KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA BİLİNMESİ GEREKENLER

KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA BİLİNMESİ GEREKENLER

1. KİŞİSEL VERİ

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanununda  kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır.

Her türlü bilgi deyimi ile aslında sadece bireyin kesin teşhisini sağlayan ad, soyad, doğum tarihi, doğum yeri gibi bilgiler değil; aynı zamanda bireyin belirlenebilir kılınmasını sağlayan fiziki, ailevi, ekonomik, sosyal ve buna benzer özelliklere ilişkin bilgiler de kastedilmektedir.

Kanunda, kişisel veriler sınırlı sayma yoluyla belirlenmediğinden, her somut olayın özelliğine

göre kişisel verinin kapsamının genişletilmesi de mümkündür.

Bu kapsamda, gerçek bir kişinin motorlu taşıt plakası, mülakat sonuçları, kullandığı elektronik cihazların IP adresleri, ses ve görüntü kayıtları, konum bilgisi, adli sicil kaydı, kredi kartı ekstreleri, sosyal medya beğenileri, parmak izleri vb. bilgiler de kişisel veri olarak tanımlanabilmektedir.

ÖRNEKLER: 

Bir video gözetim sistemi tarafından yakalanan bireylerin görüntüleri bireylerin tanınabilir olması halinde kişisel veri kapsamında sayılabilir.

 Telefon bankacılığı sisteminde, müşterinin bankaya talimat verdiği ses kaydı kişisel veri olarak kabul edilebilir.

 Bir velayet davasında ailesine ilişkin çocuğa yaptırılan çizim, çocuğun ailesine karşı duygularını göstereceği için kişisel veri kapsamındadır. Diğer yandan, bu çizim aracılığıyla anne ve babanın aile içindeki davranışları da anlaşılabiliyorsa, çizim aynı zamanda anne ve babanın da kişisel verisi sayılır. Kanuna göre bir bilginin kişisel veri sayılması için öncelikle bir gerçek kişiye ait olması gerekmekte olup tüzel kişilere ilişkin veriler kişisel verinin tanımı dışında tutulmaktadır.

 Bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (gerçek bir kişiyle ilişkilendirileceği durumlar hariç) kişisel veri sayılmamaktadır. Kişisel veri olabilmesi için bilginin, kimliği belirli  ya da belirlenebilir gerçek bir kişiye ilişkin olması gerekmektedir. Belirli olma ifadesi, verinin bir gerçek kişinin doğrudan kimliğini gösterebileceği durumlar; belirlenebilir olma ifadesi ise herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlıyor olması anlamına gelmektedir.

Ad ve soyad tek başına kişisel veridir ve bir gerçek kişiyi belirleyebilir. Ancak ad ve soyad her zaman bir gerçek kişiyi belirlemek için yeterli olmayabilir, bazı durumlarda bir gerçek kişiyi tespit edebilmesi için ad ve soyadı ile birlikte başka bilgilere de gerek duyulabilir.

Yaygın olarak kullanılan ad ve soyadı kombinasyonları bakımından ad ve soyad tek başına bir kişiyi belirli kılmayabilir ama bir gerçek kişiyi belirlenebilir kılma özelliğinden dolayı her zaman kişisel veridir. Ad soyad, bazen tek olması halinde doğrudan ilgili kişiyi belirler bazen de birden çok olması halinde dolaylı olarak ilgili kişiyi belirler. Bu durum, ad ve soyadı kişisel veri olmaktan çıkarmaz. Benzer şekilde, bazı durumlarda ise ad ve soyadı belirtilmeden dahi bir kişinin belirlenmesi mümkün olabilmektedir.

 “A Kurumunun B biriminde çalışan, X marka ve kırmızı renkte araca sahip olan, orta yaşta ve kısa boylu bir erkek” ifadesi, bu tanıma uyan tekbir kişi olması durumunda bu kişiyi belirlenebilir kılması nedeniyle kişisel veri sayılır.

 Takma isimler, lakaplar tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayacak nitelikte ise bu tarz veriler kişisel veri olarak kabul edilir.

Ancak, yine de bilginin ait olduğu gerçek kişinin belirlenebilirliğinin tespitinde, her somut olay özelinde, verinin kişiyi tanımlayabilme kabiliyeti dikkate alınarak değerlendirme yapılmalıdır

2. GENEL (TEMEL) İLKELER

Kişisel verilerin işlenmesinde uyulması gereken genel ilkeler, Kanunun 4. maddesinde belirtilmiştir. Bu ilkeler;

• Hukuka ve dürüstlük kurallarına uygun olma

• Doğru ve gerektiğinde güncel olma

• Belirli, açık ve meşru amaçlar için işlenme

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sıralanmıştır.

3. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel verilerin hukuka uygun olarak işlenebilmesi için Kanunun 5. maddesinde sayılan veri işleme şartlarından en az birinin mevcut olması gerekmektedir. Bu şartlar:

 a) İLGİLİ KİŞİNİN AÇIK RIZASI

İlgili kişinin açık rızası; belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve özgürce verilmiş olmalıdır.

NOT: Açık rızanın alınmış olması kişisel verilerin Kanun’un 4. maddesinde sıralanan genel ilkelere aykırı işlenebileceği anlamına gelmemektedir.

 b) KANUNLARDA AÇIKÇA ÖNGÖRÜLMESİ

Kişisel veri işlenmesi ile ilgili olarak herhangi bir kanunda açık bir hüküm varsa bu açık hükme istinaden kişisel verilerin işlenmesi mümkündür.

ÖRNEK: 

İş Kanunu gereğince çalışana ait özlük bilgilerinin tutulması.

 Bankacılık Kanunu m. 42 uyarınca bankalar nezdinde tutulan müşteri bilgilerinin işlenmesi

 6698 sayılı Kanunun 16.maddesinde düzenlenen Veri Sorumluları Siciline kayıt yükümlülüğü kapsamında veri sorumlularının VERBİS’e bilgi girişi yapması.

Gelir Vergisi Kanununun 70. Maddesi gereği, gayrimenkulünü kiraya verenlerin, vermek

zorunda olduğu yıllık beyanname kapsamında kendisine ait kişisel verilerin Maliye Bakanlığının ilgili birimlerince işlenmesi.

 c) FİİLİ İMKÂNSIZLIK NEDENİYLE RIZASINI AÇIKLAYAMAYACAK DURUMDA BULUNAN VEYA RIZASINA HUKUKİ GEÇERLİLİK TANINMAYAN KİŞİNİN KENDİSİNİN YA DA BİR BAŞKASININ HAYATI VEYA BEDEN BÜTÜNLÜĞÜNÜN KORUNMASI İÇİN ZORUNLU OLMASI

Kişisel verisi işlenecek kişinin herhangi bir fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olması veya rızasına hukuki geçerlilik tanınmayan kişinin kendisi veya başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması

halinde kişisel verilerin işlenmesi mümkündür.

ÖRNEK: 

Bilinci yerinde olmayan bir kişinin beden bütünlüğünün korunması amacıyla tıbbi müdahale yapılması gereken durumlarda; yakınlarına haber vermek, yetkili sağlık kurumları tarafından tutulan kayıtlar üzerinden hasta geçmişini öğrenerek gerekli müdahaleyi yapmak gibi amaçlarla kişinin adı, soyadı, kimlik numarası, telefon numarası vb. Kişisel verilerinin işlenmesi bu kapsamdadır.

 Hürriyeti kısıtlanan bir kişinin kurtarılması amacıyla, kendisinin ya da şüphelinin cep telefonu sinyali, kredi kartı kullanım ve işlem hareketleri, araç takip sistemi bilgileri, MOBESE kayıtları vb. Kişisel verilerinin ilgili birimlerce işlenerek yer tespitinin yapılması.

Dağda mahsur kalan bir kişinin kurtarılması  amacıyla, cep telefonu sinyali, GPS ve mobil trafik verisinin işlenerek yerinin belirlenmesi.

 d) BİR SÖZLEŞMENİN KURULMASI VEYA İFASIYLA DOĞRUDAN DOĞRUYA İLGİLİ OLMASI KAYDIYLA, SÖZLEŞMENİN TARAFLARINA AİT KİŞİSEL VERİLERİN İŞLENMESİNİN GEREKLİ OLMASI

Bu veri işleme şartına dayanarak kişisel veri işlenebilmesi için işlemenin gerçekten bu amaca

hizmet ediyor olması ve bu amaçla sınırlı olarak gerçekleştiriliyor olması gereklidir.

Ayrıca, işlenen kişisel verilerin sadece sözleşmenin taraflarına ait olması ve sözleşme çerçevesiyle sınırlı olmak kaydıyla kişisel veri işlenmesinin gerektiği de

unutulmamalıdır.

ÖRNEK: 

Bir emlakçının, kira sözleşmesi ile ilgili olarak ev sahibi ve kiracı arasında imzalanan sözleşme kapsamında tarafların kimlik numarası, banka hesap numarası, adres, imza ve telefon gibi kişisel verilerini işlemesi, dosyasında muhafaza etmesi.

