Facebook

Twitter

Copyright 2018 AloraNet.
Tüm hakları saklıdır.

(212) 219 19 24

Facebook

Twitter

Arama

Menu

 

Kişisel Verilerin Korunması Kanunu’na hazır mısınız?

Kişisel Verilerin Korunması Kanunu’na hazır mısınız?

Uzun zamandır gündemde olan , Kişisel  Verilerin Korunması Kanunu, hem veri sahiplerinin haklarını korumak, hem de kurumların bu verileri kullanmasını daha düzenli hale getirmek için hayatımıza girdi.

Kanun  ile  hem özel  sektör  hem de belirli sınırlamalara tabi olarak  kamu sektörü için  kişisel verilerin  korunması  ne şekilde işleyebileceğinin esasları düzenlenmektedir.

Bu  nedenle kişnin,  Adı – Soyadı, TC Kimlik Numarası, kredi kartı bilgileri, IP adresi, telefon numarası, resim, özgeçmiş bilgileri, e-posta adresi gibi verilerin yanı sıra aracının plakası, ev yada iş adresi bunlarla sınırlı olmayan kişinin kimliğini belirlemeye yönelik her türlü bilgi kişisel veri olarak kabul edilmektedir.

Kişisel verilerin; elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması veya sınıflandırılması gibi her türlü işlem kişisel veri işleme olarak kabul edilmektedir ve Kanun’da düzenlenen kurallara uygun olmalıdır.

Peki, bu kanun beraberinde  neler getiriyor? Kişisel ver nedir?  Kişisel verilerin toplanması, kullanılması ve saklanması işlemlerinde nelere dikkat edilmesi gerekiyor? Veri güvenliği ihlal olaylarının ne gibi sonuçları var?

Kişisel Veri Nedir?

Kanun, “Kişisel Veri” kavramını “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”olarak tanımlamaktadır.

Kişisel Veriler işlenirken Hangi Kurallara Uygun Davranılmalıdır?

Verilerin İşlenmesi Hakkında Kanun’un 4. Maddesinde kişisel verilerin işlenmesinde uyulması gereken ilkeler tek tek sayılmıştır. Buna göre kişisel verileri toplayan, işleyen, depolayan, 3. Kişilere ya da yurt dışına transfer eden kişi ya da şirketlerin aşağıdaki kurallara uygun hareket etmeleri gerekmektedir.

Kişisel Verilerin İşlenmesi:

  • Hukuka ve dürüstlük kurallarına uygun olmalı,
  • Doğru ve gerektiğinde güncel olmalı,
  • Belirli, açık ve meşru amaçlar için işlenmeli, İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Kişisel Verilerin işlenme Şartları Nelerdir?

Kişisel verileri işlenecek kişinin açık rızasının olması gerekmektedir. Ancak bazı durumlarda açık rıza olmasa dahi kişisel verilerin işlenmesi mümkündür. Bu durumlar aşağıda sayılmıştır.

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

Özel Nitelikli Veri Nedir, Nasıl İşlenir?

Kanun, “Özel Nitelikli Kişisel Veri” kavramını “Kişilerin ırkı, etnik kökeni, siyasî düşüncesi, felsefî inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometik verileri” şeklinde tanımlamıştır.

Kişisel Verilerin 3. Kişilere ve/veya Yurt Dışına Transferi Mümkün müdür?

Kişisel verilerin üçüncü kişilere ve yurtdışındaki üçüncü kişilere aktarılabilmesi için ilgili kişinin rızasının alınması gerekmektedir. Rızanın alınamadığı durumlarda ise kanunda kişisel verilerin işlenebilmesi için gerekli olan istisnai durumlardan birinin gerçekleşmesi halinde bu veri 3. Kişilere aktarılabilecektir.

Bilginin yurt dışına aktarımı durumu söz konusu ise, bu şartların yanında kişisel verilerin aktarılacağı ülkede yeterli koruma olması şartı getirilmiştir. Bu ülkelerin hangi ülkeler olduğu Veri Koruma Kurulu tarafından açıklanacaktır.

Yeterli koruma olmayan ülkeler de ise veriyi transfer edecek tarafın ve de veriyi alacak tarafın kişisel verinin korunacağına ilişin taahhüt vermesi gerekmektedir.

Şirketlerin Bundan Sonra izlemesi Gereken Yol Ne Olacaktır?

