YAZARLARIMIZ
Mehmet Emre Diken
SGK Müfettişi
emrediken85@hotmail.com



Kişisel Verilerin Korunması Hakkında Bilinmesi Gereken Hususlar

Kişisel Veri, Kişisel Verilerin İşlenmesi Kavramları Nelerdir

Bilindiği üzere kişisel verilerin işlenmesi ve buna ilişkin işlemler 07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişsel Verilerin Korunması Kanunu uyarınca yürütülmektedir. 6698 sayılı Kanun uyarınca kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Kişisel verilerin işlenmesi ise, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlanmıştır.

Kişisel Verilerin İşlenmensinde Uyulması Gerekli  İlkeleri Nelerdir

Mezkur Kanunda kişisel verilerin ancak 6698 sayılı Kanunda belirtildiği şekilde işlenebileceğini belirtmiş ve kişisel verilerin işlenmesinde;

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,

 ilkelerine uyulmasının zorunlu olduğu belirtilmiştir.

Kişisel Verilerin İşlenmesinde Genel Kural ile  Açık Rızanın Aranmasına Gerek Olmayan Durumlar

Kanun kişisel verileri işlemenebilemesi için kural olarak ilgili kişinin açık rızasını aramaktadır. Ancak Kanunda bazı durumlarda ilgili kişinin rızası aranmaksızın da kişisel verilerin işlenebileceğini belirtmektedir. Söz konusu haller;

  • Kişisel verilerin işlenmesinin Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikte Olan Kişisel Veriler Nelerdir, Nasıl İşlenebilir

Kanun özel nitelikli kişisel veri nitelendirmesinde bulunmuş ve özel nitelikteki kişisel verilerin işlenmesini daha katı kurallara bağlamıştır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Kanun koyucu tarafından özel nitelikli kişisel veri olarak belirtilmiştir. Kanun özel nitelikli kişisel verilerin işlenmesini diğer kanunlarda açıkça öngörülmesi hariç yukarıda bahsedilen özel durumlarda dahi ilgililerin rızası olmaksızın işlenemeyeceğini belirtmiştir. Sağlık ve cinsel hayata ilişkin kişisel verilerin ise kamu sağlılığı ile ilgili bir kanuni düzenleme hariç ilgilinin açık rızası olmaksızın hiçbir şekilde işlenemeyeceğini belirtmiştir.

Kişisel Veriler Ne Zaman Silinir, Yok Edilir

Kanuna göre kişisel verilerin işlenmesini gerektiren durumun ortadan kalkması durumunda kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi ve anonim hale getirilmesi gerekmektedir.

Kişisel Verilerin Aktarılmasında Uygulanacak Esas Ve Usuller Nelerdir

Kişisel verilerin işlenmesindeki temel kural olan ilgilinin açık rızası kişisel verilerin aktırılmasında da geçerliliğini korumaktadır. Kişsel verilerin işlenmesinideki rıza gerektirmeyen durumlara atıf yapılarak kişisel verilerin aktarılmasında da ilginin rızası aranmayacağı hüküm altına alınmıştır. Kişisel verilerin aktarılmasında kanun koyucu yurtdışına aktarmayı ayrı bir madde ile düzenlemiştir. Kişisel verilerin yurtdışına aktarılmasında ayrıca aktarılacak ülkede veri güvenliği ile ilgili yeterli korumanın bulunması gerektiği, bu ülkelerin ilan edileceği ve yeterli koruma bulunmayan ülkelerdeki veri sorumluların yazılı taahhüt vermesi gerektiği belirtilmiştir. Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kişisel Verileri Koruma Kurumu izniyle yurt dışına aktarılabilir.

Veri Kayıt Sistemi ve Veri Sorumlusu Zorunluluğu

Kanun kişisel verilerin işlenmesine yönelik bir veri kayıt sistemi kurulmasını ve kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan bir veri sorumlusunun belirlenmesini emretmektedir. Kurum tarafında veri sorumlarının hangi süreye kadar sicile kaydolmaları ayrıca ilan edilecektir.

Veri Sorumlusunun Yükümlülükleri Nelerdir

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi,  ilgilinin diğer hakları konusunda bilgi vermekle yükümlüdür.

Kanun uyarınca veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.  Ayrıca veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu bulunmaktadır. Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.  İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmesi gerekmektedir.

