temel hak ve özgürlüklere bağlı kalması ve veriler ile ilgili her türlü işlemin gerçekleştirilmesi bakımından 6698 sayılı kanuna tabidir. Şirketler belirli bir şekilde bu kurallara uyacak ya da bu konuda çalışma sarf etmek durumunda kalacaklardır. Ancak veri sorumlusu olarak faaliyet gösteren gerçek kişiler bakımından 6698 sayılı kanuna uyum gösterilmesi bizce daha da elzemdir. Nitekim örneğin özel muayenehanesinde faaliyet gösteren bir hekim, özel ofisi olan serbest muhasebeci, avukat, küçük orta büyük işetmeler, tüzel kişiliği olmayan şahıs şirketleri gibi adi ortaklıklarda kişisel verilerin işlenmesi yahut kanunda yer bulan işlemlerin gerçekleştirilmesi durumunda meydana gelecek ihlallerden bu kişiler de sorumlu olacaklardır. Bu yüzden kanunu gerçek kişilerin bilmesi ve bu kurallara uyması elzemdir. Ayrıca kamuoyunda yanlış bir bilgi de bulunmaktadır. Zira 6698 sayılı kanunun ihlali sonucunda sadece Kişisel Verileri Koruma Kurumu işlem gerçekleştirmeyecek olup kişisel verisi ihlal edilen kişilerin genel hükümlere göre tazminat davası açma hakkı da bulunmaktadır. Bu yüzden kişi kurumdan idari para cezası alabileceği gibi TCK gereği suç oluşması durumunda cezalandırılabilecek aynı zamanda genel hükümlere göre maddi veya manevi tazminat sorumluluğu da doğabilecektir. Kanun 2016 yılında yürürlüğe girmiş olsa da etkilerini 2019 yılından itibaren göstermeye başlamış, birçok ihlal tespit edilmiş birçok idari para cezası kesildiği gibi birçok karar da yayımlanmıştır. Ve bu durum ihlallerin mevcut olması ile kişilerin bu kanun hükümlerindeki hususların sadece tüzel kişilere uygulandığını düşünmeleri sonucu daha da artacağa benzemektedir. Bundan dolayı kanunun uygulanırlılığının ve kapsamının iyi bilinmesi gerekmektedir. 

Ayrıca yine çok önemli gördüğümüz bir husus da aydınlatma yükümlülüğünün tüm veri işleme ya da veri ile ilgili herhangi bir işlem gerçekleştirmeden önce alınması, yerine getirilmesi gerektiği hususudur. Kamuoyunda aydınlatma yükümlülüğünün sadece açık rıza alınması gereken durumlarda yerine getirilmesi gerektiği yönünde yanlış bilgiler bulunmaktadır. Aydınlatma yükümlülüğü Kanunun 5. ve 6. maddelerinde yer alan hususlardan herhangi birinin varlığı durumunda veri işlenmesine başlanılmadan önce yerine getirilmesi gereken bir husustur. 

Aydınlatma Yükümlülüğü Yerine Getirilirken Uyulması Gereken Kurallar

Aydınlatma yükümlülüğü veri sorumlusu tarafından ya da veri sorumlusunun yetkilendireceği kişiler tarafından yerine getirilmek zorundadır. Aydınlatma yükümlülüğünün yerine getirilmesindeki kıstaslar kanunun 10. maddesinde teker teker sayılmıştır ve aydınlatmanın kanunda yer alan bu hususlara uygun olarak yerine getirilmesi kuraldır. Aksi durum aydınlatmanın kanuna aykırı olarak yapılması sonucunu doğuracağından veri işleme işlemi hukuka aykırı hale gelecek ve kanunun 4. maddesinde yer alan ilkelere aykırılık ortaya çıkacak veri işleme dürüstlük kurallarına aykırılık ihtiva edecektir.

Veri sorumlusu ilgili kişiye aşağıda yer alan hususlar hakkında ilgili kişinin herhangi bir talebi olmadan bilgi vermekle yükümlüdür ve bu bilgilerin verildiğinin ispatı da veri sorumlusuna aittir.

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

Ayrıca herkes, veri sorumlusuna başvurarak kendisiyle ilgili aşağıdaki biligilerin verilmesini talep edebilir.