Bir satıcının müşterisine sattığı bir malı teslim etmek amacıyla müşterisinin adresini taşıma şirketine vermesi.

 Bir bankanın, maaş müşterisi ile imzaladığı sözleşme kapsamında müşterinin kimlik numarası, elektronik posta, adres, imza, cep telefon numarası gibi kişisel verilerini işlemesi ve dosyasında muhafaza etmesi.

 e) VERİ SORUMLUSUNUN HUKUKİ YÜKÜMLÜLÜĞÜNÜ YERİNE GETİREBİLMESİ  İÇİN ZORUNLU OLMASI

Bu veri işleme şartının uygulanabilmesi için kişisel veri işleme, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için gerekli ve bu amaçla sınırlı olarak gerçekleştiriliyor olmalıdır.

ÖRNEK:

 Taşıma işiyle yükümlü bulunan bir kargo firması tarafından, kişiye teslimat yapılabilmesi için, alıcının adres ve iletişim bilgilerinin kaydedilmesi.

 Bir şirketin çalışanına maaş ödeyebilmesi için banka hesap bilgilerini işlemesi.

Seminer organizasyonu yapılan bir hizmet binasında, gerek katılımcıların gerekse de binanın güvenliğini sağlamak amacıyla katılımcıların kimlik numarası, imza, telefon numarası gibi kişisel  verilerinin işlenmesi.

 f) İLGİLİ KİŞİNİN KENDİSİ TARAFINDAN ALENİLEŞTİRİLMİŞ OLMASI

Alenileştirilmiş, diğer bir ifadeyle herhangi bir şekilde kamuoyuna açıklanmış kişisel veriler ilgili kişinin alenileştirme amacıyla bağlantılı olmak koşuluyla işlenebilir. Diğer bir ifadeyle bu durumda, alenileştirme iradesine bağlı olarak kişisel veri işlenmesi mümkündür.

Alenileştirmede irade beyanı esastır. Bu nedenle, kişinin kendisi tarafından alenileştirilmiş olması, alenileştirme iradesi dışındaki herhangi bir amaç için bu kişisel verinin kullanılabileceği ve işlenebileceği anlamına gelmeyecektir.

ÖRNEK: 

Bir kamu kurumunda çalışan personelin ad, soyad ve iş telefonu bilgilerinin vatandaşların kolay erişimini sağlamak amacıyla kurumun internet sitesinde paylaşılması durumunda, bu telefon numaraları, kamu kurumunun yetki alanındaki iş ve işlemlerde kullanılabilecektir.

İkinci el araç satışı yapılan internet sitesinde aracını satmak isteyen ilgili kişinin iletişim

bilgilerinin, araç alım satımı dışında pazarlama amacıyla kullanılması, bu veri işleme şartı kapsamında değerlendirilmemektedir.

Bir avukatın kartvizitini verdiği kişi, sadece hukuki konularda danışma gibi bir amaçla kartvizitte yer alan GSM numarası kullanabilir. Ancak söz konusu GSM numarasına reklam ve kampanya içerikli SMS gönderilmesi veya arama yapılması avukatın irade beyanına aykırıdır.

 g) BİR HAKKIN TESİSİ, KULLANILMASI VEYA KORUNMASI İÇİN VERİ İŞLEMENİN ZORUNLU OLMASI

Veri sorumlularınca ilgili kişilere bir hakkın tesis edilmesi, kullandırılması veya ilgili kişilerin

haklarının korunması için gerekli olması halinde kişisel veri işlenebilecektir.

ÖRNEK:

 Bir şirketin kendi çalışanı tarafından açılan bir davada, ispat için bazı verileri kullanması bu kapsamda değerlendirilir.

Mahkeme tarafından veli/vasi olarak atanmış bir kişinin, kendisine veli/vasi olarak atanan kişi adına ilgili kamu kurumlarına başvuru yapması için onun verilerini işlemesi.

 Bir avukatın, müvekkili ile imzaladığı sözleşme kapsamında, mahkeme nezdinde müvekkili adına dava açma, onu temsil etme veya diğer adli işlemlerini yapma gibi haklarını kullanabilmesine imkan sağlaması için kişisel verileri işlemesi.

 h) İLGİLİ KİŞİNİN TEMEL HAK VE ÖZGÜRLÜKLERİNE ZARAR VERMEMEK

KAYDIYLA, VERİ SORUMLUSUNUN MEŞRU MENFAATLERİ İÇİN VERİ İŞLENMESİNİN ZORUNLU OLMASI

Bu hükmün uygulanabilmesi için; veri işlemenin veri sorumlusunun meşru menfaati için zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi gerekmektedir.

