• 444 4 208
  • info@yatirimymm.com

SORU ve CEVAPLARLA KİŞİSEL VERİLERİ KORUMA UYGULAMASI

SORU ve CEVAPLARLA KİŞİSEL VERİLERİ KORUMA UYGULAMASI

YATIRIM
Yeminli Mali Müşavirlik&Bağımsız Denetim
Sirküleri[1]-2019/30

 

1) Kişisel Verilerin Korunmasına Neden İhtiyaç Duyulmuştur?

Gerek kamu, gerekse özel kurum ve kuruluşlar, bir görevin yerine getirilmesi veya bir hizmetin sunumuna ilişkin olarak kişisel veri niteliğindeki bilgileri uzun süredir toplamaktadırlar. Bu durum, bazen kanunlardan kaynaklanmakta bazen kişilerin rızasına veya bir sözleşmeye dayanmakta bazen de yapılan işlemin niteliği gereği ortaya çıkmaktadır.

Sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin toplanması kaçınılmaz olmakla birlikte;

Kişisel verilerin;

1)      Sınırsız ve gelişigüzel toplanmasının,

2)      Yetkisiz kişilerin erişimine açılmasının,

3)      İfşası, amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin

önüne geçilmesi gerekir.

Avrupa Konseyi tarafından tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme”17 Mart 2016 tarih ve 29656 sayılı Resmî Gazetede yayımlanarak iç hukukumuza dâhil edilmiştir.

Anayasa Mahkemesinin 9 Nisan 2014 tarih ve E:2013/122, K:2014/74 sayılı kararında;

“Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı […]”

amaçladığı tespit edilerek,

Kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler

sebebiyle kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya muhtaç olduğu ifade edilmiştir.

2) Kişisel Verilerin Korunması Hakkının Dayanağı Nedir?

2010 yılında yapılan Anayasa değişikliği ile Anayasanın özel hayatın gizliliğini düzenleyen 20. Maddesine

“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.

Kişisel veriler, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”

şeklinde bir fıkra eklenmiş ve kişisel verilerin korunması açık bir şekilde anayasal güvence altına alınmıştır.

2.1) Bu Hak Sınırsız Bir Hak mıdır?

Tüm hak ve özgürlüklerde olduğu gibi kişisel verilerin korunmasına ilişkin hak da Anayasada çizilen sınırlar çerçevesinde diğer hak ve özgürlükler “kanun yoluyla olmak” şartıyla lehine sınırlandırılabilir.

3) Kişisel Verilerin Korunması Kanunu Ne Zaman Yürürlüğe Girmiştir?

6698 sayılı Kişisel Verilerin Korunması Kanunu 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.

4) Kişisel Verilerin Korunması Kanununun Amacı Nedir?

Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmıştır.

5) Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır?

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen

a)       Gerçek kişiler ile

b)      Tüzel kişiler

hakkında uygulanır.

5.1) Devlet veya Özel Sektör Ayırımı Yapılmış mıdır?

Kanunun uygulanmasında özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir.

Kanunda verisi işlenen gerçek kişilerden bahsedildiği için “hak ehliyetine sahip olan herkes” Kanun kapsamındadır.

6) Kanun Kapsamına Dahil Olmayan Kişiler Var mıdır?

Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur.

Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Ancak, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.

7) Her Türlü Veri İşleme Faaliyeti İçin Bu Kanun Hükümleri Uygulanacak mı?

Kanunun 28. maddesinde, bazı hallerde Kanun hükümlerinin uygulanmayacağı belirtilmektedir.

Kanun kapsamına girmeyen haller, 28. maddede tamamen veya kısmen kapsam dışı olan haller olmak üzere iki kısma ayrılmıştır.

Tam istisna halinde Kanun hükümleri hiçbir şekilde uygulanmamakta iken, kısmi istisna hallerinde, Kanunun sadece bazı hükümleri (aydınlatma yükümlülüğü, ilgili kişinin hakları ve veri sorumluları siciline kayıt) uygulanmamaktadır.

8) Kanun Kapsamındaki Tam İstisna Halleri Nelerdir?

Aşağıda belirtilen durumlarda Kişisel Verileri Koruma Kanunu hükümleri uygulanmayacaktır;

1)      Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,

2)      Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

3)      Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

4)      Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,

5)      Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

9) Kanun Kapsamındaki Kısmi İstisna Halleri Nelerdir?

