6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Veri Sorumlularınca Uyulması Gereken Esas ve Usuller
A- Genel Olarak
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.
Gelişen teknolojiye uyumun bir gereği olarak, kişisel veriler gerçek veya tüzel kişiler tarafından fiziki veya dijital ortamlarda, otomatik veya otomatik olmayan yollarla işlenmektedir.
Verilerin işlenmesi, veriyi işleyen gerçek veya tüzel kişilere kolaylık sağladığı gibi birtakım riskleri de beraberinde getirmektedir. Bu risklerin bertaraf edilebilmesi, veri sorumlusu ve veri işleyenlerin uymaları gereken esas ve usuller ile bunlara aykırılık hallerinde uygulanacak yaptırımların belirlenebilmesi için kişisel verilerin korunmasına ilişkin yasal düzenlemeye ihtiyaç duyulmuştur.
Bu doğrultuda, 2010 yılında yapılan değişiklikle Anayasanın 20. maddesine eklenen fıkra ile kişisel verilerin korunması Anayasal güvence altına alınmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir.
Kanun, kişisel verilerin işlemesinde uyulması gereken esas ve usulleri, veri sorumlusu ve veri işleyenlerin yükümlülüklerini, yükümlülüklerin ihlali halinde uygulanacak yaptırımları belirlemektedir.
B- KVKK Kapsamında Veri Sorumlusu ve Veri İşleyen
Kanun Veri Sorumlusu’nu, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak ifade etmekte; Veri İşleyen ise, “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmaktadır.
Belirtmek gerekir ki, 6698 Sayılı Kanun ve ilgili diğer yasal mevzuat hükümlerine aykırılık halinde hukuki sorumluluk kimi durumlarda veri sorumlusu ve veri işleyen şahsında müteselsilen, çoğu durumda yalnızca veri sorumlusunun şahsında doğmaktadır.
C-KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri
Kişisel verilerin işlenmesinde veri sorumlusunun yükümlülükleri;
- Kişisel verilerle ilgili genel ilkelere uygun davranma,
- Aydınlatma,
- Açık rıza alma,
- Veri güvenliğini sağlama,
- Denetim,
- Sır saklama,
- Kişisel verileri; silme, yok etme veya anonim hâle getirme,
- İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde Kişisel Verilerin Korunması Kurulu’na ve kişisel veri sahibine bildirimde bulunma,
- Başvuruları cevaplama,
- Kurul kararlarına uyma,
- Veri Sorumluları Sicili’ne (VERBİS) kayıt olma yükümlülüğü olarak belirlenmiştir.
Önemle belirtmek gerekir ki, faaliyet gösterdiği alandan kaynaklı olarak, veri sorumlusunun 6698 Sayılı Kanun dışında, diğer kanunlardan doğan sorumlulukları da bulunabilmektedir. Bu nedenle faaliyet konusunun belirlenmesi ve ilgili mevzuatın faaliyet konusuna göre saptanması önem arz etmektedir.
Veri sorumlusunun yükümlülükleri makalemizde kısaca ve genel olarak yer almaktadır. Ayrıntılı bilgi edinme ve işlenen kişisel verilerin kanuna ve diğer yasal mevzuata uyumlu hale getirilmesinin sağlanması amacıyla Kişisel Verilerin Korunması Hukuku alanında uzman avukat veya avukatlardan/Hukuk Ofislerinden danışmanlık almanız önerilir.
1- Kişisel Verilerle İlgili Genel İlkelere Uygun Davranma
Kişisel verilerin işlenmesinde genel ilkeler kanunun 4. maddesinde düzenlemiştir. Bu kapsamda, veri sorumlusu işlenen kişisel verilerin ;
- Hukuka ve dürüstlük kurallarına uygun olmasını,
- Doğru ve gerektiğinde güncel olmasını
- Belirli, açık ve meşru amaçlar için işlenmesini,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmasını
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesini sağlamakla yükümlüdür.
Bu ilkeler gözetilmeden kaydedilen/işlenen veriler hukuka aykırı olacak ve Kanun’da öngörülen yaptırımların uygulanması ve zarar görenin zararının tazmin edilmesi gerekecektir.
2- Aydınlatma
Kanun’un 10. Maddesi veri sorumlusunun (veya yetkilendirdiği kişinin) veri sahibini aydınlatma yükümlülüğünü düzenlemektedir. Bu kapsamda, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi;
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- 11 inci maddede sayılan diğer hakları, konusunda veri sahibini
bilgilendirmelidir.
Kanun’un 11. maddesi ise veri sahibinin veri sorumlusuna başvuru yapmak suretiyle kullanabileceği haklarını düzenlenmektedir. Bu haklar;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme, - Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların
düzeltilmesini isteme, - 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya
yok edilmesini isteme, - (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı
üçüncü kişilere bildirilmesini isteme, - İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, - Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması
hâlinde zararın giderilmesini talep etme şeklinde düzenlenmiştir.