ÖRNEK: 

Bir işletmenin satılması, devralınması gibi bir durumun varlığı halinde, şirketi satın alacak kişinin personelin kişisel verilerinin dâhil olduğu birtakım bilgileri incelemesi meşru menfaat kapsamında değerlendirilebilir.

Bir işverenin, nükleer santraldeki çalışanların güvenliğini sağlamaya yönelik iş güvenliği mekanizmalarının kurulması amacıyla çalışanların kişisel verilerini işlemesi. 

4. ÖZEL NİTELİKLİ KİŞİSEL VERİ (HASSAS VERİ )

Kişisel verilerin daha sıkı tedbirlerle korunmasını gerektiren bir kategori olan özel nitelikli (hassas) kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olmasına, ayrımcılığa maruz kalmasına ya da şeref ve onurunun zedelenmesine neden olabilecek nitelikteki verilerdir. Bu nedenle, hangi kişisel verilerin özel nitelikli veriler olduğu ve özel nitelikli kişisel verilerin işlenme şartları Kanunda ayrıca düzenlemiştir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak sayılmıştır

5. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Kanunun 7. maddesine göre kişisel veriler hukuka uygun şekilde işlenmiş olsalar dahi, işlenmeyi gerektiren sebepler ortadan kalktığında veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmeli, yok edilmeli veya anonim hale getirilmelidir.

ÖRNEK: 

Bir alışveriş merkezinde yapılan çekiliş için toplanan ad, soyad, telefon numarası gibi bilgiler, alışveriş merkezi tarafından başka kampanyalar için kullanılmamalı, çekilişin tamamlanmasının ardından silinmelidir.

NOT: Kanunun 7. maddesinin 3. fıkrasının verdiği yetkiye dayanarak Kişisel Verileri Koruma Kurulunca hazırlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği” 28.10.2017 tarihli Resmi Gazete’de yayımlanarak 01.01.2018 tarihinde yürürlüğe girmiştir.

NOT: Kanunun 22. maddesinin (1) numaralı fıkrasının (g) bendi gereği Kişisel Verileri Koruma Kurulunca, veri sorumlularına silme, yok etme veya anonim hale getirme konusunda rehberlik etmek ve  iyi uygulama örneklerini göstermek amacıyla “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi” hazırlanmış olup anılan rehbere, Kurumun internet sitesinden ulaşılabilir.

 a) KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar (veri sorumlusu veya veri işleyen

nezdinde verileri teknik olarak depolama, koruma ve yedeklemeden sorumlu olanlar hariç herkes) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

ÖRNEK: 

Çalışanlarına ait özlük verilerini sunucuda tutmakta olan bir şirket, çalışanlardan birinin işten ayrılması durumunda, bu verinin bulunduğu sunucuyu tamamen yok edemeyeceği için veriye silme işlemi uygular. Bu veri, bazı teknikler uygulanmak suretiyle veri tabanı yöneticisi tarafından geri getirilebilecek durumda olmakla birlikte insan kaynakları veya diğer birimdekiler tarafından hiçbir şekilde erişilemez hale gelmiş olacaktır.

Bir şirkette, bir pozisyon için başvurular alınmış ve tüm başvurularda yer alan kişisel veriler, adayların kimlik numarasına göre kağıt ortamında listeye aktarılmış, başvuru evrakları da muhafaza edilmek üzere ilgili dosyada arşive kaldırılmıştır. Şirkette değerlendirmeler devam ederken başvuru sahiplerinden birisinin başvurudan vazgeçmiş olması halinde bu kişiye ait işleme şartı ortadan kalktığı için bu verilerin silinmesi yok edilmesi veya anonim hale getirilmesi gerekliliği ortaya çıkmıştır. Bu durumda, başvuru evrakının yok edilmesi mümkündür. Bununla birlikte, tüm başvuruları içeren bir liste hazırlanmışsa, bu listedeki diğer kişilere ait işleme şartlarının devam etmesi nedeniyle bu listenin yok edilmesi doğru olmayacağından sadece başvurudan vazgeçmiş olan kişiye ait verilere, ilgili listede karartma işlemi yapılabilecektir.

 b) KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

ÖRNEK: 

Bir sempozyum kapsamında organizasyon firması tarafından sempozyuma katılım sağlayacak kişilere ait kişisel veriler taşınabilir bellekte veya  CD’de tutulmaktadır. Sempozyumun tamamlanması ve gerekli saklama süresinin sona ermesinden itibaren söz konusu verilerin yok edilmesi gerekir. Bu durumda, katılımcılara ait kişisel verilerin bulunduğu taşınabilir bellek veya CD kırılıp parçalanabilir, yakılabilir veya metal öğütücüden geçirilebilir.

 c) KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, bu verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilememesini ifade etmektedir.