Kural olarak aşağıda belirtilen haller yalnızca belirli Kanun hükümlerinden istisna tutulmakta olup, bunun dışında kalan Kanun hükümlerine ise tabidirler.

Kanunun amacına ve temel ilkelerine uygun ve orantılı olma şartıyla Kanunda veri sorumlusunun aydınlatma yükümlülüğünün düzenlendiği 10. madde, zararın giderilmesini talep etme hakkı hariç olmak üzere ilgili kişinin haklarının düzenlendiği 11. madde ve Veri Sorumluları Siciline kayıt yükümlülüğünün düzenlendiği 16. madde hükümleri, belirtilen faaliyet alanları ile sınırlı olmak üzere uygulanmamaktadır.

Bu kapsamda, Kanunun amacına ve temel ilkelerine uygun ve orantılı olma şartı ile bazı hükümlerden muaf tutulan haller şunlardır;

a)       Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

b)      İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

c)       Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

d)      Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

10) Kişisel Verilerin Korunması Ne Demektir?

Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması yoluyla temel hak ve özgürlüklerin korunmasıdır.

Kişisel verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır.

Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder.

Bu anlamda kişisel verilerin korunmasının;

a)       Kişilere ilişkin verilerin toplanması,

b)      Saklanması,

c)       Kullanılması ve

d)      Aktarılması gibi

veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir.

11) Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.

Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.

Buna göre;

1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.

2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.

3. Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.

Kanunda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım yoluna gidilmediğinden, kapsamının genişletilmesi mümkündür. Önemli olan verinin kişi ile ilişkilendiriliyor olması ya da onu tanımlayabilmesidir.

Örneğin;

Takma isimler tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir.

Ayrıca, sıkça kullanılan kimliği belirli veya belirlenebilir gerçek kişiyle ilişkili müşteri şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları gibi raporlar, ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları gibi kayıtlar, özgeçmiş, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri gibi belgeler ve mektup, davet yazıları gibi yazılar/kayıtlar içinde yer alan veriler de kişisel veri olarak addedilebilir.

Ancak yine de bunların kişisel veri olup olmadığı her somut olayın özelliğine göre “kişiyi tanımlayabilme” kabiliyeti dikkate alınarak değerlendirilmelidir.

12) Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir?

Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir.

13) Özel Nitelikli Kişisel Veriler Nelerdir?

Özel nitelikli kişisel veriler kişilerin;

1)      Irkı,

2)      Etnik kökeni,

3)      Siyasi düşüncesi,

4)      Felsefi inancı,

5)      Dini,

6)      Mezhebi veya diğer inançları,

7)      Kılık ve kıyafeti,

8)      Dernek, vakıf ya da sendika üyeliği,

9)      Sağlığı,

10)  Cinsel hayatı,

11)  Ceza mahkûmiyeti ve

12)  Güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.

14) Kişisel Sağlık Verisi Nedir?

Kişisel sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgilerdir.

Örneğin;

Her türlü tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar gibi veriler kişisel sağlık verileridir. Kişisel sağlık verisi özel nitelikli kişisel veridir. Dolayısıyla Kanunda düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir.

15) İlgili Kişi Kimdir?

İlgili kişi, kişisel verisi işlenen gerçek kişiyi ifade eder.

16) Kişisel Verilerin İşlenmesi Ne Demektir?

Kişisel verilerin işlenmesi kişisel verilerin;

a)       Tamamen veya kısmen otomatik olan ya da

b)      Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla

1)      Elde edilmesi,

2)      Kaydedilmesi

3)      Depolanması,

4)      Muhafaza edilmesi,

5)      Değiştirilmesi,

6)      Yeniden düzenlenmesi,

7)      Açıklanması,

8)      Aktarılması,

9)      Devralınması,

10)   Elde edilebilir hâle getirilmesi,

11)   Sınıflandırılması ya da kullanılmasının engellenmesi gibi

veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Örneğin;

Kişisel verilerin sadece bir hard diskte, CD’de, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir.

Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.

17) Kişisel Verilerin Otomatik Yollarla İşlenmesi Ne Demektir?

Tamamen veya kısmen otomatik olan işleme; insan müdahalesi ya da yardımı konusundaki ihtiyacın asgari seviyeye indirilerek verilerin kaydı, bu verilere mantıksal veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya aktarılması gibi işlemlerin otomatik veya kısmen otomatik yöntemlerle gerçekleştirilmesi olarak tanımlanabilir.

18) Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi Ne Demektir?

Bir veri kayıt sistemine bağlı olarak otomatik olmayan yollarla işleme; manuel olarak hazırlanan ancak erişimi ve anlamlandırmayı kolaylaştıran işleme faaliyetini ifade eder.

19) Veri Kayıt Sistemi Nedir?

Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir.

Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi elektronik ya da fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, örneğin kredi borcunu ödemeyenlere ilişkin oluşturulacak bir sınıflandırma da bu kapsamda değerlendirilmektedir.

Örneğin;

Herhangi bir kritere bağlı olmaksızın gelişigüzel bir şekilde sadece kişilerin ad ve soyadlarının bir kâğıtta yer alması hali, Kanun kapsamına girmemekle birlikte, söz konusu isimlerin belirli bir kritere göre bir kağıda kaydedilmesi halinde, bu veri kaydı Kanun kapsamında değerlendirilmektedir.

20) Açık Rıza Nedir?

Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır.

Açık rızanın üç unsuru bulunmaktadır:

1.       Belirli bir konuya ilişkin olması:

Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir.

Buna göre genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz bir rıza tek başına Kanun bağlamında açık rıza olarak kabul edilemez.

Diğer bir ifade ile battaniye rızalar hukuken geçersizdir.

2.       Rızanın bilgilendirmeye dayanması:

Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesi gerekir.

Bu kapsamda, kişiye yapılacak bilgilendirme, mutlaka verinin işlenmesinden önce yapılmalı ve veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir. Bilgilendirme yapılırken elde edilecek kişisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmelidir.

Kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır.

3.       Özgür iradeyle açıklanması:

Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır.

Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde kişinin özgür biçimde karar vermesi mümkün değildir.

Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.

Örneğin;

Bir hizmetten yararlanılmasının üyelik şartına bağlandığı yerlerde, üye olmak isteyen ilgili kişinin parmak izinin alınması ve işlenmesinin üyelik sözleşmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır.

Çünkü bu şekilde alınan açık rıza özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilkesine aykırı olacaktır.

21) Açık Rıza Herhangi Bir Şekil Şartına Tabi midir?

Açık rıza beyanı herhangi bir şekil şartına tabi değildir.

22) Açık Rıza Geri Alınabilir mi?

Açık rıza geri alınabilir. Çünkü bu kişiye sıkı sıkıya bağlı bir haktır. Ayrıca kişisel verilerin geleceğini belirleme hakkı ilgili kişiye aittir.

23) Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Veri sorumlusunun tespiti için kişisel verilerin işlenmesi ve işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle saklanacağı, ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi hususlara kimin karar verdiği dikkate alınır.

23.1) Tüzel Kişiler Veri Sorumlusu Olabilir mi?

Veri sorumlusu, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.

Burada belirtilmesi gereken diğer bir husus ise, eğer veri işleme faaliyeti bir tüzel kişilik tarafından gerçekleştiriliyorsa, burada veri sorumlusu tüzel kişinin kendisidir.

Tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler Kanunun uygulanması bakımından veri sorumlusu sayılmazlar.

23.2)Tüzel Kişilerde Veri Sorumlusu Yükümlülüğü Kimler Üzerinde Tecelli Eder?

Veri sorumlusunun tüzel kişi olması halinde, veri sorumlusu yükümlülüğü ilgili tüzel kişilik üzerinde doğacaktır. Bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir.

Tüzel kişiliği temsil ve ilzama yetkili olan organ veya kişiler tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler.

Bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmaz ve ilgili gerçek kişilerin de veri sorumlusu olarak tanımlanmasını sağlamaz.

Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından da Kanunda bir farklılık gözetilmemiştir.

24) Veri İşleyen Kimdir?

Veri işleyen, veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir.

25) Herhangi Bir Gerçek veya Tüzel Kişi Aynı Zamanda Hem Veri sorumlusu Hem de Veri İşleyen Olabilir mi?

Veri sorumlusu ve veri işleyen sıfatı, veri işleme faaliyetinin niteliğine göre ilgili tarafı tanımlamaktadır.

Dolayısıyla, herhangi bir gerçek veya tüzel kişi yürüttüğü farklı faaliyetleri nedeniyle aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir.