Kişisel Verisi İşlenen Kişilerin Hakları Nelerdir

Kanun uyarınca kişisel verileri işlen ilgili kişi veri sorumlusuna başvurarak; Kişisel veri işlenip işlenmediğini öğrenme, işisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini ve 3. kişilere bildirilmesini isteme,  işilenme şartları ortadan kalktığında kişisel verilerin silinmesini veya yok edilmesini ve 3. kişilere isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Kişisel Verisi İşlen Kişilerin Veri Sorumlusuna Başvurusu ve Şikayet Hakkı

Kişisel verisi işlenen ilgili kişi, Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veri sorumlusuna iletme hakkına sahip bulunmaktadır. Veri sorumlusu ise başvuruda yer alan talepleri, talebin en geç otuz gün içinde sonuçlandırmakla yükümlüdür. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir.  Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde veri sorumlusuna başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunma hakkına sahip bulunmaktadır. Diğer taraftan kişisel verisi işlenen ilgili kişi doğrudan kurula şikayette bulunulamaktadır.  Bunun dışında kişilik hakları ihlal edilenler genel hükümlere göre tazminat hakkına da sahip bulunmaktadırlar.

Şikayet üzerine Kurul, gerekli incelemeyi yapar. Veri sorumlusu, devlet sırrı niteliğindeki belgeler hariç, Kurulun inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. Kurul şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır. Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder.ve karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. Ayrıca Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

Veri İşleyenlerin Veri Siciline Kaydolma Yükümlülüğü

Kanun kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda olduğunu belirtmektedir. Kişsel Verileri Koruma Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. Kurum, Veri Sorumluları Siciline kayıt zorunluluğu bulunan veri sorumlularını objektif kriterlere göre istisna tutma hakkına sahip bulunmaktadır. Kişisel verileri işleyen veri Sorumluları veri işlemeye başlamadan önce aşağıdaki bilgileri içeren bir bildirim yapılır.

  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin alınan tedbirler.

Kanuna Aykırı İşlemlerin Türk Ceza Kanunu Bakımdan Değerlendirilmesi

Kanuna aykırı olarak kişisel verilerin işlenmesi durumunda Türk Ceza Kanununun 135-140. Madde hükümlerinin uygulanacağı belirtilmiştir.  Türk Ceza Kanunun 135. maddesinde; hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verileceği, kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artıralacağı hüküm altına alınmıştır.

Aynı Kanun 136. maddesinde kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalacağı, söz konusu şuçların, kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde verilecek cezanın yarı oranında artırılacağı belirtilmiştir. Yine Kanunun 138. maddesinde, sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verileceği,  kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.

Kanun Kapsamında Uygulanacak İdari Para Cezaları

6698 Kişsel Verilerin Korunması Hakkında Kanun idari paraa cezalarının veri sorumlusu ve tüzel kişilik hakkında uygulanacağı belirtilmektedir. Söz kanun uyarınca;

  • Aydınlatma yükümlülüğü  yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası

Kanun Uygulama Alanı Dışındaki İstisnalar

6698 sayılı Kanun hükümlerinin aşağıdaki hâllerde uygulanmayacağı belirtilmiştir.

  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,
  • Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz
  1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

6698 sayılı Kişisel Verilerin Korunmasu Kanunun Yürülük Tarihi

Kanun 07.04.2016 tarihinde yürürlüğe girmekle beraber aşağıdaki maddeleri İSE 08.10.2016 tarihinde yürürlüğe girmiştir.

  • Kişisel Verilerin Aktarılması Başlıklı 8. Maddesi
  • Kişisel Verilerin Yurtdışına Aktarılaması Başlıklı 9. Maddesi
  • Kişisel Verileri İşlenen Kişilşerin Hakları Başlıklı 11. Maddesi
  • Veri Sorumlusuna Başvuru Başlıklı 13. Maddesi
  • Kurula Şikayet Başlıklı 14. Maddesi
  • Şikayet Usul ve Esasları Başlıklı 15. Maddesi
  • Veri Sorumları Sicili Başlılklı 16. Maddesi
  • Suçlar Başlıklı 17. Maddesi
  • Kabahatler Başlıklı 18. Maddesi

04.12.2017

Kaynak: www.MuhasebeTR.com

GÜNDEM