KİŞİSEL VERİLERİN KORUNMASI
KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) İLE İLGİLİ GENEL BİLGİ
Bilgisayar ve iletişim teknolojilerinde meydana gelen gelişmeler, bir yandan kişisel verilerin toplanmasını ve paylaşılmasını kolaylaştırmış, diğer yandan da bireylerin kişisel verilerinin korunması hakkının hukuka aykırı şekilde ihlal edilmesine yol açmıştır. Özellikle internetin kullanımının küresel anlamda yaygınlaşması, kişisel verilerin yalnızca ulusal değil uluslararası düzeyde de korunması ihtiyacını ortaya çıkarmıştır.
12.09.2010 Anayasa değişikliği ile kişisel verilerin korunması hakkı anayasal bir hak olarak güvence altına alınmış; kişisel verilerin korunması amacıyla çıkarılan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ise 07.04.2016 tarihli 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
KİŞİSEL VERİ TANIMI
Kişisel verinin tanımına baktığımızda; Kişisel Verilerin Korunması Kanunu’nun 3/ç maddesinde “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade ettiği belirtilmektedir.
Anayasa Mahkemesi’nin kişisel veri kavramını tanımladığı kararlarında ise, kişisel verinin “belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği” belirtilmiştir.
Kişisel verileri örneklendirdiği kararlarında Anayasa Mahkemesi, “adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan verilerin” kişisel veri olarak kabul edildiğini belirtmektedir.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel veriler ancak Kanunda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel Verilerin Korunması Kanunu’nun genel ilkelerini düzenleyen 4. Maddesinde bu hususlar belirtilmiştir.
“MADDE 4 - (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
ç) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.”
VERİLERİN İŞLENMESİ İÇİN VERİ SAHİBİNİN AÇIK RIZASI
KVKK ayrıca bu verilerin işlenmesi için veri sahibinin rızasını –bazı durumlarda açık rızasını- aramaktadır. Aşağıda KVKK’nun 5, 6 ve 8. maddelerinde açık rızanın aranıldığı durumlar belirtilmiştir.
Kişisel verilerin işlenme şartlarının aynı kanunun 5. Maddesinde düzenlendiği görülmektedir.
“MADDE 5 - (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
ç) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
d) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
e) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”
Özel nitelikli kişisel verilerin işlenme şartları ayrı bir madde olarak Kanunun 6. Maddesinde düzenlenmiştir.
“MADDE 6 - (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”
İlgili kişinin açık rızası olmaksızın aktarılamayacak olan kişisel verilerin aktarılması Kanunun 8. Maddesinde düzenlenmiştir.
“MADDE 8 - (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6. maddenin üçüncü fıkrasında,
belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.”
VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
AYDINLATMA YÜKÜMLÜLÜĞÜ
KVKK’nun bazı maddelerinde veri sorumlusuna bazı sorumluluklar yüklediği ve bu sorumlulukların belli yaptırımlara bağlandığı görülmektedir. Kurumları özellikle ilgilendiren hak ve yükümlülükler Kanunun aşağıdaki maddelerinde düzenlenmiştir.
Kurumların web sayfalarına aydınlatma metni ile veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılacağı ve kişisel veri sorumlusunun haklarının açıkça belirtilmesi yerinde olacaktır.
“Veri sorumlusunun aydınlatma yükümlülüğü
MADDE 10 - (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
ç) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.
Bu madde uyarınca veri sorumluları veya yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasları belirleyen “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” yayımlanmıştır. Buna göre;
Aydınlatma yükümlülüğünün kapsamı
MADDE 4 – (1) Kanunun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki konuları içermesi gerekmektedir:
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.
Usul ve esaslar
MADDE 5 – (1) Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir:
a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
b) Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
c) Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.
ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.
d) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
h) Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
i) Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
j) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.
Kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü
MADDE 6 – (1) Kişisel verilerin ilgili kişiden elde edilmemesi halinde;
a) Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
b) Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
c) Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada
ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir.