Kanun 7.4.2016 tarihinde yayınlanmış olsa da bazı hükümler yönünden yürürlüğü 6 ay sonraya bırakılmıştır, dolayısıyla Kanun 7.10.2016 tarihi itibariyle tamamen yürürlüğe girmiştir. Kanunun yayınlanmasından önce elde edilen kişisel verilerin kanun ile uyumlu hale getirilmesi için şirketlere 2 sene ek süre tanınmıştır. Veri Sorumluları Sicili Hakkında Yönetmelik ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ise 01.01.2018 tarihinde yürürlüğe girmiştir.

Kişisel Verisi İşlenecek Kişiden Alınacak İznin İçeriği Ne Olacaktır?

Veri  sahibine, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve veri sahibinin bu verilere istediği zaman ulaşıp değiştirme hakkı olduğu, verilerin kimler ile paylaşıldığını öğrenme hakkı olduğunu ve istediği zaman vermiş olduğu bu izni geri alarak kişisel verilerinin kullanımını durdurabileceği konularında bilgi verilmesi gerekmektedir.

Şirketlere Getirilen Diğer Yükümlülükler:

Kanun, kişisel verilerin kanun hükümlerine uygun olarak işlendikten sonra işlenme sebebinin ortadan kalkması halinde bu verilerin resen veya ilgili kişinin talebi üzerine silinmesi veya anonim hale getirilmesi gerekliliğini ortaya koymaktadır.

Şirketlerin işlenme sebebi kalkar kalkmaz söz konusu verileri silmeleri gerekmektedir. Silme ve anonim hale getirilmesi usulünün ne şekilde olacağı ise yönetmelikler ile belirlenmektedir.

Kanun, Veri İşleme Sicilinin oluşturulacağı ve Veri işleme Kurulu’nun kurulacağını belirtmiştir. Buna ilişkin Yönetmelikler yayınlandığında kişisel veri işleyen şirketlerin Veri İşleme Kurulu’na bildirimde bulunmaları ve sicile kaydolmaları gerekmektedir.

Şirketler,   veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, bu verilere hukuka aykırı olarak erişilmesini önlemek ve uygun düzeyde muhafazalarını sağlamak için gerekli olan her türlü teknik ve idari tedbirleri almakla yükümlüdürler. Şirket,  kişisel verilerin herhangi bir şekilde hukuka aykırı olarak ele geçirilmesi halinde bu durumu veri sahibine ve kurula bildirmekle yükümlüdür.

Kanuna Aykırı Olarak Kişisel Veri işlemenin Yaptırımı Nedir?

Herhangi bir kişi, kişisel verisinin kanuna aykırı olarak işlendiğini düşünüyorsa öncelikle veri sorumlusuna başvurarak şikayetini bildirebilmektedir. Veri sorumlusu en geç otuz gün içinde bu başvuruyu değerlendirerek sonuçlandırmalıdır. Bu süre içinde cevap verilmezse ya da başvuru reddedilirse veya verilen cevap yetersiz olursa veri sahibi ilgili şirketi Veri Koruma Kurulu’na şikâyette bulunabilir.

Veri Koruma Kurulu’na şikâyet yapıldığında bu kurulun yerinde inceleme hakkı bulunduğundan şirketinize gelerek sözleşme ve kayıtlarınızı inceleyecek ve ihlal olup olmadığına karar verebilecektir. İhlalin tespit edilmesi halinde ise Kurul, bu aykırılığın giderilmesi için şirkete bildirimde bulunacaktır.

Uygulanacak Cezalar:

Kişisel Verilerin hukuka aykırı olarak işlenmesi, 3. Kişilere transfer edilmesi, silinmesi gerektiği halde bu yükümlülüğün yerine getirilmemesi hali için ceza kanununda cezai yaptırımlar düzenlenmiştir. Her bir suç için ayrı ayrı cezai müeyyide getirilmiş olup bu suçların yaptırımı 1 yıldan 6 yıla kadar hapis cezası olarak belirlenmiştir.

Bunun dışında Kanun’daki yükümlülüklere aykırı davranılması halinde ise para cezası uygulanacaktır. Kanun her bir ihlal için ayrı ayrı para cezaları belirlemiştir. Buna göre:

  • Aydınlatma yükümlülüğünün yerine getirilmemesi halinde: 5 bin lira- 100 bin lira
  • Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde: 15 bin -1 milyon lira
  • Kurul tarafından verilen kararların yerine getirilmemesi halinde: 25 bin lira-1 milyon lira
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün yerine getirilmemesi halinde: 20 bin -1 milyon olarak belirlenmiştir.

 

Av. Ebru Şentürk,

İş Geliştirme Yöneticisi – İlkay Özeltürkay,