Kişisel Verilerin Korunması Hakkında Kanun- KVKK

[Makale-Baslik]

Kişisel Verilerin Korunması Hakkında Kanun- KVKK


Kanun kişisel verilerin korunmasıyla ilgili yasal çerçeveyi belirlemiştir.

Günümüzde sosyal medya kullanımı bilindiği üzere bir hayli arttı. Artık her insan akıllı telefon sahibi oldu. Zira teknoloji ve dijitalleşme yaygınlaştı.

Bütün bu sebeplerden mütevellit kişisel veriler hepimiz için kritik bir hal aldı. Güvenliğimiz ve yasal hakların korunması açısından kişisel veriler çok önemlidir.TBMM, kişisel verilere ilişkin düzenleme getirmiştir.

Verilerin kim tarafından kullanılacağını, hangi amaçla kullanılacağını, nasıl kullanılacağını ve nasıl imha edileceğini belirlemiştir.6698 Sayısı Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde TBMM’de yasalaşmış ve kanun 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.

KVKK’ ya uyumun sağlanması amacıyla Gizem Uzun Hukuk Bürosu olarak müvekkillerimize sunduğumuz hizmetler

  1. KVKK kapsamında müvekkillerin tâbi oldukları yükümlülüklerin tespiti ve analizi,
  2. İlgili yükümlülüklerin yerine getirilebilmesi bakımından müvekkillerin kullanmaları gereken veri kayıt sistemlerinin oluşturulması aşamasında IT departmanları ile gereken işbirliğinin sağlanması ve mevcut durumda kullanılmakta olan veri kayıt sistemlerinin KVKK kapsamındaki yükümlülüklere uyumlu hale getirilmesi bakımından gerekli desteğin sunulması,
  3. Müvekkillerin KVKK kapsamında müşterileriyle veya iş ortaklarıyla akdetmeleri gereken sözleşmelerin hazırlanması ve/veya revize edilmesi,
  4. KVKK kapsamındaki yükümlülüklere tam anlamıyla uyumun sağlanması bakımından Veri Sorumlusu bünyesindeki ilgili tüm departmanlara (hukuk, İK, IT, pazarlama, halkla ilişkiler vb.) şirket içi farkındalık eğitimlerinin sunulması,

KVKK CEZASI VE YAPTIRIMI NEDİR?

6698 Sayısı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte, kanun, kurumlara ve işletme sahiplerine idari para cezaları getirmekle birlikte bazı durumlarda hapis cezaları da söz konusudur.

Peki kanun kimleri kapsamaktadır?

KVKK, resmi kurumlar dahil, kişisel verileri işleyen tüm kurum, işletme ve şirket sahiplerini kapsamaktadır.

Hangi durumda KVKK kapsamına girer?

Gerçek kişi müşteriler, çalışanlar, ziyaretçilerin bilgileri kaydediliyor ve işleniyorsa KVKK kapsamındadır. 

VERBİS NEDİR?

Kanun kapsamındaki tüm kurum ve kuruluşlar, kişisel verileri koruma kanununun belirlediği tarihler içerisinde kısa adı VERBİS olan Veri Sorumluları Sicil Bilgi Sistemine kayıt yaptırma zorunluluğu vardır.

VERBİS KAYDI NE İŞE YARAR?

VERBİS kaydı ile kurum ve işletmeler, hangi kişisel verileri, hangi amaçla, hangi kanuni dayanakla ve ne kadar süreyle işleyeceklerini bildirmekle yükümlüdürler. Bu yükümlülüğünün yerine getirilmemesi halinde kanun, idari ve hapis cezası getirmiştir.

AÇIK RIZA NEDİR?

Açık rıza, özgür iradeyle açıklanan rızadır. 

AÇIK RIZA DURUMUNDA NE OLUR?

Verinin işlenmesine kendi isteği ile onay vermiş sayılır. Ancak burada verilen rıza verinin nerede kullanılacağı, nasıl kullanılacağı belirlenmelidir.

AÇIK RIZA YAZILI MI ALINMALIDIR?