VERİLERİN GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER
KVKK tarafından veri sorumlusuna yüklenilen sorumluluklardan bir diğeri de 12. maddede belirtilmiştir. Veri sorumlusu kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak için teknik ve idari tedbirleri almakla yükümlüdür.
Veri güvenliğine ilişkin yükümlülükler
MADDE 12 - (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır,
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE VERİ SORUMLULARINCA ALINMASI GEREKEN YETERLİ ÖNLEMLER
Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemlerle ilgili kanunda bir düzenleme bulunmamakla birlikte Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarih ve 2018/10 sayılı kararı ile "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" yayınlanmıştır.
KVKK’nın 6.maddesinin 4 numaralı fıkrasında “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır” hükmü yer almaktadır.
Bu çerçevede, özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir.
1-Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2-Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a)Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi
b)Gizlilik sözleşmelerinin yapılması,
c)Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç)Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d)Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3-Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar elektronik ortam ise;
a)Verilerin kriptografik yöntemler kullanılaak muhafaza edilmesi,
b)Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c)Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç)Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d)Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e)Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4-Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar fiziksel ortam ise;
a)Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b)Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5-Özel nitelikli kişisel veriler aktarılacaksa;
a)Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b)Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c)Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç)Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
6-Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
Kurul tarafından yayımlanan "veri sorumlularınca alınacak teknik ve idari tedbirler" tablo olarak aşağıda ayrıca sunulmaktadır.
VERİ SORUMLULARINCA ALINACAK TEKNİK TEDBİRLER
Teknik Tedbirler;
- Yetki Matrisi
- Yetki Kontrol
- Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği
- Uygulama Güvenliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları
- Yedekleme
- Güvenlik Duvarları
- Güncel Antivirüs Sistemleri
- Silme, Yok Etme veya Anonim hale getirme
- Anahtar Yönetimi
Teknik tedbirlerle ilgili olarak özellikle IT birimleri ile birlikte çalışılması ve kurum sistemlerinde belirtilen tedbirlerle ilgili gerekli düzenlemelerin yapılması gerekmektedir.
VERİ SORUMLULARINCA ALINACAK İDARİ TEDBİRLER
- Kişisel Veri İşleme Envanteri Hazırlanması
- Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
- Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında)
- Gizlilik Taahhütnameleri
- Kurum İçi Periyodik ve/veya Rastgele Denetimler
- Risk Analizleri
- İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
- Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
- Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
- Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
Alınacak idari tedbirler doğrultusunda; envanter çalışması yapılarak kurumlarda hangi verilerin kişisel veri olduğu öncelikle tespit edilmeli ve politikalar oluşturulmalıdır. (imha, özel kişisel veri, kişisel veri vs.)
Politikalara göre işleyiş prosedürleri oluşturulmalı ve çıkarılacak envantere göre de imha süreleri belirlenmeli ayrıca bu konuda tüm personele KVKK ile ilgili eğitim verilmelidir.
İdari tedbirlerle ilgili olarak personelin; kişisel verilere sadece konusu ile ilgili olduğu oranda erişiminin sağlanılması, personelin KVKK hususunda bilgilendirilmesi ve kişisel verilerin hukuka aykırı olarak paylaşılması durumunda kurumla birlikte kendilerinin de sorumlu olduğunun bilincinin oluşturulması tavsiye olunmaktadır. Personel sözleşmelerine/personel yönetmeliklerine bu hususlarda yoksa madde eklenmesi yerinde olacaktır.
KVKK işleyen ve süreklilik içeren bir sistem olarak görülmelidir. ISO kalite belgelerinde olduğu gibi onay, kontrol ve revize içeren yaşayan bir sistem oluşturulması amaçlanmaktadır.
Bu çalışmalar süreklilik arz edeceğinden, eğitim başta olmak üzere sistem ve doküman kontrollerinin süreklilik içerisinde yapılması gerekmektedir. Aksi takdirde şikayet ve eleştiriler sonucunda denetim, idari para cezası ve ayrıca hapis cezasına muhatap olunabilmektedir.