ÖRNEK: 

Bir kamuoyu araştırma şirketi tarafından bir mahallede yapılan araştırmada ad, soyad, TC kimlik numarası, yaş, cinsiyet, ödeme tercihleri, kullanılan cep telefonu modeli, sahip olunan araç markası, kıyafet ve marka tercihleri gibi bilgiler sorulmuş ve araştırma sonucu da kamuoyu ile paylaşılmak istenmiştir. Buna göre; ad, soyad, TC kimlik numarası gibi doğrudan herhangi bir kişiyi belirli veya belirlenebilir kılabilecek olanların listeden çıkarılması, yıldızlanarak / bastırılarak görünmez hale getirilmesi, genelleştirilmesi, k-anonimlik, l-çeşitlilik, t-yakınlık gibi teknikler kullanılarak anonim hale getirilebilir.

NOT: Herkesin veri sorumlusuna başvurarak kendisiyle ilgili kişisel verilerin Kanunun 7. Maddesinde öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme hakkı bulunmaktadır. 

6. AYDINLATMA YÜKÜMLÜLÜĞÜ

Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişileri Kanunun 10. maddesine göre aşağıdaki konularda bilgilendirmekle yükümlüdür:

• Veri sorumlusunun ve varsa temsilcisinin kimliği,

• Kişisel verilerin hangi amaçla işleneceği,

• İşlenen kişisel verilerin kimlere ve hangi amaçla

aktarılabileceği,

• Kişisel veri toplamanın yöntemi ve hukuki sebebi,

• İlgili kişinin Kanunun 11. maddesinde sayılan diğer

hakları.

NOT: 10.03.2018 tarihli Resmi Gazete’de yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” ile veri sorumlularınca bu yükümlülük yerine getirilirken dikkat edilmesi gereken hususlar düzenlenmiştir. Aydınlatma yapılırken;

•Kişisel veri işleme amacı belirli, açık ve meşru olmalı,

•İlgili kişiye yapılacak bildirim anlaşılır ve sade olmalı,

•Kullanılan dil, bilginin hitap ettiği ilgili kişi kategorisi göz önüne alınarak belirlenmeli,

•Metinlerde muğlak ifadelerden ve teknik terimlerden kaçınılmalı,

•Metinlerde eksik, yanıltıcı veya yanlış bilgilere yer verilmemelidir.

Aydınlatma yükümlüğü kapsamında ilgili kişilerin yazılı veya sözlü şekilde bilgilendirilmeleri mümkün olabileceği gibi elektronik ortamda gönderilecek bir e-posta, ses kaydı veya çağrı merkezi aracılığıyla da bilgilendirilmeleri mümkündür.

NOT: Kişisel verilerin, ilgili kişinin açık rızası ile ya da Kanundaki diğer veri işleme şartlarına dayalı olarak işlenmesi hallerinde aydınlatma yükümlülüğünün yerine getirilmesi zorunludur.

NOT: Veri sorumlusu, ilgili kişinin talebini beklemeksizin aydınlatma yükümlülüğünü yerine

getirmelidir.

NOT: Veri sorumlusu, aydınlatma yükümlülüğünü yerine getirdiğini ispat etmekle yükümlüdür.

NOT: Kişisel Verileri Koruma Kurumunca, aydınlatma yükümlülüğünün yerine getirilmesi

hususunda veri sorumlularına rehberlik etmek ve iyi uygulama örneklerini göstermek amacıyla “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi” hazırlanarak Kurum internet sayfasında yayımlanmıştır. 

7. İLGİLİ KİŞİNİN HAKLARI

Kanunun 11. maddesine göre ilgili kişiler, her zaman veri sorumlusuna başvurarak kendisi ile ilgili;

• Kişisel verilerinin işlenip işlenmediğini öğrenme,

• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

• Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,

• Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

• Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

• Düzeltilme, silinme veya yok edilme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın

giderilmesini talep etme haklarına sahiptir.

NOT: Veri sorumlusunca talebe en kısa sürede ve en geç 30 gün içinde cevap verilmesi gerekmektedir. Ancak başvurunun reddedilmesi veya verilen cevabın yetersiz olması hallerinde 30 gün içinde, başvuruya süresinde cevap verilmemesi hallerinde ise başvuru

tarihinden itibaren 60 gün içinde ilgili kişiler Kurula şikâyet yoluna gidebilir.