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

KVKK Aydınlatma Metni Örneği

KVKK aydınlatma metni örneği internet üzerinden yapılan aramalar neticesinde ortaya çıkartılan bir metin olmaktan öteye ne yazık ki gidememektedir. Bir kurumun ya da bir şirketin hazırlamış olduğu aydınlatma metni üzerinden kendi şirketinize ya da kurumunuza aydınlatma metni çıkartmanız bu metnin sağlıklı hazırlanmasına engel olacaktır. Zira aydınlatma metinlerinin özgün ve kurum ya da şirketin faaliyet alınına göre profesyonelce hazırlanması maddi ve manevi zararların önüne geçebilecektir. Belki örnek metinlerden hazırlanan aydınlatma metinleri işinizi görebilir ancak ne yazık ki sizleri idari ya da şahsiz tazminatlardan kurtarmayabilir. 

Doktorun KVKK Yükümlülüğü

Doktorun kvkk yükümlülüğü gerçek kişi olarak kişisel verilerin korunması bakımından bulunmaktadır. Nitekim hekim, doktor kendi özel muayenehanesinde hem çalışanlarının kişisel verilerini hem de hastalarının kişisel verilerini işlemektedir. Heleki hastalarının kişisel verileri hassas yani özel kişisel verilerdir ki bunların elde edilmesi, kaydedilmesi, saklanması, güvenliği ve paylaşımı başlı başına bir sorundur. Bu yüzden bu bakımdan doktorun kvkk yükümlülüğü hem genel kişisel verilerin hem de özel kişisel verilerin barındırılması bakımından önemi haiz bir konudur. Yukarıda da bahsetmiş olduğumuz üzere gerçek kişilerin de kanun kapsamında bu kurallara uymak zorunda olduğu düşünüldüğünde hekimlerimize muayenehanelerinde daha dikkatli olmaları gerektiğini belirtmekteyiz.

Mali Müşavirlerin KVKK Yükümlülüğü

Mali müşavirin kvkk yükümlülüğü de gerçek kişilerin sorumluluğu ile ilgili bir bölümdür. Nitekim mali müşavirler kendi personelleri bakımından kişisel verilerin işlenmesi hususunda veri sorumlusu iken müşterilerinin vergisel işlemlerinin gerçekleştirilmesi bakımından veri işleyen durumundadır. Bu bakımdan sorumlulukları somut durumun özelliğine göre değişkenlik gösterebilmektedir.

Kişisel Verilerin Silinmesi

Kişisel verilerin işlenmesi ile ilgili yarar elde edildikten sonra bu verilerin ortadan kaldırılması ve yok edilmesi ya da anonim hale getirilmesi gerekmektedir. Nitekim kişisel verilerin silinmesini ilgili kişi de talep edebileceği gibi kanunen öngörülmüş süreler varsa bu sürelerin geçmesi ile ya da amacın sona ermesi ile veri sorumlusu tarafından da yerine getirilmesi şarttır. Örneğin bir alışveriş merkezinde yapmış olduğunuz alışveriş sonrasında belirli harcama limitini aşanlara çekiliş hakkı tanınmaktadır. Kişinin bu çekilişe katılması için bazı verilerini paylaşmasının istendiği durumlarda aydınlatılmış ve özgür iradesi ile rıza göstermesinden sonra yapılacak çekiliş sonucunda artık bu verilerin alınma sebebi ortadan kalktığından verilerin de ortadan kaldırılması hukuki ifadesi ile silinmesi, yok edilmesi ya da anonim hale getirilmesi gündeme gelecektir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Ancak burada dikkat edilmesi gereken husus verilerin silinmesi durumunda bu verilere ulaşamayacak kişiler veri sorumlusu veya veri işleyen nezdinde verileri teknik olarak depolama, koruma ve yedeklemeden sorumlu olanlar hariç herkes olarak tanımlanmaktadır. Anlaşılacağı üzere verileri depolayanlar, koruyan ve yedekleyen kişiler ki bu kişiler veri sorumlusu veya veri işleyen nezdinde görevlendirilen kişiler olup verilere bu kişiler erişebilecek durumdadır.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel Verilerin Anonim Hale Getirilmesi
Veri Sorumlusunun Aydınlatma Yükümlülüğü Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi ilgili kişiyi yani verisi işlenecek kişiyi aydınlatmakla yükümlüdür. Peki bu kişiler verisi işlenecek kişiyi hangi konularda aydınlatmalıdır? İşte bu sorunun cevabı;
Veri sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel verilerin hangi amaçla işleneceği,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığı
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme konularında verisi işlenen kişinin aydınlatılması gerekmektedir.
Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğü yerine getirilmelidir. Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır. Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir. a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir. Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir. Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir. Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır. Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. 
Kişisel veri toplamanın yöntemi ve hukuki sebebinde yer alan hukuki sebep aydınlatma yükümlülüğü kapsamında kişisel verilerin kişisel verileri işleme şartlarından hangisine hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir. Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir. Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmeli yine yükümlülük yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.
Kişisel verilerin ilgili kişiden elde edilmemesi halinde ise Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında ya da kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada kişisel verisi işlenecek olan kişiye aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.
Aydınlatma yükümlüğü kapsamında ilgili kişilerin yazılı veya sözlü şekilde bilgilendirilmeleri mümkün olabileceği gibi elektronik ortamda gönderilecek bir e-posta, ses kaydı veya çağrı merkezi aracılığıyla da bilgilendirilmeleri mümkündür. Veri sorumlusu, ilgili kişinin talebini beklemeksizin aydınlatma yükümlülüğünü yerine getirmelidir. Veri sorumlusu, aydınlatma yükümlülüğünü yerine getirdiğini ispat etmekle yükümlüdür.