Örneğin;

Bir bulut bilişim hizmeti sunan şirket kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir.

26) Kanunda Sayılan Veri İşlenmesine İlişkin Yükümlülüklerin Yerine Getirilmesi Bakımından Esas Sorumlu Kimdir?

Kanunda, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusu esas alınmaktadır.

Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir.

Buna göre; veri işleyenin veri sorumlusunun talimatlarını yerine getirir.

27) Kişisel Verilerin İşlenmesinde Genel (Temel) İlkeler Nelerdir?

Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır. Kişisel verilerin işlenmesinde genel ilkeler şunlardır:

4.       Hukuka ve dürüstlük kurallarına uygun olma,

5.       Doğru ve gerektiğinde güncel olma,

6.       Belirli, açık ve meşru amaçlar için işlenme,

7.       İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

8.       İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

28) Kişisel Verilerin İşlenme Şartları Nelerdir?

Kanunun 5. maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Özel nitelikli kişisel verilerin işlenme şartları ise Kanunun 6. maddesinde farklı esaslara bağlanmıştır.

Bu çerçevede, özel nitelikli olmayan kişisel verilerin hangi hallerde hukuka uygun olarak işlenebileceği Kanundaki esaslara göre aşağıdaki şekilde düzenlenmiş olup, bu şartlardan sadece bir tanesinin bulunması özel nitelikli olmayan kişisel verilerin işlenmesi için yeterli hukuki şartı oluşturacaktır:

a)      İlgili kişinin açık rızasının varlığı,

b)      Kanunlarda açıkça öngörülmesi,

c)       Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

d)      Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

e)      Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, 6. İlgili kişinin kendisi tarafından alenileştirilmiş olması,

f)        Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

g)      İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

29) Kişisel Verilerin Aleni Olması Ne Demektir?

Herhangi bir şekilde ilgili kişi tarafından kamuoyuna açıklanmış olan bir başka ifadeyle ilgili kişinin kendisi tarafından alenileştirilen kişisel verileri alenileştirme amacına uygun bir şekilde açık rıza aranmaksızın işlenebilecektir.

Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.

30) Veri Sorumlusunun Meşru Menfaatini Tespit Etmek İçin Göz Önünde Bulundurulması Gereken Hususlar Nelerdir?

Veri sorumlusunun meşru menfaat şartına dayanması durumunda bu şartın varlığını tespit etmek için aşağıda sıralanan hususların değerlendirilmesi gerekir:

a)      Menfaatin veri sorumlusuna ait olması:

Kanunda varlığı aranması gereken meşru menfaatin veri sorumlusuna ait olması gerektiği düzenlenmiştir. Veri sorumlusu dışında üçüncü bir kişinin meşru menfaati bu veri işleme şartının kapsamı dışında kalmaktadır.

b)      Menfaatin meşruluğu:

Veri işleme şartının varlığından bahsedebilmek için veri sorumlusunun menfaatinin mevcut olması değil, söz konusu menfaatin meşru olması da gerekmektedir.

Menfaatin ileride doğma ihtimali üzerine ilgili kişinin kişisel verilerinin elde edilmesi mümkün değildir. Madde kapsamında kabul edilen meşru menfaat kavramı, hali hazırda mevcut olan bir menfaati ifade etmektedir.

c)       Veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında dengenin varlığı:

Veri sorumlusunun meşru menfaatinin varlığı, ilgili kişinin temel hak ve özgürlüklerine zarar vermemelidir.

Bu durumun tespiti için iki aşamalı bir denge testi uygulanmalıdır. Bu kapsamda yapılacak olan ilk değerlendirmede veri sorumlusunun meşru menfaatinin olup olmadığı belirlenir.

İkinci değerlendirmede kişisel verisi işlenecek olan ilgili kişinin temel hak ve özgürlüklerinin neler olduğu tespit edilir ve belirtilen hak ve menfaatler değerlendirilerek hangisinin üstün geldiğine karar verilir.

31) Kişisel Verilerin Silinmesi Nedir?

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

32) Kişisel Verilerin Yok Edilmesi Nedir?

Yok etme, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

33) Kişisel Verilerin Anonim Hale Getirilmesi Nedir?

Anonim hale getirme kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

34) Anonim Veri ve Anonim Hale Getirilmiş Veri Arasındaki Fark Nedir?

