HukukKVKK/GDPR

KVKK Süreci ile Gerçek ve Tüzel Kişileri Neler Bekliyor?

6698 sayılı Kişisel Verilerin Korunması Kanunu ile birlikte artık gerçek ve tüzel kişilere verilerin işlenmesi, elde edilmesi, kullanılması, düzenlenmesi ve aktarılması konularında bir dizi sorumluluklar belirlendi. Kanunun amacı, kişisel verilerin işlenmesi açısından kişilerin temel hak ve özgürlükleri ile özel hayatın gizliliğini korumaya yöneliktir.

Kişisel Veriler Nasıl İşlenmeli?

Öncelikle KVKK’na baktığımızda sorumluluğun sadece tüzel kişileri değil gerçek kişileri de kapsadığı görülmektedir. Bu nedenle kişisel verileri toplayan gerçek ve tüzel kişiler bu kanun kapsamında sorumlu tutulmuştur. KVKK’nun 4. maddesinde ise usul ve esaslar belirlenmiştir. Buna göre kişisel veriler;

  • Hukuk ve dürüstlük kurallarına uygun,
  • Doğru ve güncel,
  • Belirli açık ve meşru amaçlara uygun,
  • İşlendikleri amaç ile bağlantılı, sınırlı ve ölçülü ve gerekli, aynı zamanda amaç için yeterli olan süre ile sınırlı

olmak üzere muhafaza edilebilirler. Burada iki noktaya dikkat çekmek istiyorum. Birincisi, kişisel veriler açık rıza olmadan işlenemez. Diğer önemli nokta ise, veri sorumlularının hukuki yükümlülükleri yerine getirmesi zorunludur. Kanundan da açıkça görüleceği üzere ihtiyari bir durumdan söz etmiyoruz.

Bir hakkın kullanılması, yerine getirilmesi veya korunması için veri işleminin zorunlu olması gerekir. Örneğin bir internet girişimi için kullanıcı adı, e-posta adresi ve iletişim bilgilerinin alınması gerekli ve zorunlu ise o zaman veri sorumlusu, KVKK hükümlerini gözeterek kişilerden bu bilgileri talep edebilir. Unutmamak gerek ki, kişisel veriler toplanırken temel hak ve özgürlüklere zarar verilmemelidir. Verilerin kullanılması da “meşru amaçlar” için gereklidir.  Kişisel verilerin işlenmesi konusunda açık rıza alınması kanunun oldukça önemsediği bir husustur. Bu nedenle kişisel veri elde eden Veri Sorumluları olabildiğince açık rıza alınması hususuna dikkat etmelidir.

Kişisel veriler toplanırken ırk, etnik köken, medeni durum, siyasi düşüncesi, dini, mezhebi, kılık kıyafeti, dernek, vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, güvenlik tedbirleri ile ilgili verileri ve biyometrik  ve genetik verileri özel kişisel veri hükmündedir. Bunlardan sağlık ve cinsel hayat dışındaki kişisel veriler kanunda öngörülen hallerde ilginin açık rızası alınmadan işlenebilir. Özel kişisel verilerin işlenmesi konusunda Kurul tarafından belirlenen yeterli önlemlerin de alınması şarttır.

Kişisel Verilerin Silinmesi veya Anonimleştirme

Kişisel verilerin işlenmesine sebep olan hallerin ortadan kalkması halinde re’sen veya başvuru sahibinin talebi üzerine bu kişisel veriler yok edilir ve tamamen anonim hale getirilir. Başvuru sahibi başvuru formunu doldurarak veri sorumlusuna kişisel verilerinin silinmesini talep edebilir. Veri sorumlusu bu talebi 30 gün içerisinde yerine getirmek zorundadır. Anonimleştirme işlemi ise, ilgili kişisel bilginin belirli bir kişiye ait olduğunun saptanamayacak şekilde belirli kurallar içerisinde anonim hale getirilmesidir. Örneğin yaş verisi tutuluyorsa tüm kullanıcıların yaşlarına +5 eklenerek kullanıcı bilgisi anonim hale getirilebilir. Anonimleştirme yöntemlerini ayrı bir makalede değerlendireceğim.

Kişisel Verilerin Aktarılması

Kişisel Verilerin Korunması Kanunu’nun 8. maddesini genel olarak yorumladığımızda kişisel verilerin aktarılmasının ilgilinin açık rızasına tabi olduğunu görüyoruz. Ancak istisna hallerde yani kanunun 5/2 ve 6/3 maddesi şartları söz konusu ise açık rıza alınmasına gerek yoktur.