Kişisel Verilerin Korunması Kurumuna İtiraz

Kişisel verilerin korunması kurumuna itiraz- İlgili kişiler yani verileri işlenen kişiler her zaman veri işleyen kişiye başvuru yaparak yukarıda belirtmiş olduğumuz hususlar çerçevesinde bilgi talep edebilirler. Bu taleplere veri sorumlusu tarafından en geç 30 gün içinde cevap verilmesi gerekmektedir. Ancak başvurunun reddedilmesi veya verilen cevabın yetersiz olması hallerinde 30 gün içinde, başvuruya süresinde cevap verilmemesi hallerinde ise başvuru tarihinden itibaren 60 gün içinde ilgili kişiler Kurula şikâyet yoluna gidebilir. Örneğin kişi veri sorumlusuna başvuru yaparak taleplerini iletti diyelim. Veri sorumlusu 30 gün içinde bir cevap verecektir. Eğer talep reddedilmiş ya da yetersiz bir cevap verilmiş ise ilgili kişi cevabın kendisine bildirilmesinden itibaren 30 gün içinde kuruma şikayet yoluna başvuracaktır. Ancak ilgili kişinin yapmış olduğu başvuruya veri sorumlusu tarafından herhangi bir cevap verilmemiş ise bu durumda kişi 30 gün cevabın gelmesini bekleyecek 30 gün içinde cevap gelmemiş ise bu durumda 30 gün içinde kuruma şikayette bulunabilecektir. Anlaşılacağı üzere bu iki 30 günlük süre toplamı 60 gün olarak belirtilmiştir. İlgili kişiler öncelikle veri sorumlusuna başvuracak, bu yol tüketilmeden Kişisel Verilerin Korunması Kurumuna şikayet yoluna gidilemeyecektir. 
İlgili kişi, taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletmelidir. Veri sorumlusu başvuruyu yukarıda belirtmiş olduğumuz süreleri içerisinde ücretsiz olarak yanıtlandırmalıdır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabileceği kanunda düzenlenmiştir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı talep etme hakları bulunduklarından ilgili kişi kuruma şikayetin yanında veri sorumlusunu dava ederek varsa maddi zararları yanında manevi zararlarını tazmin için dava açabilir.
İhbar veya şikayetin dikkate alınabilmesi için ilgili kişinin dilekçesinin; Belli bir konuyu ihtiva etmesi, yargı mercilerinin görevine giren konularla ilgili olması, dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresinin bulunması şarttır. Aksi durumda ihbar ya da şikayet dikkate alınmayacaktır. Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren 60 gün içinde cevap verilmezse talep reddedilmiş sayılır. Buna göre, şikâyet tarihinden itibaren 60 günlük sürenin geçmesiyle İdari Yargıda Dava Açma Süresi başlayacaktır. Kurulun, şikâyet üzerine yapacağı inceleme için 60 günlük süre öngörülmüş ise de resen yapacağı incelemeler yönünden herhangi bir süre öngörülmemektedir. Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

Ayrıca kişisel veri ihlalinde kurum tarafından yayımlanan duyuruda ihlali gerçekleştiren şirketlerin yapması gereken hususlara da değinilmiştir. Buna göre veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;
İhlalinin ne zaman gerçekleştiği, kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği, kişisel veri ihlalinin olası sonuçları, veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler, ilgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verilmesi gerektiğine karar verilmiştir. 

