Kişisel Verilerin Korunması Kanunu Hakkında Bilgilendirme

Makaleler / Makaleler | 20.01.2020

Bu makalede, Kişisel Verilerin Korunması Kanunu, bu Kanunun hayatımıza getirdiği yenilikler, yapılması gerekenler ve yapılmaması gerekenler hakkında özet açıklamalar  bulabilirsiniz. 

Kişisel Verileri  Kişisel Verilerin Korunması Kanunu (KVKK)  07/04/2016 tarihinde Resmi Gazetede yayınlanarak yürürlüğe girmiştir.   Kanuna uyum süreci 07/04/2018  tarihinde sona ermiştir.  KVKK hükümleri hem kişisel verileri işlenen gerçek kişileri,  hem de söz konusu verileri otomatik olan ya da otomatik olmayan yollarla işleyen gerçek ve tüzel kişileri bağlamaktadır. Esasen Kanun dolaylı olarak hepimizi etkilemektedir.  Kanunun amacı kişilerin temel hak ve özgürlüklerinin korunması, kişisel haklarına söz konusu olabilecek her türlü mahremiyet ihlalinin önlenmesidir.  

Konunun önemini vurgulamak açısından, öncelikle Kişisel Verileri Koruma Kurumunun çalışma esaslarından ve Kanuna aykırılığın getirdiği idari ve cezai müeyyidelerden bahsetmek uygun olacaktır. 

Kişisel Verileri Koruma Kurumu Kanun ile birlikte kurulmuş olup, kurum, kurul ve Başkanlık teşkilatından oluşmaktadır. Kurumun, mevzuatı, uluslararası gelişmeleri, uygulamaları takip etmek, yıllık faaliyet raporlarını hazırlamak gibi görevleri vardır.  Kişisel Verileri Koruma Kurulu, Kurumun karar organıdır. Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak, kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak, veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak, Veri Sorumluları Sicilinin tutulmasını sağlamak, Kanunda öngörülen idari yaptırımlara karar vermek  gibi idari ve yürütme anlamında bir çok görev ve sorumluluğu bulunmaktadır. Kurul bugüne kadar yapılan bir çok şikayeti değerlendirmiş, kurumlar hakkında idari ve cezai sonuçları da olan kararlar vermiştir. Öte yandan Kurum, Kanunun uygulanmasını sağlamak amacıyla yönetmelik, tebliğ, rehber ve kılavuzlar yayınlanmaktadır. 

 

Kişisel Verilerin Korunması Kanunu’nda düzenlenen idari ve cezai yaptırımlar; 

*Aydınlatma yükümlülüğüne aykırılık, veri güvenliğine ilişkin hükümlere aykırılık, kurul kararlarına uymama, sicile kayıt ve bildirim yükümlülüğüne aykırılık hallerinde; 

İhlal başına 5.000-TL ile 1.000.000-TL arasında değişen para cezaları uygulanacaktır.

*Kişisel verilerin Kanuna aykırı bir şekilde kaydedilmesi, özel nitelikli kişisel verilerin Kanuna aykırı bir şekilde kaydedilmesi, verilerin hukuka aykırı olarak paylaşılması veya ele geçirilmesi, Kanunun aradığı koşullarda verilerin yok edilmemesi hallerinde ; 

1 yıldan 4,5 yıla varan hapis cezaları uygulanacaktır.

* Kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümleri uygulanır. Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

Türk Ceza Kanunu’nda konuya ilişkin olarak yer alan düzenlemeler ise şöyledir: 

Kişisel Verilerin İzinsiz Kaydedilmesi Türk Ceza Kanunu 135. Madde:

Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikasal bağlantılarına iliŞkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.

Verileri hukuka aykırı olarak verme veya ele geçirme Türk Ceza Kanunu 136. Madde:

Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

 

KİŞİSEL VERİ NEDİR ? 

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak kabul edilmektedir. Başka bir deyişle, kişiyi diğer kişilerden ayıran ya da niteliklerini ortaya koyan her türlü bilgi kişisel veridir. Örneğin, TC kimlik numarası, pasaport numarası, isim, soyisim, doğum yeri, doğum tarihi, özgeçmiş, telefon numarası, ses kaydı ve daha sayılabilecek pek çok bilgi kişisel veri olarak kabul edilmektedir. 

Kanun bir de yukarıda sayılan örneklerin dışında bir ayrım yaparak özel nitelikle kişisel verilerden bahsetmektedir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Kanundaki kişisel veri tanımına göre, sadece gerçek kişilere ilişkin bilgiler kişisel veri sayılmaktadır. Tüzel kişilere ilişkin verilerin işlenmesi Kanunun kapsamı dışında tutulmuştur.

 

VERİ İŞLEME NEDİR ? 

Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, sınıflandırılması  gibi her türlü işlem veri işleme kabul edilmektedir.   

