WeCreativez WhatsApp Support
Firuzan Hukuk ve Arabuluculuk Bürosu
Merhaba, size nasıl yardımcı olabiliriz?

firuzan@firuzankokten.av.tr     0 232 484 66 91

KİŞİSEL VERİLERİN KORUNMASI

6698 Sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir.

Kişisel Veri Nedir? Nasıl Korunur?

Kişisel veri, kimliği belirli yahut belirlenebilir olan bir kişiye ilişkin her türlü bilgiyi ifade etmektedir. Burada kişiden kasıt gerçek kişidir. Kişisel veri olarak tanımlanan bir kişiye ilişkin verilerin tam anlamıyla net olması gerekmez.

Kişinin adı ve soyadı, TC Kimlik Numarası, müstear adlar, lakap ya da mahlas dahi kişisel veri sayılıp koruma altına alınacaktır.

Kişisel verilerin korunması kişisel verilere ilişkin temel hak ve özgürlüklerin korunmasını ifade eder. Bu bağlamda kişisel verilerin korunması aslında veri koruma değil bu verilerin ait olduğu kişilerin korunmasıdır. Yani kişilerin kişisel verilerinin işlenmesinden doğacak zararlara karşı koruma sağlamaktır. Bu koruma amacıyla idari, teknik ve hukuki önlemler alma amacı güder.

Bu Kanun, bireylere; verilerinin elde edilmesi, kaydedilmesi, muhafaza edilmesi, saklanması, depolanması, açıklanması, yeniden düzenlenmesi, başka kişi veya yerlere aktarılması gibi durumlarda bunları bilme hakkı verir, bunların korunmasını sağlar.

KİŞİSEL VERİLERİN İŞLENME ÖZELLİĞİ

Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

KİŞİSEL VERİLERİN İŞLENME ŞARTLARI NEDİR?

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a)Kanunda açıkca yazılması halinde,

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel nitelikli kişisel verilerin işlenme şartları

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi

Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

Kişisel verilerin aktarılması

Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

Kişisel veriler Kanunun;

a) 5 inci maddenin ikinci fıkrasında,

b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,

belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kişisel Veriler Hangi Hallerde Yurt Dışına Aktarılır

Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

Yeterli korumanın bulunması, Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

Türkiye’nin taraf olduğu uluslararası sözleşmeleri, Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ NEDİR?

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

İlgili kişinin hakları

Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

Kişisel veri işlenip işlenmediğini öğrenme, Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

Veri güvenliğine ilişkin yükümlülükler

Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Kişisel Verilerin Korunması Hukuku

KVKK nedir, kişisel verilerin korunması hukuku ne anlama gelir? Gerçek kişilerin, kurum ve kuruluşların kişisel bilgi niteliğindeki verileri uzun süredir işledikleri bilinmektedir. Hayatın düzen içerisinde sürdürülmesi, kamu hizmetlerinin sunumu, mal ve hizmetlerin geliştirilmesi gibi anlamlarda kişisel verilerin işlenmesi aslında kaçınılmazdır. Fakat böyle durumlarda kişilerin temel hak ve özgürlüklerinin işleme sürecinde de korunması gerekliliği bulunmaktadır.

Bununla birlikte Avrupa Konseyi tarafından hazırlanan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme ülkemizce imzalanmış ve iç hukuka dahil edilmiştir. Hal böyle olduğunda iç hukukta kişisel verilerin korunması bağlamında yasal düzenleme yapma zorunluluğu ortaya çıkmıştır. Bu düzenleme kendini ilk olarak 2010 yılında Anayasada göstermiştir. Bundan önce TMK ve TCK ile oldukça genel bir şekilde düzenlenen bu hak ““Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir” hükmüyle birlikte Anayasaya alınmıştır.

KVKK nedir sorusunun cevabı kişisel verilerin korunması hakkını düzenleyen özel nitelikli bir kanundur olarak verilebilir. 6698 sayılı bu Kanun 7 Nisan 2016 yılında yürürlüğe girmiştir. KVKK’den önce 2010 yılında kişisel verilerin korunması hakkı Anayasa ile güvence altına alınmıştı.

İnternette Kişisel Verilerin Korunması ve Bilişim Avukatı

İnternette kişisel verilerin korunması konusu internet kullanımının son yıllarda oldukça artış göstermesiyle önemli hale gelmiştir. Birtakım siteler tarafından kişisel verilerin sızdırıldığı haberlerinin çıkması, dünyada bu alanda gelişmelerin artması gibi sebeplerle internette kişisel verilerin korunması hususunda düzenleme yapılması da gereklilik halini almıştır.

6698 sayılı Kanun internette kişisel verilerin korunması alanında da bireylerin kişisel verilerinin, özel hayatlarının gizliliğinin korunmasını amaçlamıştır. Böylelikle kanunlara aykırı bir eylemin, faaliyetin varlığı durumunda mağdur kendi kişisel verilerin korunmasına ilişkin talepte bulunabilecektir.

BİLİŞİM AVUKATI internet ve diğer bilişim sistemlerinin kullanılmasından doğan hukuki uyuşmazlıkların çözümünde etkin rol oynar. İnternette kişisel verilerin korunması ve yetkisiz işlenen veriler hakkında hukuki yollara başvurma bağlamında müvekkillerine yardımcı olur. FİRUZAN ARABULUCULUK VE HUKUK BÜROSUNDA uzman bilişim avukatları ile birlikte müvekkillerimize profesyonel olarak KVKK UYUM DANIŞMANLIĞI ve AVUKATLIK hizmeti vermektedir.

Suçlar      

İlgili Kanun’da belirtilen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek; üçüncü kişilere ve yurtdışına aktarılamayacaktır. Kanun’da ayrı ayrı maddelerde de belirtilmiş olan bu maddelere uyulmaması halinde, kurumlar hakkında idari para cezası uygulanacaktır. Kanuna göre kişisel verileri ihlal edenlere 1 yıldan 3 yıla kadar hapis cezası öngörülmektedir. Ayrıca bu veriyi ihlal yolu ile ele geçiren kişiye de 2 yıldan 4 yıla kadar hapis cezası verilebilir.

KANUNUN,

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.

Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.