Kişisel Verilerin İhlali Tazminat

Veri Sorumlusuna Dava Açabilir miyim

Veri sorumlusuna dava açabilir miyim- Bir duruma açıklık getirmekte fayda vardır ve gerçekten çok önemli olduğunu düşünmekteyiz. Veri sorumlusuna başvurulması ya da veri sorumlusuna başvurulmadan kuruma başvurulamayacağı hususu tamemen kuruma başvuru koşulunun gerçekleşmesi için düzenlenmiş bir usul kuralıdır. Verisi hukuka aykırı olarak işlenmiş kişiler kuruma başvurmak istiyorlarsa bu usul kuralına uymak zorundadır. Ancak kişi veri sorumlusuna direkt olarak dava açmak istiyorsa bu usulü takip etmesine gerek yoktur. Verisinin hukuka aykırı olarak işlendiğini düşünen ve bundan dolayı özel hayatının gizliğinin ihlal edildiğini öngören kişi veri sorumlusuna maddi ve manevi tazminat davasını yukarıda vermiş olduğumuz usule uymak zorunda olmadan açabilecektir. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan yargı yoluna gidebilmesi mümkün olacaktır. Ancak bu noktada belirtmek gerekir ki, ilgili kişilerin hak ihlallerine yönelik olarak doğrudan yargı organlarına başvurmalarının önünde herhangi bir engel bulunmamaktadır. Başka bir ifadeyle, konunun yargıya intikal ettirilmesinden önce, veri sorumlusuna başvuru zorunluluğu bulunmamaktadır. Veri sorumlusuna doğrudan başvurma zorunluluğu, konunun Kurula iletilmesinden önce uyulması gereken bir zorunluluktur. Bunu bir örnekle açıklamak gerekirse kişi veri sorumlusunun verilerini ihlal ettiği düşüncesinde ve kuruma şikayette bulunmak istiyorsa önce veri sorumlusuna başvurmalı sonra gelecek cevaplar üzerine kuruma şikayet yoluna gitmelidir. Kişi veri sorumlusuna başvurduktan sonra gelen cevap yeterli gelmedi ise direkt dava açma hakkına sahip olduğu gibi kuruma şikayet yoluna da başvurabilir. Bahsettiğimiz dava tazminat davasına ilişkindir. Kişi veri sorumlusuna başvusunu yaptı ancak gelen cevap yeterli olmadığından ya da talepleri yerine getirilmediğinden bahisle kuruma şikiayette bulunduktan sonra kurumun vereceği karar olumsuz ise bu karara karşı idari dava açabilecektir. Ancak kuruma şikayet yolunun tercihi dışında bu sürelerin uygulanması tazminat davası koşulu olarak ortaya çıkmamaktadır. Kişi veri sorumlusuna tazminat davası açtıktan sonra ihlali kuruma da şikayet etmek istiyorsa o zaman kanundaki süreler ve usulü takip etmeli ve veri sorumlusuna başvurmalıdır. 

KVKK nın Uygulanmayacağı Haller

Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi. Örneğin kardeşinizin fotoğraflarını çekmeniz ve telefonunuzda kaydetmeniz durumunda bunların 3. Kişilere verilmemesi şartıyla telefonunuzda bulunması.
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. Örneğin halk tarafından bilinen bir sanatçının hayatının biyografi şekline getirilerek sergilenmesi durumu.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. Örneğin Kişisel Verileri Koruma Kurumunun belirtmiş olduğu çerçevede Adli bir olayın kovuşturulması sırasında mahkemeler tarafından konuyla ilgili kişilerin verilerinin işlenmesidir.