Verilerin hukuka uygun işlenmesi için; 

• İşlemenin rıza veya istisnaya dayalı olması,

• Aydınlatmanın gerçekleşmiş olması,

• İşlemenin amaç ve süre ile sınırlı olması,

• Genel (temel) ilkelere uygun olması.

şartlarının hepsini taşıması gerekmektedir. 

 

AÇIK RIZA NEDİR VE NASIL ALINMALIDIR ? 

Kişisel verilerin ve  özel nitelikli kişisel verilerin, eğer istisnalar kapsamında değil ise  ilgilinin açık rızası olmadan işlenmesi, üçüncü şahıslara aktarılması  yasaktır. 

Kanunda sayılan istisnalar şunlardır: 

-  Kanunlarda açıkça öngörülmesi. Örneğin; vergi mevzuatında açıkça zorunlu olması.

- Rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. Örneğin; bilinci kapalı olan kişinin hastaneye götürülmesi için hastane ile adres bilgisinin paylaşılması. 

- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. Örneğin; satış sözleşmesinde malın teslim edilmesi için adres bilgilerinin kaydedilmesi. 

- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. Sektör düzenlemeleri. Örneğin;  bankacılık sektöründeki regülasyonlar. Çek Kanunu çek hesabı açılması için adli sicil kaydı alınmasının zorunlu tutulması. 

-  İlgili kişinin kendisi tarafından alenileştirilmiş olması. Kişinin bilgilerini topluma açıklamış olması. Örneğin, acil durumlarda ulaşılması için iletişim bilgisini ilan etmesi.

-  Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. Örneğin, dava açılması, tapu işlemi vb. işlerde kullanılması zorunlu veriler, işten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması.

- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Şöyle bir ayrıma tabi tutulması mümkündür, kişisel veriyi alıp işleyecek tarafın işlemek ile işlememek arasında bir seçeneği söz konusu ise zorunluluktan bahsedilemeyecektir. Örneğin; alacağın temlik edilmesi meşru menfaat sayılmaktadır, zira temlik için birtakım kişisel veriler paylaşılmak zorundadır.

Yukarıda sayılan istisnalar dışında herhangi bir sebeple, örneğin müşteri profilini belirlemek amaçlı ya da daha sonra yapılacak herhangi bir kampanyayı bildirmek amaçlı firma müşterilerinin  kişisel verileri işleniyor ise, kendilerinden mutlaka açık rıza alınması gerekmektedir.  Açık rıza yazılı olarak ya da  kalıcı veri saklayıcısı ile alınmalıdır. Yani herhangi bir  itiraz halinde açık rıza alınmış olduğu ispat edilebilir durumda olmalıdır.  

Açık rızanın Kanunun aradığı şekilde olabilmesi için, belirli bir konuya ilişkin olmasıbilgilendirmeye dayanması ve özgür irade ile açıklanmış  olması  gerekmektedir. 

Bunların ne olduğunu kısaca açıklayacak olursak; 

*Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Uygulamada sıkça görülen kişilerden birçok konuyu kapsayacak şekilde alınan rıza metinleri  maalesef  Kurum tarafından kabul edilmemektedir. Bu tür metinlerin önümüzdeki günlerde cezai yaptırımlara konu olacağı düşünülmektedir. Aynı şekilde genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz bir rıza da tek başına “açık rıza” olarak kabul edilmemektedir. Açık rızanın hangi konuya ilişkin olduğunun açıkça ortaya konulması gerekmektedir. Birden çok kategoriye ilişkin rıza beyanında bulunulacak ise, rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, ayrıntılı olarak düzenlenmiş olması gerekir. Açık rızanın rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. 

*Kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerekir. Bu durum Kanun’un 10. maddesinde düzenlenen “aydınlatma yükümlülüğü” kavramı ile de ilişkilidir. Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekmektedir. Bilgilendirme, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir. Bilgilendirmenin mutlaka verinin işlemesinden önce yapılması gerekir. 

* Rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her tür fiil kişisel verilerin işlenmesi için verdiği rızayı da sakatlayacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir. Dolayısıyla bu gibi durumlarda özgür bir irade açıklamasından bahsedilemez. Öte yandan tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediği önem arz etmektedir.  Özellikle işçi-işveren ilişkilerinde iş ilişkisinden kaynaklı olarak işçinin özgür  iradesinin söz konusu olmadığı  her zaman iddia edilebilecektir. 

Yukarıda Kişisel Verilerin Korunması Kanununa ilişkin genel bir bilgilendirme yaparak kişisel veri, veri işleme, açık rıza ve istisnaları konularını özetlemeye çalıştık. KVKK’nu ilgilendiren diğer konular için lütfen yazılarımızı takip ediniz. Büromuzda KVKK konusunda danışmanlık hizmeti verilmektedir. Her türlü soru ve sorularınız için bizimle iletişime geçebilirsiniz. 

Makaleyi İndir (PDF)