NOT: İlgili kişiler, Kanunun 11. Maddesindeki taleplerine ilişkin olarak öncelikle veri sorumlularına başvurmalıdır. Bu yol tüketilmeden Kişisel Verileri Koruma Kuruluna şikâyet yoluna gidilmemelidir.

8. İSTİSNALAR

Kanunun 28. maddesi ile tamamen Kanunun kapsamı dışında kalan durumlar ve kısmen Kanunun kapsamı dışında kalan faaliyetler düzenlenmiştir.

a) KANUNUN TAMAMEN UYGULANMAYACAĞI HALLER

Kanunun 28. maddesinin 1. fıkrasında, Kanun hükümlerinin hangi durumlarda uygulanmayacağı, diğer bir ifade ile tamamen Kanunun kapsamı dışında tutulan hususlar düzenlenmektedir.

NOT: Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir. Dolayısıyla, her ne kadar çeşitli faaliyetler bazında Kanun’dan tam ve kısmi istisnalar sağlansa da, temel ilkelere uygun ve orantılı olmak kaydıyla kişisel veriler işlenmelidir. Buna göre aşağıda belirtilen durumlarda 6698 sayılı Kanun hükümleri uygulanmayacaktır;

1. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,

ÖRNEK: 

Bir annenin üçüncü kişilere vermemek ve veri güvenliğine ilişkin yükümlülüklere uymak kaydıyla, aynı konutta yaşadığı çocuğu veya eşinin fotoğraflarını cep telefonuyla çekmesi, kaydetmesi, kimlik bilgilerini rehbere işlemesi gibi durumlar Kanun kapsamı dışında kalmaktadır.

2. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

ÖRNEK: 

Yetkili kamu kurumu tarafından Resmi İstatistik Programı (RİP) kapsamında işlenmekte olan kişisel veriler Kanunun kapsamı dışındadır. Bununla birlikte, söz konusu kamu kurumunun resmi istatistik dışında işlemekte olduğu kişisel veriler bakımından ise 6698 sayılı Kanuna uyum yükümlülüğü devam etmektedir.

ÖRNEK: 

Bir veri sorumlusu tarafından; anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenen kişisel veriler de Kanunun kapsamı dışında kalmaktadır. Bununla birlikte, bu şekilde işlenen kişisel verilerin anonim hale getirilmiş olduğundan emin olunmalıdır.

3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

ÖRNEK: 

İfade özgürlüğü kapsamında işlenen kişisel veriler her ne kadar Kanun kapsamı dışında kalmış olsa da, ifade özgürlüğü ile kişisel verilerin korunması arasında bir tür denge testi yapılması önerilir. İfade özgürlüğü ile, bireyin kişisel verilerinin korunması hakkından yararlanması noktasında var olan beklenti ve talep arasında adil ve makul bir denge gözetilerek ifade özgürlüğü ile kişisel verilerin korunması hakkı arasında somut olay esas alınarak bir denge kurulmalıdır.

ÖRNEK: 

Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, halk tarafından bilinen bir sanatçının hayatının biyografi şekline getirilmesi durumu bu faaliyet alanı ile sınırlı olmak kaydıyla 6698 sayılı Kanunun kapsamı dışındadır.

 4. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler

kapsamında işlenmesi,

ÖRNEK: 

İstihbarat birimleri tarafından millî savunma, millî güvenlik, kamu güvenliği, kamu düzeni veya ekonomik güvenliği sağlamaya yönelik olarak işlenen veriler Kanunun kapsamı dışında kalmaktadır. Aynı şekilde, suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali suçların araştırılması konusunda yetkili birimlerce veri toplamak, mali istihbarat elde etmek, şüpheli işlem bildirimleri almak ve analiz ederek ilgili kurumlarla paylaşmak amacıyla yürütülen faaliyetler kapsamında işlenen veriler Kanunun kapsamı dışında kalmaktadır.

 5. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

ÖRNEK: 

Adli bir olayın kovuşturulması sırasında mahkemeler tarafından konuyla ilgili kişilerin verilerinin işlenmesi Kanunun kapsamı dışında kalmaktadır.