Anonim veri başından beri belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade ederken, anonim hale getirilmiş veri daha öncesinde bir kişiyle ilişkilendirilmiş ancak artık bağlantısı kalmamış veridir.

35) Kişisel Veriler Hangi Şartlarda Silinmeli, Yok Edilmeli veya Anonim Hale Getirilmelidir?

Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

36) Kişisel Verilerin Yurtiçinde Aktarılması Kanunda Nasıl Düzenlenmiştir?

Kanunda, kişisel verilerin ilgilinin açık rızası olmak şartıyla üçüncü kişilere aktarılabileceği öngörülmektedir.

Bununla birlikte, Kanunun 5. ve 6. maddesindeki şartların sağlanması halinde yeterli önlemler alınarak kişisel verilerin açık rıza aranmaksızın yurtiçinde aktarılmasına da imkan tanınmıştır.

Bu kapsamda;

a)      Kişisel veriler açısından Kanunun 5. maddesinin 2. fıkrasında sayılan işleme şartlarından en az birinin bulunması,

b)      Özel nitelikli kişisel veriler açısından ise yeterli önlemler alınmak kaydıyla Kanunun 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin bulunması halinde

ilgili kişinin açık rızası aranmaksızın kişisel verilerinin aktarılması mümkündür.

37) Yabancı Ülkede Yeterli Koruma Bulunup Bulunmadığının Belirlenmesinde ve Yeterli Korumanın Bulunmaması Halinde Verilerin Yurtdışına Aktarılmasına İzin Verirken Kurul Hangi Kriterleri Dikkate Alacaktır?

Kişisel verilerin yurtdışına aktarılmasında yeterli korumanın bulunup bulunmadığına, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri kaydıyla kişisel verilerin yurtdışına aktarılmasına Kurul;

1)      Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

2)      Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

3)      Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

4)      Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

5)      Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri değerlendirmek ve ihtiyaç duyması hâlinde ilgili kurum ve kuruluşların görüşünü de dikkate almak suretiyle

karar verir.

38) Veri Sorumlusunun Aydınlatma Yükümlülüğünün Kapsamı Nedir?

Veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11. maddesinde sayılan diğer hakları konusunda ilgili kişiyi bilgilendirmekle yükümlüdür.

Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin onayına tabi değildir. Kişisel veri işleme faaliyeti kapsamında kişisel verinin elde edilmesi sırasında veri sorumlusu tarafından ilgili kişilerin aydınlatılması gerekmektedir.

Bununla birlikte aydınlatma yükümlülüğü yerine getirilirken ilgili kişiye verilecek bilgiler, eğer Veri Sorumluları Siciline kayıt yükümlülüğü varsa, Veri Sorumluları Siciline açıklanan bilgilerle uyumlu olmalıdır. Kayıt yükümlüğü yoksa Kanunun 10. ve 11. maddeleri kapsamında aydınlatma yükümlülüğü yerine getirilmelidir.

Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olmadığı ve faaliyetin Kanundaki başka şartlar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ve yetkilendirdiği kişinin ilgili kişiyi aydınlatma yükümlülüğü devam etmektedir.

39) Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Şekil Şartı Var mıdır?

Aydınlatma yükümlülüğünün yerine getirilmesi konusunda bir şekil şartı bulunmamaktadır. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir.

Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir.

40) Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri Nelerdir?

Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Ayrıca, veri sorumlusu, kurum ve kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır.

Veri sorumluları öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri görevden ayrılmalarından sonra da devam eder.

Öte yandan veri sorumluları için düzenlenen sır saklama yükümlülüğü, veri işleyenler için de getirilmiştir.

Veri sorumlusunun bir diğer yükümlülüğü ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde veri sorumlusunun bu durumu Kurula bildirme yükümlülüğüdür.

Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan eder.

41) Kişisel Verilerin Veri Sorumlusu Adına Başka Bir Gerçek veya Tüzel Kişi Tarafından İşlenmesi Durumunda Veri Güvenliğine İlişkin Olarak Veri Sorumlusunun Sorumluluğu Nasıl Düzenlenmiştir?

Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi durumunda, veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesinin, verilere hukuka aykırı olarak erişilmesinin önlemesini ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır.

42) Kişisel Verilerin Korunması Kapsamındaki Başvurular Kime Yapılır?