Yazılı alınmak zorunda değildir. Elektronik ortam ve çağrı merkezi gibi yollarla da alınması mümkündür.

BU KONUDA İSPAT KÜLFETİ KİME AİTTİR?

Bu konudaki ispat külfeti veri sorumlusuna aittir.

AÇIK RIZA GERİ ALINABİLİR Mİ?

Açık rıza kişiye sıkı sıkıya bağlı bir haktır. Bu sebepten mütevellit geri alınabilir.

GERİ ALMA BEYANI NE ZAMAN HÜKÜM DOĞURUR?

Geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.

KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ NEDİR?

Kişisel verilerin kim tarafından, hangi amaçlarla, hangi hukuki gerekçelerle verilmelisi gerektiği hususunda veri sorumlusuna aydınlatma yükümlülüğü getirilmiştir.

  1. Kişisel veriler hangi amaçla işlenmelidir
  2. Kişisel veriler kimlere ve hangi amaçla verilebilir
  3. Kişisel veri toplamanın yöntemi

VERİ SORUMLUSU KİMDİR?

Veri Sorumluları Sicili Hakkında Yönetmelik’in 11 inci maddesine göre, veri sorumlusu eğer yurtdışında yerleşik olan bir tüzel kişi ise, bir veri sorumlusu temsilcisi atamak zorundadır. Atanacak bu veri sorumlusu temsilcisi, Türkiye’de yerleşik olan bir tüzel kişi ya da Türk vatandaşı bir gerçek kişi olmak zorundadır.

KİŞİSEL VERİLERİN SAKLANMASI SÜRELERİ

KVKK’ya göre, veri Sorumluları tarafından işlenen kişisel verilerin süresiz saklanması mümkün değildir. Kurumun ya da işletmenin belirlediği veri işlenme amacına uygun bir süre tutulmalı ve daha sonra imha edilmelidir. Bu süreler, işletmelerin faaliyet gösterdiği sektörler ve bağlı bulundukları kanunlara göre değişiklik göstermektedir. Dijital çağın petrolü kişisel veridir.

Peki avukatların VERBİS'E kayıt zorunluluğu var mı?

Hayır.

KVKK kaç maddeden oluşmaktadır?

33 maddelik minik bir kanun ancak içeriği önemli ve derin. Kişisel verileri koruma kanunu uyum sürecinde avukatın rolü çok önemlidir. Avukatlar burada etkin rol almak zorundalar.

KİŞİSEL VERİLERİN KORUNMASI NE DEMEKTİR?

Kişisel verilerin işlenmesinin disiplin altına alınmasıdır. Temel hak ve özgürlüklerin korunmasıdır. Kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkıdır.

Örnek verecek olursak; Veri toplayan bir ecza deposu sistemi inceliyor. Facebook yazışmalarında ve whats up yazışmalarında bir bakıyor ki çok fazla soğuk algınlığı var. İlaçları tespit edip depolara, eczanelere veriyor. Bu şekilde çok fazla kar elde ediyor. Facebook, instagram gibi uygulamalar neden ücretsiz hiç düşündük mü? Çünkü büyük firmalar buradan veri topluyor.

Kişisel verilerin hukuki niteliği nedir?

ABD ekonomik hak olduğunu savunuyor. Avrupa ise temel bir insan hakkı olduğu görüşündedir. Avrupa Konseyinin, Birleşmiş Milletlerin kişisel verilerin toplanması hususunda ciddi çalışmaları olmuştur.

GDPR NEDİR?

Avrupa Birliği Genel Veri Koruma Tüzüğüdür.

GDPR NEDEN ÖNEMLİ?

Yurtdışından akın akın turist geliyor. Bunları buraya getiren Türk firmaları var.

KİŞİSEL VERİLERİN KORUNMASI KANUNU İLE HAYATIMIZDA NE DEĞİŞTİ?

Kişisel verilerin korunmasını isteme hakkı anayasaya 2010 yılında girmiş olmasına rağmen kişisel veri kavramının içeriği net değildi. KVKK ile birlikte kişisel veri kavramı tanımlandı. Kurul kararları ile içtihatlar şekillendi. Sonuç olarak TCK hükümlerinin uygulanabilirliği de arttı.

