KVKK VE UYGULAMA SÜRECİ

23-07-2019

KİŞİSEL VERİLERİN KORUNMASI KANUNU VE UYGULAMA SÜRECİ

Kişisel verilerin işlenmesi ve korunması tartışmasız olarak bir insan hakkı olarak değerlendirilmektedir.

Ulusal ve uluslararası alanda kişisel verilerin işlenmesi, aktarılması ve imhası alanında gerekli düzenlemeler kapsamında ülkemizde Avrupa Birliği uyum sürecinde bu alanda önemli bir adım atarak 07.04.2016 tarihi ile Resmi Gazete de Kişisel Verileri Koruma Kanunu yayınlanmıştır.[1] Kişisel Verileri Koruma Kurumu kişisel verilerle veri sahibinin haklarının ihlal edildiği iddiası ile yapılan şikayetleri karara bağlamakla ve Kişisel verilerin sınırsız ve gelişigüzel toplanmasının önüne geçilmesi ile yükümlüdür.[2]

KVKK uyarınca kişisel veri bulunduran gerçek ya da tüzel kişi veri sorumlusu; verileri hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlar için işleme, işlendikleri amaçla bağlantılı, ölçülü, öngörülen amaç için gerekli süre ile sınırlı muhafaza etme ilkelerine uygun olarak tutmalıdır.

Kişisel Verilerin İşlenmesi Kural Olarak Açık Rızanın Varlığına Bağlıdır.

Kişisel verilerin işlenmesi ancak kişinin açık rızası ile mümkündür. Ancak kanunda sayılı istisnalara yer verilmiştir;

  1. Kanunlarda açıkça öngörülmesi.
  2. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  6. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Verinin Varlığı

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ÖZEL NİTELİKLİ KİŞİSEL VERİDİR. Bu verilerin kişinin Açık rızası olmadan işlenmesi yasaktır.

Sağlık ve cinsel hayata ilişkin veriler ise; ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 

İşlenen Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi

Kişisel verilerin silinmesi, imha edilmesi veya anonim hale getirilmesi işleniş sebebinin ortadan kalkması ve kanunen yükümlü olunan sürenin sona ermesi ile söz konusu olmaktadır.

28.10.2017 Tarihinde KVKK’ nın uygulanabilirliği açısından Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik yayınlanmıştır. Bu yönetmelik gereği bir veri işleme ve imha yöntemleri politikası veri sorumlularından beklenmektedir.

Veri sorumluları verilere erişimi yetkili kişilerce sınırlandırmalı ve sistemin zaaflarını geç olmadan bilişim sistemlerini kullanarak tespit etmelidir.

Kişisel Verilerin Aktarılması

Kanunun 8.maddesi ile kişisel veriler kural olarak kişinin açık rızası ile aktarılabilmektedir. Ancak;

Md 5/2 uyarınca;

Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b)Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d)İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e)Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Md. 6/3 uyarınca; yeterli önlemlerin alınması ve kanunda sayılı şartlardan birinin gerçekleşmiş olması halinde ancak açık rıza olmadan kişisel veriler aktarılabilecektir.

Kişisel Verilerin Yurtdışına Aktarılması

Kişisel verilerin ülke içi aktarımı şartlarının yanı sıra aktarım yapılacak ülkede kişisel verilere yönelik yeterli korumanın bulunması ve yeterli korumanın bulunmaması halinde kurumun izni ile yazılı olarak korumaya taahhüt etmeleri halinde mümkündür. Yeterli korumanın olduğu ülkeler kurum tarafından ilan edilememiş ancak yeterli koruma şartını sağlayan ülkelerin belirlenmesinde esas alınacak kriterlerin belirlenmesine dayalı bir form yayınlanmıştır.

Aydınlatma Yükümlülüğü Ve İlgilinin Hakları

Veri sorumlusu md.11 kapsamında aydınlatma yükümlülüğü altındadır. Aydınlatma yükümlülüğünün yerine getirilmediği durumda veri sahibi gerekli yasal haklarını kullanma yolunu seçecektir.

(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

 ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

Kanunun saydığı bu bilgiler ışığında işlenen ve aktarılacak olan verinin niteliği belirlenmeli ve o şekilde bir aydınlatma metin hazırlanmalıdır. Aydınlatma yükümlülüğü kapsamında veri sahibine kanun veri sorumlusuna hangi verilerini ne amaçla kullandığını, süresini ve nasıl imha edeceği noktasında bilgi sahibi olabileceği bir başvuru imkanı tanımıştır.

Aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlusuna md.18 kapsamında 5.000 TL den 100.000 TL ye kadar idari para cezası verilebilecektir.

Veri Sorumlusunun Yükümlülükleri

Md 12 kapsamında; veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin korunmasını sağlamak amacıyla riskleri belirlemeli, her türlü teknik ve idari tedbirleri almak ve gerekli denetimleri yapmak zorundadır.