NOT: 6698 sayılı Kanunun 28. maddesinin (1) numaralı fıkrasında sayılan faaliyetler kapsamında işlenen kişisel veriler için Kanunun hükümleri uygulanmayacakken, bu faaliyetler dışında gerçekleşen veri işleme faaliyetleri bakımından

Kanuna uyum yükümlülüğü devam etmektedir.

 b) KANUNUN BAZI MADDELERİNİN UYGULANMAYACAĞI HALLER

Kanunun 28. maddesinin (2) numaralı fıkrasında, kısmen Kanunun kapsamı dışında kalan hususlar düzenlenmektedir. Buna göre, kural olarak bu fıkrada sayılan hallerde Kanuna uyum yükümlülüğü bulunmakla birlikte, yalnızca belirli hükümler bakımından yükümlülük bulunmamaktadır. Diğer bir ifade ile bu fıkra kapsamında; veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. Madde, zararın giderilmesini talep etme hakkı hariç olmak

üzere ilgili kişinin haklarını düzenleyen 11. Madde ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. madde hükümlerinin sayılan durumlarda uygulanmayacağı belirtilmiştir. Burada yalnızca belirli durumlarda ve belirli hususlara ilişkin istisna öngörülmüş olup bu hususlar dışında Kanunun getirdiği yükümlülüklere uyumlu olma

şartı her zaman aranacaktır. Bu kapsamda, Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak şartı ile Kanunun 10, 11 ve 16. maddelerinden muaf tutulan durumlar şunlardır;

 1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

ÖRNEK: 

Otomobili ile yolculuk etmekte olan bir aile, yol üzerinde güvenlik güçleri tarafından durdurulmuştur. Suç soruşturması kapsamında, ailenin kimlik kontrollerinin yapılmasının gerekli olması bakımından, güvenlik güçlerinin ilgili kişileri aydınlatma, ilgili kişi başvurusuna cevap verme ve VERBİS’e kayıt sırasında bu beyannamelere ait bilgi girişi yapma yükümlülüğü bulunmamaktadır.

 2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması halinde üçüncü kişiler tarafından işlenebilmesi için söz konusu veri işleme faaliyetinin alenileştirme iradesi ve amacına uygun

olması gereklidir.

ÖRNEK:

Kişinin, herkesin erişimine açık bir şekilde sosyal medya hesabında adı, soyadı ve telefon numarası paylaşarak tanıdıklarının kendisine ulaşabileceğini belirtmesi halinde tanıdıklarının kendisine SMS göndermesi durumunda Kanunun 10, 11 ve 16. maddesi hükümlerinin uygulanması zorunlu değildir.

ÖRNEK: 

Özel muayenehanesi olan bir doktor, reklam amacıyla gazete ilanı verdiğinde, bu amaçla sınırlı olmak üzere ilanda yer alan iletişim bilgilerini alenileştirmiş olmaktadır. Bu iletişim bilgilerini kullanarak hizmet almak amacıyla doktora ulaşacak kişinin Kanunun 10, 11 ve 16. madde hükümlerine uyması zorunlu değildir.

 3. Kişisel veri işlemenin Kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

ÖRNEK: 

Bir kamu kurumunun, denetim elemanlarınca kurum personeli hakkında yaptığı disiplin soruşturması esnasında o personel ile ilgili kişisel verileri işlemesi mümkündür. Bu durumda, ilgili personele aydınlatma yapılması, varsa başvurusuna cevap verilmesi ve kamu kurumunun VERBİS’e kaydı esnasında bu veri kategorisini bildirmesi gibi hususlar zorunlu değildir.

ÖRNEK: 

Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) ile Radyo ve Televizyon Üst Kurulu (RTÜK) gibi düzenleyici denetleyici kurumların; kanunun verdiği yetkiye dayanılarak denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması durumlarında, sadece bu görevleri kapsamında işlediği kişisel verilerle sınırlı olmak üzere Kanunun 10, 11 ve 16. madde hükümlerinin uygulanması zorunlu değildir.

 4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

ÖRNEK: 

İlgili kişiler tarafından Gelir İdaresi Başkanlığına kira beyannamesi sunulması sırasında paylaşılan kişisel verilerin işlenmesi bakımından, Gelir İdaresi Başkanlığının ilgili kişiyi aydınlatma, ilgili kişi başvurusuna cevap verme ve VERBİS’e kayıt sırasında bu beyannamelere ait bilgi girişi zorunluluğu bulunmamaktadır.

9. VERİ SORUMLUSU VE VERİ İŞLEYEN

Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizzat kendileri veri sorumlusu olup ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir. Bu çerçevede gerek cezai gerek hukuki sorumluluk bakımından, tüzel kişilerin sorumluluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.

ÖRNEK: 

Personelin maaşını ödeyebilmek için isim, telefon numarası, banka hesap numarası gibi bir takım kişisel verilerini bir veri tabanında tutan bir beyaz eşya imalat firması bu kapsamda hem kişisel veri işleme amacını hem veri işleme araç ve yöntemlerini belirlemekte ve ayrıca buna yönelik bir veri kayıt sistemi de oluşturmuş durumdadır. Kısaca neden ve nasıl kişisel veri işlediğine kendisi karar vermektedir. Bu nedenle söz konusu firma, Kanun bakımından veri sorumlusudur. Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu olması mümkün değildir. Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı ayrı veri sorumlusu olması mümkündür. Veri işleyen ise; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri, kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.

