KİŞİSEL VERİLERİN KORUNMASI HUKUKU: TEMEL BİLGİLERLE BİR BAKIŞ

,

 

Kişisel veriler, bir bireyin kimliğini doğrudan veya dolaylı olarak belirlemeye yarayan her türlü bilgiyi ifade eder. İsim, T.C. kimlik numarası, telefon, adres gibi açık bilgiler yanında; IP adresi, plaka numarası, biyometrik veriler gibi dolaylı tanımlayıcılar da kişisel veri kapsamındadır. Kanun konu bakımından sınırlandırma yapmadığı gibi verinin doğru ya da yanlış olması da o verinin kişisel veri olmasını değiştirmez.

Kişisel veriler gerçek kişileri koruma altına almaktadır çünkü Kanun’un 1. maddesinde “kişisel verileri işlenen gerçek kişiler” ifadesi kullanılmıştır. Şirket, dernek ve vakıflar gibi tüzel kişiliklerin verileri 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında sayılmaz. Ancak tüzel kişilere ait bir verinin elde edilmesi, dolaylı olarak bir ya da birden fazla gerçek kişinin kimliğinin belirlenmesine yol açıyorsa, bu veriler de Kanun kapsamında korunabilir. Bu gibi durumlarda aslında koruma altına alınan, gerçek kişilere ilişkin kişisel verilerdir. Bununla beraber bir tüzel kişi bünyesinde bulunan gerçek kişilerin verileri de kişisel veri kapsamındadır.

Türkiye’de kişisel verilerin korunmasına ilişkin temel düzenleme, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’dur. Kanun, 7 Nisan 2016 tarihinde yürürlüğe girmiştir ve Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) ile büyük benzerlikler taşımaktadır.

Yargıtay Hukuk Genel Kurulu da 17.06.2015 T. 2014/56 E. 2015/1679 K. Sayılı ilamı ile; “kişisel verinin sayısal olarak sınırlandırılmasının mümkün olmadığına, bireyin kimliğini ortaya çıkartan, bir kişiyi belirli kılan ve karakterize eden kişinin kimlik, ekonomik ve dijital bilgileri, tabiiyeti, kanaatleri, ırk, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık bilgileri, fotoğrafları, parmak izi, sağlık verileri, telefon mesajları, telefon rehberi, sosyal paylaşım sitelerinde yazdığı veya paylaştığı yazı, fotoğraf, ses veya görüntü kayıtlarının kişisel veriler olarak kabul edilebileceğine” hükmetmiştir.

I. Özel Nitelikli Kişisel Veriler

KVKK, bazı verileri özel nitelikli olarak ayrı bir kategoriye alır. (KVKK m.6/1) Bu veriler arasında:

  • Irk, etnik köken, siyasi düşünce, din, mezhep,
  • Sağlık verileri, cinsel hayat,
  • Biyometrik ve genetik veriler,
  • Ceza mahkumiyeti, güvenlik tedbirleri ile ilgili bilgiler yer alır.

Bu tür verilerin işlenmesi, çok daha sıkı şartlara bağlıdır. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanun’da sayılan sınırlı hallerde işlenebilir. Özel nitelikli veriler kanunen sınırlı ve kıyas yolu ile genişletilemez. Bu nitelikteki veriler daha hassas veriler olduğu için özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen önlemlerin de alınma şartı vardır. (KVKK m.6/4)

II. Kişisel Veri İşlemenin Şartları

KVKK’ya göre kişisel veriler, kural olarak, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak aşağıdaki durumlarda açık rıza olmaksızın da veri işlenmesi mümkündür:

  • Kanunlarda açıkça öngörülmesi (KVKK m.5/2-a),
  • Fiili imkânsızlık nedeniyle rıza veremeyecek durumda olan kişinin verisinin korunması (KVKK m.5/2-b),
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması (KVKK m.5/2-c),
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi (KVKK m.5/2-ç),
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması (KVKK m.5/2-d),
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması(KVKK m.5/2-e),
  • Veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması ve temel haklara zarar vermemesi (KVKK m.5/2-f.)