  1. kişilerce verilerin temin edilmesi halinde veri sorumlusu bu durumu en kısa sürede kuruma ve veri sahibine bildirmelidir.

Veri Sahibinin Veri Sorumlusuna Başvurusu

10.03.2018 tarihli Resmi Gazetede yayınlanan Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ ile bu başvuru usulü ve süresi belirlenmiştir.

Veri sorumlusu başvuruyu tebliğden itibaren en geç 30 gün içinde sonuçlandırmalıdır.

Başvurunun veri sorumlusu tarafından reddedilmesi, başvuruya hiç cevap verilmemesi veya cevabın yetersiz kalması halinde 30 gün herhalde 60 gün içinde Kişisel Verileri Koruma Kuruluna veri sahipleri şikayette bulunabilirler.

Veri sorumlusu kurulun yerinde inceleme talebini karşılamalı veya talep etmiş olduğu eksik evrakların gönderimini 15 gün içinde tamamlamalıdır. Şikayet tarihinden itibaren 60 gün içinde cevap verilmezse talep reddedilmiş sayılır.

Kurulun tespit etmiş olduğu hukuka aykırılık hallerinde tebliğ ile 30 gün içinde aykırılık veri sorumlusunca giderilmelidir.

Kurul kararlarının yerine getirilmemesi halinde md 18/1 kapsamında veri sorumlusu 25.000-1.000.00 TL ye kadar idari para cezası ödemek durumunda kalacaktır.

Kurul yaygın olarak hukuka aykırılık taşıyan ihlalleri ilke kararı olarak yayınlamakta ve gerektiği halde veri sorumlularına karşı tedbir kararı verebilmektedir.

Veri Sorumluları Siciline Kayıt Zorunluluğu 

KVKK kapsamında veri işleyen veri sorumluları kurum tarafından kurulmuş olan Veri sorumluları Siciline mevzuatta belirtilen tarihe kadar başvuruda bulunması gereken bilgilerin paylaşılması ile kayıt olmak zorundadır.

30.12.2017 tarihli Veri Sorumluları Sicili Hakkında Yönetmelik ile sürece dair ayrıntılı bilgilendirme yapılmıştır.

 Sicile kayıt istisnaları sayılıdır;

 

  • Kişisel veri işlemenin suç işlemenin suç işlenmesinin önlenmesi veya soruşturması için gerekli olması
  • Veri sahibi tarafından bilginin alenileştirilmiş olması
  • Kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturma için gerekli olması
  • Bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması

Kanunda sayılı durumlarda veri sorumlusunun sicile kayıt zorunluluğu bulunmamaktadır.

Kurul uygulamada istisnalara ilişkin kararlar alabilmektedir. Örneğin kurul ilke kararı edinerek 2018/75 sayılı kararında arabulucuların sicile kayıtlarını zorunluluk kapsamına almamıştır.

Sicile Kayıt Yükümlülüğünün Başlama Tarihleri” ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/88 Sayılı Kararı ile veri sorumlularının sicile zorunluluk tarihlerine kişi sayısı ve bilanço üzerinden yer verilmiştir.

-Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

– Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

– Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne,

– Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne karar verilmiştir.

Kurul kurumlara sicile kayıt yaptırmaları için süreler öngörmüş, kayıt yaptırmayan kurumlara 20.000TL den 1.000.00 TL ye kadar idari para cezası verileceğine yer verilmiştir.

Kanunun Uygulama Alanında İstisnalar

KVKK 28. Maddesi ile kanunun uygulanmayacağı alanlar belirtilmiştir Şöyle ki;

  1. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
  2. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  4. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  5. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

TCK Kapsamında Kişisel Verilerin Korunması

KVKK 7. Maddesine aykırı olarak kişisel verileri silmeyen veya anonim hale getirmeyenler hakkında TCK 138 Md.  Kapsamında işlem yapılacaktır.

 (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

 (2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

Kişisel Verileri Koruma Kanununun doğrultusunda idari ve teknik tedbirlerin tamamlanması beklenmektedir. Şirketlerin bu yönde danışmanlık alması ve veri güvenliği ve gizlilik politikası oluşturulması elzemdir. Ağır yaptırımlar öngören kanun için şirketlerden beklenen VERBİS için veri haritasının çıkarılması, verilerini işledikleri personelleri ve müşterileri için aydınlatma metni hazırlamalıdır. Kişisel veri güvenliğinin bilişim yönünden güncel takibi gereklidir.

Av. ÖZLEM YILDIZ

ÖZCAN HUKUK BÜROSU

 

[1]http://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf (E.T: 20.07.2019)

[2] https://kvkk.gov.tr/ (E.T: 20.07.2019)

 

Özcan Hukuk Bürosu – Av. Muzaffer ÖZCAN