VERİ SAHİBİNİN HAKLARI
KVKK’nun aşağıdaki ilgili maddelerinde veri sahibinin hakları düzenlenmiştir. Buna göre veri sahibi veri sorumlusuna başvurarak kişisel verilerinin işlenip işlenmediğini, kimlere aktarıldığını, işlenme amacını öğrenme hakkına sahip olduğu gibi bunların silinmesini veya yok edilmesini isteme hakkına sahiptir.
Bu talebini yazılı olarak veri sorumlusuna iletmesi durumunda veri sorumlusu 30 gün içerisinde bu talebine cevap vermekle yükümlüdür. Bu talebi süresinde cevaplamaması, reddetmesi veya cevabın yetersiz olması durumunda veri sahibinin, veri sorumlusunu Kişisel Verileri Koruma Kuruluna şikayet etme hakkı mevcuttur.
Kurumların aydınlatma metnine ve metinle paralel düzenlenecek olan kanunda aranılan açık rızaya ilişkin alınacak muvafakatnameye sadece bu başvurulara özgülenmiş ayrı bir mail adresi eklenilmesi hukuken zorunlu olmamakla birlikte yerinde olacaktır.
“Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi”
MADDE 7 - (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
İlgili kişinin hakları
MADDE 11 - (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
Veri sorumlusuna başvuru
MADDE 13 - (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alman ücret ilgiliye iade edilir.
Kurula şikâyet
MADDE 14 - (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.”
Yukarıda belirtilen 13. Maddede “veri sorumlusuna başvuru”nun usul ve esaslarını düzenleyen “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” inin aşağıda belirtilen maddelerinde başvuru usulü, cevabı ve ücreti ayrıntılı bir şekilde düzenlenmiştir.
Veri sorumlusunun, veri sahibinin başvurusuna yazılı veya elektronik ortamda vereceği cevap yazısının veri sorumlusu veya temsilcisine ait bilgileri, başvuru sahibinin bilgilerini, talep konusunu ve başvuruya ilişkin açıklamalarını içermesi zorunludur.
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.
Başvuru usulü
MADDE 5 – (1) İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.
(2) Başvuruda;
a) Ad, soyad ve başvuru yazılı ise imza,
b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
c) Tebligata esas yerleşim yeri veya iş yeri adresi,
ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
d) Talep konusu, bulunması zorunludur.
(3) Konuya ilişkin bilgi ve belgeler başvuruya eklenir.
(4) Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir.
(5) Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.
Başvuruya cevap
MADDE 6 – (1) Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.
(2) Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.
(3) Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.
(4) Cevap yazısının;
a) Veri sorumlusu veya temsilcisine ait bilgileri,
b) Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,
c) Talep konusunu,
ç) Veri sorumlusunun başvuruya ilişkin açıklamalarını, içermesi zorunludur.
(5) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
(6) İlgili kişinin talebinin kabul edilmesi hâlinde, veri sorumlusunca talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir.
Ücret
MADDE 7 – (1) İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir.
(2) Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.
KİŞİSEL VERİLERİ KORUMA KURUMU VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ(VERBİS)
Kanun kapsamında kurumlara yüklenen diğer bir yükümlülük de 16. Maddede düzenlenen Veri Sorumluları Siciline (VERBİS) kayıt zorunluluğudur. Bu sicile kayıt ve bildirim yükümlülüğüne aykırı davranış da aşağıda belirtilen 18/1/ç maddesinde yaptırıma bağlanmıştır.
“MADDE 16 - (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
Kişisel verilerin hangi amaçla işleneceği.
Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
Yabancı ülkelere aktarımı öngörülen kişisel veriler.
Kişisel veri güvenliğine ilişkin alınan tedbirler.
t) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.”