Verbis Yükümlülüğü, kanunun aramış olduğu bazı kriterlerin üzerinde işçi çalıştıran ya da yıllık mali bilançosu belirli bir bedelin üzerinde olan kurumların verbis e kayıt zorunluluğu bulunmaktadır. Bu hususların tamamı için alanında uzman bir bilişim avukatı ya da kişisel verilerin korunması hukukunda uzman bir avukattan destek alınması tavsiye olunur. Özellikle en çok kişisel verinin bulunduğu yer sağlık sektörüdür. Hatta bu sektörde ilgili kişinin sadece genel kişisel verileri değil özel nitelikli kişisel verileri de işlenmektedir. Bu yüzden Sağlık Hizmetlerinde Kişisel Verilerin Korunması her alandan daha önemli bir husustur. Yine unutulmamalıdır ki özel nitleiikli kişisel verilerin daha sıkı usullere göre korunması gerektiğine ilişkin Sağlık Bakanlığınca çıkartılan KİŞİSEL SAĞLIK VERİLERİ HAKKINDA YÖNETMELİK de bulunmaktadır.

KVKK Cezalar

Kişisel verilere aykırılık sadece idari yaptırımlara yol açmamakta aynı zamanda verileri ihlal edilen kişilere maddi ve manevi zararlarını karşılama hakkı da vermektedir. Peki veri güvenliğini ihlal eden kişilerin TCK bakımından yükümlülükleri bulunmakta mıdır? Bu sorunun cevabı olumludur ve kişisel verilere ilişkin suçlar Türk Ceza Kanununun 135. maddeleri ile 140. maddeleri arasında düzenlenmiştir. Bu suçlar kişisel verilerin kaydedilmesi, Verileri hukuka aykırı olarak verme veya ele geçirme, Verileri yok etmeme suçlarıdır. Şimdi bu suçları kısaca inceleyelim

Kişisel verilerin kaydedilmesi Suçu

Kişisel verilerin kaydedilmesi suçu- Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda verilecek ceza yarı oranında artırılır.

Verileri hukuka aykırı olarak verme veya ele geçirme Suçu

Kişisel verileri ele geçirme verme yayma suçu- Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır. Bu şekilde tanımlanan suçların; Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır.

Verileri yok etmeme Suçu

Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

KVKK Avukatı Değerlendirmesi

KVKK avukatı ya da kişisel veri avukatı olarak da yeni yeni adlandırılmaya başlanan ve toplumda giderek bu şekilde duyduğumuz kavramlar aslında gelişen teknolojinin bir sonucu olup bilişim avukatlığının ürünüdür. KVKK avukatı ya da kişisel veri avukatı kavramlarının kvkk hukuk danışmanlığının bir gereği olduğu söylenebilir. Artan teknoloji ile verilere hızlı erişim ve elde edilebilmesinin kolaylığı kvkk avukatı ya da kişisel veri avukatına daha doğru ifade ile bilişim avukatına ihtiyacı da gittikçe arttırmaktadır. Nitekim kişisel verilerin korunması alanında yaşanacak sorunların çözüme kavuşturulması bilişim avukatına, kvkk avukatı ya da kişisel veri avukatına olan talepleri de arttıracaktır. Kvkk avukatı, kişisel veri avukatı bilişim alanında ve bilişim hukukunda yeterli bilgi seviyesine sahip olmalı ve yaşanılan hukuki çekişmeleri KVKK ya uyumunu sağlayacak çözüm yollarına kavuşturmalıdır. Teknolojik konjönktürün kvkk avukatına, kişisel veri avuaktına ihtiyacı arttıracağına hiç kuşku yoktur.

Kategoriler

  • İdare Hukuku

  • Tıp Hukuku

  • Polis, Asker Ve Memur Hukuku

  • Bilişim Hukuku

  • Boşanma Ve Nafaka Hukuku

  • Tazminat Hukuku

  • İş Hukuku

  • Ceza Hukuku

  • Ticaret Hukuku

  • Miras Hukuku

  • Sağlık Turizmi Hukuku

  • Tüketici Hukuku


İlgili Bloglar







DİĞER BLOG YAZILARIMIZ


Limited Şirket Avukatı
Limited Şirket Avukatı

Limited Şirket Türk Ticaret Kanununun altıncı kısm...

Devamı
İhtiyati Haciz Nasıl Alınır?
İhtiyati Haciz Nasıl Alınır?

İhtiyati haciz geçici hukuki koruma tedbirlerinden...

Devamı
Koronavirüs ve Hukuki İlişkiler
Koronavirüs ve Hukuki İlişkiler

Koronavirüs salgını iş hukuku bakımından “mücbir s...

Devamı
Menfi Tespit Davası Şartları Nelerdir?
Menfi Tespit Davası Şartları Nelerdir?

Menfi tespit davası İcra İflas Kanununun 72. madde...

Devamı
Mil Hukuk ve Danışmanlık