Kanunun 13. maddesinde, ilgili kişinin Kanunun uygulanması ile ilgili taleplerine ilişkin veri sorumlusuna başvuru yolu düzenlenmiştir.

Buna göre, ilgili kişilerin Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur.

43) Veri Sorumlusuna Başvuru Yolu İçin Herhangi Bir Şart Bulunmakta mıdır?

Kanunda ilgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya da uygulamada oluşacak ihtiyaca göre Kurulun belirlediği diğer yöntemlerle iletebilmelerine imkân sağlanmıştır.

44) Veri Sorumlusuna Başvuru İçin Herhangi Bir Ücret Öngörülmüş müdür?

Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.

Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Buna göre, ilgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar başvuru ücreti alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası başvuru ücreti alınabilir.

Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.

45) Veri Sorumlusu İlgili Kişinin Talebini Hangi Süre İçinde Yerine Getirir?

Veri sorumlusunun ilgili kişinin talebini, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabı ilgili kişiye bildirmesi gerekir.

Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder. Başvuruda yer alan talebin kabul edilmesi hâlinde, veri sorumlusunca gereği yerine getirilir.

46) Veri Sorumlusu Cevabını İlgili Kişiye Nasıl Bildirir?

Veri sorumlusu cevabını ilgili kişiye yazılı veya elektronik ortamda bildirir.

47) Kişisel Verileri Koruma Kuruluna Şikâyet Hangi Süre İçinde Yapılmalıdır?

İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde veri sorumlusuna başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

48) Kurula Şikâyet Yoluna Gitmenin Bir Ön Şartı Var mıdır?

Kişisel verilerin korunması ile ilgili taleplerde öncelikle veri sorumlusuna başvuru yapılması zorunlu olup, bu yol tüketilmeden şikâyet yoluna gidilemez.

49) İlgili Kişinin Tazminat Davası Açma Hakkı Var mıdır?

Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakları vardır. Bu kapsamda, ilgili kişiler yargı yoluna gidebilirler.

50) Kurula Şikâyet Yoluna Gidilirken Aynı Zamanda Yargı Yoluna Gidilebilir mi?

Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, aynı zamanda veri sorumlusuna karşı doğrudan yargı yoluna gidebilmesi mümkündür.

51) Kurulun Resen İnceleme Yetkisi Var mıdır?

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi yapabilir. Bu inceleme şikâyete ya da resen öğrenilen şikâyet konusuna münhasırdır.

52) Kurula Şikâyet İçin Herhangi Bir Şart Öngörülmüş müdür?

İhbar ve şikayetlerin, işleme konulabilmesi için 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesinde belirtilen hükümlere uygun olarak Kuruma sunulması gerekmektedir.

Bu şartları taşımayan ihbar ve şikâyetler incelemeye alınmaz.

İlgili kişilerin haklarını kullanma konusunda veri sorumlusuna başvuru yapmadan şikâyette bulunmaları mümkün değildir.

Bu nedenle Kurula şikâyette bulunmanın ön şartlarından birisi de veri sorumlusuna başvuru yapmak olarak kabul edilmektedir.

53) Veri sorumlusunun Hangi Süre İçerisinde Kurula Cevap Vermesi Gerekir?

Veri sorumlusu talep edilen bilgi ve belgeleri Kurula 15 gün içinde göndermek zorundadır.

54) Kurul Hangi Süre İçinde İlgili Kişiye Cevap Vermelidir?

Kurulun, 60 günlük süre içinde ilgili kişiye bir cevap vermesi öngörülmüştür. Kanunda Kurulun, şikâyet üzerine yapacağı inceleme sonunda şikâyet tarihinden itibaren 60 gün içinde ilgiliye bir cevap verilmezse söz konusu talebin reddedilmiş sayılacağı hükme bağlanmıştır.

55) Kurulun Veri İşlenmesini Durdurma Yetkisi Var mıdır?

Kanunda telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, Kurula veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verme yetkisi tanınmıştır.

56) Veri Sorumluları Sicili Nedir?

Veri Sorumluları Sicili, veri sorumlularının kaydedildiği, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir.

57) Veri Sorumluları Siciline Kayıt Ne Zaman Başlar?

Kanunun Geçici 1. maddesinde, Kanunun yürürlüğe girmesi akabinde veri sorumlularınca yerine getirilecek hususlar belirlenmiştir. Anılan maddenin 2. fıkrasında, “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır.