Bu madde uyarınca kısaca “VERBİS” olarak adlandırılan Veri Sorumluları Sicili’ne kayıt yaptırma yükümlülüğü düzenlenmiştir. Aynı madde ile veri sorumluları siciline kayıt olma yükümlülüğüne istisnalar getirilebileceği ve hem sicilin kurulması ve işleyişi hem de istisnaların neler olacağının çıkarılacak bir yönetmelikle düzenleneceği belirtilmiştir. Bu amaçla çıkarılan Veri Sorumluları Sicili Hakkında Yönetmelik’in 15. maddesinde istisna uygulanacak haller, 16. maddesinde ise istisna kriterleri düzenlenmiştir.
“İstisna uygulanacak haller
MADDE 15 - (1) Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
İstisna kriterleri
MADDE 16 - (1) Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne istisna getirebilir:
a) Kişisel verinin niteliği.
b) Kişisel verinin sayısı.
c) Kişisel verinin işlenme amacı.
ç) Kişisel verinin işlendiği faaliyet alanı.
d) Kişisel verinin üçüncü kişilere aktarılma durumu.
e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.
f) Kişisel verilerin muhafaza edilmesi süresi.
g) Veri konusu kişi grubu veya veri kategorileri.
(2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak kamuya duyurur.”
Yönetmeliğin 16. maddesinin 2. fıkrasında; Kurulun, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haiz olduğu ve Kurul kararlarını uygun yöntemlerle yayımlayarak kamuya duyuracağı ifade edilmiştir.
VERİ SORUMLULARI SİCİLİNE (VERBİS) KAYIT YÜKÜMLÜLÜĞÜNDEN İSTİSTA TUTULACAK VERİ SORUMLULARI
Kurul’un 15.05.2018 tarihli 30422 sayılı Resmi Gazete’de yayımlanan 02.04.2018 tarihli ve 2018/32 sayılı kararı uyarınca, Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğünden istisna tutulacak veri sorumluları aşağıdaki şekildedir:
· Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
· Noterlik Kanunu uyarınca faaliyet gösteren noterler.
· Dernekler Kanununa göre kurulmuş derneklerden, Vakıflar Kanununa göre kurulmuş vakıflardan ve Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
· Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
· Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
· Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
Yukarıda sayılan ve istisna tutulan veri sorumlularına ilave olarak;
· 28.06.2018 tarih ve 2018/68 sayılı karar ile Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri
· 05.07.2018 tarih 2018/75 sayılı karar ile Arabulucular
· 19.07.2018 tarih ve 2018/87 sayılı karar ile yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar
Bakımından da Veri Sorumluları Siciline(VERBİS) kayıt yükümlülüğüne istisna getirilmesine karar verilmiştir.
SONUÇ
Avrupa Birliği uyum süreci ile hayatımıza giren KVKK’nın, veri sorumlusuna bazı sorumluluklar yüklediği ve bu sorumlulukları belli yaptırımlara bağladığı görülmektedir.
Veri sorumlularınca alınması gereken teknik ve idari tedbirlerle ilgili kurumlarda ayrıntılı çalışma ve düzenlemelerin yapılması gerekmektedir.
Alınması gereken teknik tedbirlerle ilgili IT birimleri ile çalışılarak veri sızıntısını engelleyecek teknik düzenlemelerin yapılması; idari tedbirler doğrultusunda envanter çalışması yapılarak kurumlarda hangi verilerin kişisel veri olduğu öncelikle tespit edilerek, politikaların oluşturulması ve personellere konu ile ilgili eğitim verilmesi yerinde olacaktır.
KVKK işleyen ve süreklilik içeren bir sistem olarak görülmelidir. ISO kalite belgelerinde olduğu gibi onay, kontrol ve revize içeren yaşayan bir sistem oluşturulması amaçlanmaktadır.
Bu çalışmalar süreklilik arz edeceğinden, eğitim başta olmak üzere sistem ve doküman kontrollerinin süreklilik içerisinde yapılması gerekmektedir. Aksi takdirde şikayet ve eleştiriler sonucunda denetim, idari para cezası ve ayrıca hapis cezasına muhatap olunabilmektedir.
AV. PINAR BAŞMAN