KANUNUN KAPSAMINA KİMLER GİRER?

Şirketler, işletmeler, esnaflar, tacirler, serbest meslek sahipleri, meslek odaları, barolar, eczacılar, doktorlar

KANUN KAPSAMINA DAHİL OLMAYAN HALLER NELERDİR?

Kanun, herhangi bir veri kayıt sisteminin parçası olmaksızın veri işleyenler hakkında uygulanmamaktadır.

Kanunda kişisel verileri işleyen gerçek kişiler ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler de bu kanun kapsamı dışında tutulmuştur.

MUTLAK KAPSAM DIŞI OLAN HALLER
  1. Kendisinin ve aile fertleri ile ilgili faaliyetler
  2. Kişisel verilerin resmi istatistik ve anonim hale getirmek suretiyle araştırma, planlama gibi amaçlarla işlenmesi
  3. Sanat, tarih ve edebiyat veya bilimsel amaçlarla ifade özgürlüğü kapsamında işlenmesi
  4. Kamu düzeni için yasal yetkili kurumlarca yönetilen önleyici faaliyetler kapsamındaki işlemeler
  5. Soruşturma, kovuşturma veya infaz için yargı mercilerince işlenmeleri
KISMEN KAPSAM DIŞI OLANLAR
  1. Suç işlenmesinin önlenmesi veya soruşturması için
  2. Kişinin kendisi tarafından alenileştirilmesi
  3. Kamu kurum ve bu nitelikteki meslek kuruluşlarınca denetleme veya düzenleme görevleri ile disiplin işleri yürütülmesi
  4. Bütçe, vergi ve mali konularda devletin ekonomik ve mali çıkarlarının korunması için gerekli olması
YARGITAY KARARI 09.12.2019 TARİH 2019/372 SAYILI KARAR ÖZETİ

Bir gazete köşe yazarı, şikayet sahibi kişinin babasının kanser tedavisi gördüğünü ve şikayet sahibinin babasının bakımını üstlenmek için işine ara verdiğini yazmıştır.

Şikayet sahibi babasının özel nitelikli kişisel verisi olan sağlık verilerinin rızası dışında işlendiğini ve üçüncü kişilerle paylaşıldığını ifade etmiştir.

Ayrıca babasının bu tarihe kadar kanser tedavisi gördüğünü bilmediğini, moralinin bozulması istenmediğinden bu bilginin ailesi tarafından kendisinden saklandığını, ancak haber tarihinden sonra ilgili kişinin geçmiş olsun dilekleri ile arandığını, ilgili kişinin kanser olduğunu gazetelerden ve üçüncü kişilerden öğrenmesinden dolayı içine kapandığını ve ailesiyle iletişimini kestiğini ve kanser tedavisini reddettiğini ifade etmiştir.

Bu olayda söz konusu gazete hakkında ciddi miktarda para cezası uygulanmıştır.

TÜZEL KİŞİLERİN KİŞİSEL VERİSİ OLUR MU?

Hayır olmaz. Tüzel kişiler veri sorumlusu olarak karşımıza çıkar.

Tüzel kişiliğe ait elektronik ortamda yer alan verilerin başka bir tüzel kişilik tarafından talep edilmesi durumunda haksız rekabete ilişkin hükümler uygulanır. Karar tarihi:19.11.2018 Karar no:2018/131

Bu husus eski çalışanın portföy bilgilerini yeni şirkete getirmesi durumunda söz konusu olur.

VERİ KAYIT SİSTEMİ NEDİR?

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

Bir bankanın ilgili kişinin cep telefonu numarasını bankaya veriliş amacı dışında kullanması kişisel verilerin korunması ilkesine aykırıdır.

KİŞİSEL VERİLERİN İŞLENME ŞARTLARI NELERDİR?