Yapılacak aydınlatmanın kanunun öngördüğü hususları içermesi, anlaşılır ve detaylı olması önem arz etmektedir.
Bu doğrultuda, veri sorumlusu sıfatı ile işlediğiniz kişiler verilere ilişkin detaylı ve kanun öngördüğü esas ve usullere uygun bir aydınlatma metninin hazırlanması amacıyla Kişisel Verileri Koruma Hukuku alanında uzman avukatlardan yardım almanız önerilir. https://www.dengehukukofisi.com/
3- Açık Rıza
Açık rıza, Kanun’un 3. maddesinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış ve hem özel nitelikli kişisel veriler hem de özel nitelikli olmayan kişisel verilerin işlenebilmesi için veri sahibinin açık rızasının alınması şart kılınmıştır.
3.1. Açık Rızanın Şekli
Açık rızanın alınmasında şekil şartı bulunmamaktadır. Bu kapsamda, Kanun’un 10. maddesinde öngörülen aydınlatma yapıldıktan sonra, kişisel verilerin işlenmesine yönelik veri sahibinden yazılı olarak, elektronik ortamda veya sözlü olarak onay alınması mümkündür. Ancak rızanın alındığının ispat yükü veri sorumlusuna aittir.
3.2. Açık Rızanın Belirli Bir Konuya İlişkin Olması
Kanun’da öngörüldüğü üzere, açık rızanın hangi konuyla ilgili olarak alınacağı açıkça belirtilmelidir. “Kişisel verilerimin kaydedilmesine onay veriyorum.” şeklinde bir rıza beyanı, kanunun aradığı “belirli bir konuya ilişkin olma” koşulunu sağlamamaktadır. Bu doğrultuda, veri sahibinin rızası alınırken işlenen kişisel verilerinin ne olduğu belirtilmeli, veri sahibi tarafından yalnızca onay verilen kişisel verilerin işlenebileceğine dikkat edilmelidir.
3.3. Açık Rızanın Bilgilendirmeye Dayanması
Rızanın “bilgilendirmeye dayanması” koşulu veri sorumlusunun Aydınlatma Yükümlülüğü ile bağlantılı olup, yukarıda açıklanan içerikte bir aydınlatma yapıldıktan sonra alınacak rıza, Kanun’da öngörülen “rızanın bilgilendirmeye dayanması” koşulunu sağlayacaktır.
3.4. Açık Rızanın Özgür İradeye Dayanması
Rıza alınırken kişinin özgür iradesi ile hareket etmesi gerekmektedir. 6098 Sayılı Türk Borçlar Kanunu’nda düzenlenen cebir, tehdit, hata ve hile gibi irade fesadı hallerinin mevcudiyeti halinde alınan rıza geçerli olmayacaktır. Nitekim bu hallerde kişinin rızasının özgür iradesine dayandığından söz edilemez.
3.5. Açık Rıza Alınmasını Gerektirmeyen Haller
Kanun’un 10. Maddesinin 2. Fıkrasında açık rıza alınmasını gerektirmeyen haller düzenlenmiş ve;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
hallerinde veri sahibinin rızası alınmadan kişisel verilerin işlenebileceği öngörülmüştür. Dikkat edilmesi gereken; rıza gerektirmeyen hallerde ilgili kişinin rızasının alınmamasıdır. Nitekim, veri sahibi tarafından verilen açık rızanın geri alınması halinde işlenen verinin rıza gerektirmemesi nedeniyle işlenmesine devam edilmesi, kişisel verilerin işlenmesinde öngörülen genel ilkeler arasında yer alan hukuka ve dürüstlük kurallarına aykırılık arz edecektir.
Açık rıza ile ilgili ayrıntı bilgi edinmek ve alınacak rızanın Kanun’un öngördüğü koşulları taşımasının sağlanması amacıyla Kişisel Verileri Koruma Hukuku alanında uzman avukatlardan yardım almanız önerilir.
4- Veri Güvenliğini Sağlama, Denetim ve Sır Saklama
Veri sorumlusunun Kanun’da öngörülen bir diğer yükümlülüğü veri güvenliğini sağlamak, bu kapsamda;
- a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirlerin alınması gerekmektedir.
Ayrıca, veri sorumlusu veri güvenliğinin sağlanmasına yönelik kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
Son olarak, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
Veri güvenliğini sağlamaya yönelik alınabilecek idari ve teknik tedbirlerle ilgili Kişisel Verileri Koruma Hukuku alanında uzman avukatlardan yardım almanız önerilir.
5- İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde Kişisel Verilerin Korunması Kurulu’na ve kişisel veri sahibine bildirimde bulunma
Kanun’da veri sorumlusuna yüklenen bir diğer yükümlülük, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirmesidir.
6- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
Hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olup, silinen verilerin tekrar erişilemez ve kullanılamaz olması için veri sorumlusu tarafından her türlü idari ve teknik tedbir alınmalıdır.
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi olup, veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Anonim hale getirme Kanun’da “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” olarak tanımlanmaktadır. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Bu amaçla veri sorunlusu tarafından her türlü teknik ve idari tedbir alınmalıdır.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin esas ve usuller “Kişisel verilerin Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine İlişkin Yönetmelik”te düzenlenmiş olup, işlenen kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve Yönetmeliğe uyumun sağlanması amacı ile Kişisel Verileri Koruma Hukuku alanında uzman avukatlardan yardım almanız önerilir.
7- Başvuruları Cevaplama
Kanun’un 13. maddesi veri sahibinin veri sorumlusuna başvurusunu düzenlemektedir. Bu kapsamda, ilgili kişi, Kanun’un uygulanmasıyla ilgili ve 11. maddede yer alan hak ve taleplerini yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Veri sorumlusu talebi kabul veya gerekçesini açıklayarak reddebilir. Red veya kabule ilişkin cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirmelidir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilmeli, başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilmelidir.
8- Veri Sorumluları Sicili’ne (VERBİS) Kayıt
Kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kaydolması gerekmektedir.
Kayıt için, Kişisel Verileri Koruma Kurumu’nun web sitesi olan www.kvkk.gov.tr’ye giriş yapılır. Ekrana gelen sayfada yer alan VERBİS butonuna tıklanır ve ilgili alanlar doldurularak VERBİS’e kayıt olunur.
Kayıt sürecinin Kişisel Verileri Koruma Kurumu tarafından öngörüldüğü şekilde ilerlemesi ve sonuçlanması için Kişisel Verileri Koruma Hukuku alanında uzman avukatlardan yardım almanız önerilir.
VERBİS’e kayıt tarihlerinin 6698 Sayılı Kanun’a eklenen Geçici 1 incimadde ile ;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
- Yurtdışında yerleşik gerçek ve tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.09.2020 tarihine,
- Kamu kurum ve kuruluşu veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 31.12.2020 tarihine kadar uzatılmasına karar verilmiştir.
Duyurunun yer aldığı Resmi Gazetenin linki aşağıdadır:
D- Sonuç
Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması veya sınıflandırılması gibi her türlü işlem kişisel veri işleme olarak kabul edilmektedir ve bu işlemler Kanun’da öngörülen usul ve esaslara uygun olmalıdır.
Bu kapsamda veri sorumlularının hukuka uygun veri işleme, “Veri Sorumluları Sicil Bilgi Sistemi”ne (VERBİS) kayıt, buna bağlı olarak “Kişisel Veri İşleme Envanteri” ile “Saklama ve İmha Politikası” hazırlama ve kişisel veri güvenliğine ilişkin teknik ve idari tedbirleri almak gibi yükümlülükleri bulunmaktadır.
Kişisel Verilerin Korunmasına ilişkin çalışmalar ülkemizde yeni yeni başlamış olsa da, Denge Hukuk Bürosu olarak bu alanındaki hizmet ve çalışmalarımız Kanun’un kabul edildiği 2016 yılına dayanmaktadır. Gerek müvekkillerimiz gerekse tarafımızca kişisel veri işleme faaliyeti gerçekleştirilmekte, bu kapsamda işlenen verilerin Kanun’un öngördüğü usul ve esaslara uyumunun sağlanması, yeni işlenecek verilerin ise yine Kanun’da öngörülen usul ve esasları haiz olmasının sağlanması gerekmektedir.
Konu ile ilgili mevzuatın çokluğu ve veri sorumlularının yükümlülüklerinin oldukça detaylı düzenlenmiş olması dikkate alındığında, veri işleme faaliyetinin yukarıda belirtilen mevzuatlara uyumlu olarak gerçekleştirilmesi, Veri İşleme Envanteri ile Saklama ve İmha Politikası hazırlanması gibi yükümlülüklerin Kanun’un öngördüğü esas ve usullere uygun şekilde yerine getirilmesi amacı ile Kişisel Verileri Koruma Hukuku alanında uzman avukatlardan yardım almanız önerilir.
Nitekim, Kişisel Verileri Koruma Kurulu, şikayet yahut re’sen yaptığı incelemelerde veri sorumlularının Kanun’da öngörülen yükümlülükleri yerine getirip getirmediğini, hukuki ve teknik açıdan birçok unsuru içeren geniş bir perspektiften değerlendirmekte ve karar vermektedir.
Daha fazla bilgi edinmek için (+90 312 230 01 32) arayarak ya da info@dengehukukofisi.com adresine e-posta göndererek bize ulaşabilir ve danışmak üzere randevu alabilirsiniz.