Söz konusu süre 31.12.2019 tarihine kadar uzatılmıştır.

Diğer taraftan; Veri Sorumluları Siciline kayıt yükümlülüğü olan veri sorumluları, kişisel veri işleme faaliyetine başlamadan önce Sicile kayıt olmak zorundadır.

58) Veri Sorumluları Siciline Kimler Kayıt Olmalıdır?

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

Ancak işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.

Ayrıca Kanunun 28. maddede kapsamındaki hallerde de veri sorumlularının sicile kayıt yükümlülüğü bulunmamaktadır.

59) Türkiye’de Yerleşik Olmayan Veri Sorumluları, Sicile Nasıl Kayıt Yaptırır?

Türkiye’de yerleşik olmayan veri sorumluları, kişisel veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Veri Sorumluları Siciline kaydolmak zorundadır.

60) Veri Sorumluları Siciline Bildirim Hangi Unsurları İçerir?

Kanunun 28 inci maddesinde sayılan hallere ilave olarak, işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurul tarafından belirlenecek objektif kriterler göz önüne alınmak suretiyle, Sicile kayıt zorunluluğuna Kurul tarafından istisna getirilebilir.

Sicile kayıt başvurusu bir bildirimle yapılır ve bu bildirim şu hususları içerir:

1)      Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,

2)      Kişisel verilerin hangi amaçla işleneceği,

3)      Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

4)      Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

5)      Yabancı ülkelere aktarımı öngörülen kişisel veriler,

6)      Kişisel veri güvenliğine ilişkin alınan tedbirler,

7)      Kişisel verilerin işlendikleri amaç için gerekli olan azami süre

61) Veri Sorumluları Sicilinin Kamuya Açık Olması Ne Demektir?

6698 Sayılı Kanunun 16.maddesinde Veri Sorumluları Sicilinin kamuya açık olarak tutulması öngörülmüştür.

Buna göre; VERBİS’e veri sorumlularınca girilen bilgiler kurum internet sayfası olan www.kvkk.gov.tr adresi üzerinden paylaşılır.

Sicil kamuya açık olarak tutulmakla birlikte Kişisel Verileri Koruma Kurumunun da çeşitli teknik ve idari tedbirleri alması gerektiğinden, ilgili kişilerce çeşitli doğrulama yöntemleri kullanılmak suretiyle söz konusu bilgilere erişim sağlanabilir.

62) Kişisel Verilerin Koruması Kanununda Hangi Konulara İlişkin İdari Yaptırımlar Öngörülmüştür?

Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine (md. 135-140) atıf yapılmak suretiyle düzenlenmiştir.

Kişisel verileri yok etmeyenlerin ise Türk Ceza Kanununun 138.maddesine göre cezalandırılacağı hüküm altına alınmıştır.

Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir.

Bu kapsamda;

a)      Aydınlatma ve veri güvenliğini sağlama,

b)      Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek

idari para cezası yaptırımına bağlanmıştır.

İdari yaptırımlara Kurul tarafından karar verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açıktır.

63) Kanunun Yayımından Önce İşlenmiş Kişisel Veriler İçin Bir Geçiş Süresi Var mıdır?

Kanunun Geçici 1. maddesinin 3. fıkrasında, hâlihazırda işlenmiş kişisel verilerin durumu düzenlenmiştir.

Buna göre, Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, Kanunun yayımı tarihinden itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilmesi gerekmektedir.

Bu süreç içerisinde, Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhâl silinir, yok edilir veya anonim hâle getirilir.

Kaynak: Kişisel Verileri Koruma Kurumu web sitesi

 

[1] Sirkülerimizle vermiş olduğumuz bilgiler belli bir konu(lar) veya haber(ler)in detaylı açıklaması olmayıp, genel çerçevede bilgi ve fikir vermek amaçlıdır. Bu sebeple; muhasebe, vergi, yatırım, danışmanlık alanlarında veya diğer türlü profesyonel bağlamda önerileri kapsamamaktadır. Daha detaylı ek bilgiye ihtiyaç duyduğunuzda; konusuna hakim profesyonel bir danışmanlık olan YATIRIM Yeminli Mali Müşavirlik & Bağımsız Denetim ile irtibata geçiniz.

Yorumlar

Makaleler

Tüm Hakları Saklıdır. © 2020