III. Veri Sorumlusu ve Aydınlatma Yükümlülüğü (KVKK m.10)

Veri sorumlusu, kişisel verilerin işlenme amaç ve vasıtalarını belirleyen gerçek veya tüzel kişidir. Kanun, veri sorumlularına aydınlatma yükümlülüğü getirir.  Bu kapsamda ilgili kişiye şu konularda bilgi verilmelidir:

  • Veri sorumlusunun kimliği,
  • Verilerin hangi amaçla işleneceği,
  • Kimlere ve hangi amaçla aktarılacağı,
  • Kişisel veri toplama yöntemi ve hukuki sebebi,
  • Hakları. Veri sorumlusu ve varsa temsilcisi ilgili kişiye aydınlatmada
    bulunurken Kanun’un 11. maddesinde sayılan haklara da sahip
    olduğunu belirtmelidir.

IV. İlgili Kişinin Hakları (KVKK m.11)

İlgili kişi, yani verisi işlenen birey, KVKK’nın 11. maddesi kapsamında veri sorumlusuna başvurarak:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • İşlenmişse buna ilişkin bilgi talep etme,
  • Amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Aktarıldığı üçüncü kişileri bilme,
  • Eksik ya da yanlış işlenmişse düzeltilmesini isteme,
  • Silinmesini veya yok edilmesini isteme,
  • Otomatik sistemlerle yapılan analizlere itiraz etme,
  • Zarara uğraması hâlinde tazminat talep etme haklarına sahiptir.

V. Veri Sorumluları Sicili (VERBİS)

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. (KVKK m.16/2)

KVKK, bazı veri sorumlularına VERBİS’e kayıt olma yükümlülüğü getirmektedir. Bu sistem, Kişisel Verileri Koruma Kurumu tarafından tutulmakta ve veri sorumlularının hangi tür verileri işlediklerini, hangi amaçla sakladıklarını, yabancı ülkelere aktarımını, veri güvenliğine ilişkin alınan tedbirleri şeffaf bir şekilde sunmaktadır.

VI. Suçlar

Kişisel verilere ilişkin suçlar Türk Ceza Kanununun Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar başlığı altında, 135 – 140. Maddeleri arasında düzenlenmiştir. (KVKK m.17/1)

-Kişisel verileri hukuka aykırı olarak kaydetme suçu,

-Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu,

-Verileri yok etmeme suçu hapis cezası ile yaptırıma tabi tutulmuştur.

VII. Kabahatler

Kanunun 18. Maddesinde, kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar düzenlenmiştir.

-Aydınlatma ve veri güvenliğini sağlama,

-Kurul kararlarını yerine getirme,

-Sicile kayıt ve bildirim ile imzalanan standart sözleşmeyi bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır.

VIII. Sonuç

Kişisel verilerin korunması hukuku, sadece şirketlerin değil bireylerin de günlük yaşamında önem taşıyan bir alandır. Hem veri sorumlularının hukuka uygun hareket etmesi, hem de bireylerin kendi haklarının farkında olması bu sistemin etkin işlemesi açısından hayati önemdedir. Avukatlar olarak bizlerin de hem müvekkillerimizi bilgilendirmek hem de kendi faaliyetlerimizi bu yasal çerçevede yürütmek sorumlulu bulunmaktadır.

NOT: Bu yazımız, bilgilendirme amacıyla hazırlanmıştır. İzinsiz paylaşılması halinde, hukuki süreç başlatılacaktır.

Dike Hukuk ile iletişime geçmek için:https://wa.me/905337608453

 

/0 Yorum Var/Yazan
Bunlar ilginizi çekebilir
İNTERNET ORTAMINDA ÖZEL HAYATIN KORUNMASI
 UNUTULMA HAKKI
KİŞİSEL VERİLERİN İHLALİNDE NE YAPILMALI?
0 yorum var

Cevap Yaz

Tartışmaya katılmak mı istiyorsun?
Katkıda bulunmaktan çekinmeyin!

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

DİKE HUKUK
DANIŞMANLIK & ARABULUCULUK
TÜM HAKLARI SAKLIDIR ©

TAKİP EDİN:

BASILI YAYINLARDA TEKZİP HAKKIBasılı Yayınlarda Tekzip HakkıHPV AŞISININ TÜRKİYE’DEKİ HUKUKİ DURUMU