Kişisel veriler yurt dışına aktarılacak ise yabancı ülkede yeterli korumanın bulunması, eğer bulunmuyorsa yabancı ülke veri sorumlularının korumayı  yazılı olarak taahhüt etmesi ve kurul tarafından izin alınması gerekir. Bu durumda açık rızaya gerek yoktur. Yeterli korumanın bulunduğu ülkeler Kişisel Verileri Koruma Kurulu tarafından açıklanır.

Veri Sorumlusunun Yükümlülükleri

Burada kanunun en önemli noktasına değineceğiz. Kanunda belirtildiği üzere kişisel verileri işlenen herkes veri sorumlusuna başvurabilir. Buradan da görüleceği üzere herhangi bir iş için kişisel verileri toplayan gerçek veya tüzel kişiler veri sorumlusu atamak zorundadır. Başvuru sahibi, kişisel verilerinin hangi amaçla işlendiğini sorabilir, düzeltilmesini isteyebilir veya tamamen kaldırılmasını, silinmesini talep edebilir.

Veri Sorumlusu, kişisel verilerin hukuka aykırı bir şekilde işlenmesini önlemekle yükümlüdür. Bunun yanı sıra bu verileri muhafaza etmesi gerekir. İşlenen veriler amacı dışında kullanılamaz ve başka kişilerle paylaşılamaz. Veri ihlali söz konusu ise Veri Sorumlusu hem ilgililere hem de Kurul’a bildirim yapmak zorundadır.

Başvuru Süreci ve VERBİS

Veri sorumlusuna başvuru yazılı bir şekilde yapılır. Başvuru sahibinin talebi 30 gün içerisinde ücretsiz bir şekilde yerine getirilir. Ücret gerektiren bir hal söz konusu ise Kurul tarafından belirlenen tarife uygulanır. İlgilinin talebi reddedilebilir veya kabul edilebilir. Bu durum yazılı bir şekilde ya da elektronik ortamda başvuru sahibine bildirilir. İlgili internet sitesinde veya harici olarak yazılı bir başvuru formu gereklidir. Burada başvuru sahibi talebinin hangi şekillerde  (SMS, E-Posta, Telefon, Adrese Gönderim) cevaplanmasını istiyorsa, bunu başvuru formunda seçebilir.

Başvuru sahibinin talebinin reddedilmesi veya hiçbir suretle cevap verilmemesi halinde; cevapsız bırakıldığı veya cevabın verildiği /öğrenildiği tarihinden itibaren 30 gün içinde, herhalde 60 gün içerisinde Kurula şikayet yoluna gidilebilir.

Kişisel Verileri Koruma Kanunu, kişisel veri barındıran tüm gerçek veya tüzel kişileri kapsaması dışında 50 ve üzeri çalışanı olan veya yıllık cirosu 25 milyon TL ve üzerinde olan gerçek ve tüzel kişiler açısından 31.12.2019 tarihine kadar VERBİS’e kayıt yükümlülüğü getirmiştir. Bu yükümlülüğü ihlal edenler ile KVKK 18. madde kapsamında farklı başlıklar altında belirtilen konularda yükümlülüklerini yerine getirmeyenler hakkında  5.000 TL ile 1 Milyon Türk Lirasını bulan idari para cezaları öngörülmüştür. Ayrıca yaşanabilecek veri ihlaline göre TCK’daki cezai müeyyideler de söz konusu olabilir.

KVKK Kapsamında Kabahatler

Kişisel Verilerin Korunması Kanunun 18. maddesinde yükümlülüklerini yerine getirmeyenlere yönelik idari para cezaları öngörülmüştür;

(1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

Abdulkadir Gündüz
Yaklaşık 8 yıla yakın bir süre Python, PHP, JS gibi farklı yazılım teknolojilerinde küçük, orta ve büyük ölçekte yazılım geliştirme süreçleri içerisinde Yazılım Geliştirici olarak yer aldım. FB Business, E-Posta Pazarlama, Google Ads gibi farklı dijital pazarlama çalışmaları gerçekleştirdim. Uludağ Üniversitesi Hukuk Fakültesi'nden mezun oldum ve halen Avukatlık yapıyorum. HukukveTeknoloji.com'u kurarak teknoloji hukuku alanında daha iyi hukukçular yetiştirme amacına katkı sağlamak istiyorum.

    İlgini Çekebilir

    Yanıtla

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

    Daha Fazla Hukuk