  1. KANUNDA AÇIKÇA ÖNGÖRÜLME
  2. VERİ SORUMLUSUNUN HUKUKİ YÜKÜMLÜLÜĞÜ
  3. FİİLİ İMKANSIZLIK
  4. BİR HAKKIN TESİSİ, KULLANIMI VEYA KORUNMASI
  5. SÖZLEŞMENİN KURULMASI VEYA İFASI
  6. ALENİLEŞTİRİLME
  7. MEŞRU MENFAAT
  8. AÇIK RIZA

FİİLİ İMKANSIZLIK NEDENİYLE RIZASINI AÇIKLAYAMAYACAK DURUMDA İSE NE OLUR?

Mesela kişi trafik kazası geçiriyor. Rızasını açıklayamayacak durumda. Burada o kişinin telefon numarası bilgisi kimlik bilgisi izni olmadan alınabilir.

Spor salonu hizmeti veren veri sorumlusu üyelerinin giriş çıkış kontrolünü biyometrik veri işleyerek yaparsa ne olur?

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü ise bir sorun teşkil etmez.

AVUKATLARIN BELGE İSTEMESİ KİŞİSEL VERİLERİN KORUNMASI KANUNUNA ENGEL MİDİR?

Hayır. Avukat yargının üç kolundan biridir. Vekaletnamesi olan avukat fotokopi alabilir.

Eczacıların ve ilaç tedarik şirketlerinin de sır saklama yükümlülüğü var mı?

Bizler sadece doktorların ve avukatların sır saklama yükümlülüğü olduğunu düşünüyoruz ancak eczacıların ve ilaç tedarik şirketlerinin de sır saklama yükümlülüğü bulunmaktadır.

Eczacılarla ilgili bir karar verildi ve elli bin lira idari para cezasına hükmedildi. İlaç gönderdiği kişinin basur hastalığı var. Eczacı bununla ilgili ilacı kalfasına verip gönderiyor. Kalfa bununla ilgili kişisel veriyi dağıttı. Eczacı burada gerekli güvenliği sağlayamadı. 

Avukatın yanında çalışan avukatlarla, katiplerle bir gizlilik sözleşmesi yapmasında fayda var mıdır?

Kesinlikle fayda vardır. Zira işveren avukatlar da veri sorumlusudur.

ÖLMÜŞ BİR KİMSENİN DAHİ MAHREMİYETİ KORUNMAYA DEVAM EDER Mİ?

Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir.

Kişi ölse de mahremiyetinin korunması hakkı devam eder.Avukatlar müvekkillerinin sağlık verilerini genel vekaletname ile talep edemezler. Müvekkilline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekaletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir.Tabip ve diş tabibi, meslek ve sanatının icrası sebebiyle muttali olduğu sırları, kanuni mecburiyet olmadıkça ifşa edemez.

Hastanın mahremiyetine saygı gösterilmesi esastır. Ölüm olayı mahremiyetin bozulması hakkı vermez.Mesela sağlık harcamalarının kaynağı gizli tutulmalıdır.

VERİ SORUMLUSU AYDINLATMA YÜKÜMLÜLÜĞÜNÜ MUTLAKA YAZILI MI YAPMAK ZORUNDA?

Hayır. Sözlü yapabilir, yazılı yapabilir hatta ses kaydı, çağrı merkezi ile bile yapabilir.

Aydınlatma yükümlüğünün yerine getirilmesi ilgili kişinin talebine mi bağlıdır?

Hayır. İlgili kişinin talebine bağlı değildir.

Aydınlatma yükümlülüğünü yerine getirme hususunda ispat kime aittir?

Bu konuda ispat veri sorumlusuna aittir.Aydınlatma ve açık rıza ayrı ayrı alınmalıdır.Biz avukatlar bazen dilekçelerimizde vesaire gibi ifadeler kullanıyoruz. Aslında açık bir ifade olması açısından bunu kullanmamakta fayda var.Kişisel verilerin bilgilendirilmesi hususundaki ifadeyi okudum, açıkça rıza gösteriyorum demesi gerekiyor.Kişisel veriler işlenmesini gerektiren sebeplerin ortadan kalkması halinde re'sen veya ilginin talebi üzerine silinir.

İmha ne kadar sürede bir gerçekleştirilmelidir?

İmha en fazla altı aylık periyotlarla gerçekleştirilmelidir.