NOT: Veri işleyen, veri sorumlusu ile imzaladığı sözleşme çerçevesinde veri sorumlusundan aldığı yetki ve talimat dışına çıkarak kendisi adına kişisel veri işlemeye başladığı durumda o kişisel veriler için veri işleyen statüsünden çıkarak veri sorumlusu statüsünde olacaktır.

ÖRNEK: 

Bir özel şirketin, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısı ile sözleşme yapması durumunda, bulut hizmeti sağlayıcısı veri işleyen durumundadır. Çünkü taraflar arasındaki sözleşme gereği bulut hizmeti sağlayıcısının verileri kendi amaçları için kullanması mümkün değildir. Ayrıca, bulut hizmeti sağlayıcısının kendisi de veri toplamamaktadır. Tek faaliyeti şirketten gelen kişisel verileri yine özel şirketin talimatlarına uygun olarak saklamaktır.

NOT: Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir.

Bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisiyle imzaladığı sözleşme kapsamında müşterisi için işlediği kişisel veriler bakımından veri işleyen sayılacaktır. Bununla birlikte, sözleşme kapsamı dışına çıkıp veri sorumlusunun talimatına aykırı olarak kendisi adına kişisel veri işlemesi halinde ayrı bir veri sorumlusu olacaktır.

Bir Kurum bünyesinde bulunan ve dışarıdan hizmet alımı çağrı merkezi hizmeti veren şirket, Kurum nezdinde işlediği veriler bakımından veri işleyen konumunda iken, kendi personeli hakkında tuttuğu özlük dosyaları bakımından veri sorumlusu statüsünde olabilmektedir. Veri işleyenin faaliyetleri, veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani kendi adına karar alma yetkisi olan, kişisel veri işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Veri sorumlusunun tespiti için;

• Kişisel verilerin toplanması ve toplama yöntemi,

• Toplanacak kişisel veri türleri,

• Toplanan verilerin hangi amaçlarla kullanılacağı,

• Hangi bireylerin kişisel verilerinin toplanacağı,

• Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,

• Verilerin ne kadar süreyle saklanacağı,

• İlgili kişilerin haklarının nasıl sağlanacağı hususlarında kimin karar verdiği dikkate alınır. Bununla birlikte veri sorumlusu, yapacağı kişisel veri işleme sözleşmesi ile;

• Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,

• Kişisel verilerin hangi yöntemle saklanacağı,

• Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,

• Kişisel verilerin aktarımının hangi yöntemle yapılacağı,

• Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,

• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri hususlarında karar verme yetkisini veri işleyene bırakabilir.

NOT: Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi (veri işleyen) tarafından işlenmesi halinde; alınan her türlü teknik ve idari tedbirler hususunda bu kişilerle birlikte müştereken sorumludur. Veri sorumlusuyla veri işleyen arasında bazı ortak

noktalar vardır. Bunlar;

 a) Veri sorumlusu ifadesiyle, bir şirket içerisinde veri işleme faaliyetlerinden sorumlu herhangi bir kimse kastedilmemektedir. Veri sorumlusu bizatihi tüzel kişiliğin kendisidir.

Veri sorumlusu (aynı şekilde veri işleyen de) olmak, Kanunun hukuki yükümlülükleri tayin etmek amacıyla belirlediği bir statüdür ve tanımda verilen özellikleri karşılaması durumunda, şirketin tüzel kişiliği de bu statüye sahip olacaktır. Örneğin, veri işleme faaliyetinin bir parçası olarak bir şirkette belge teslim alan ve kaydeden kişi değil, şirketin kendisi “veri sorumlusu” sıfatına sahiptir.

ÖRNEK: 

Bir şirkete iş başvurusu sırasında başvuru formunun, İnsan Kaynakları Departmanına teslim edilmesi veri sorumlusunun İnsan Kaynakları Departmanı olduğu anlamına gelmez. Burada veri sorumlusu, tüzel kişiliği haiz bulunan şirketin bizatihi kendisidir

 Otel rezervasyonları için hizmet sağlayan bir internet sitesine, rezervasyon için verilen bilgiler bakımından bu bilgileri ilk elden alan hizmet sağlayıcısı internet sitesi veri sorumlusu gibi gözükse de, burada kişisel verilerin işleme amacını ve vasıtasını belirleyen otel olduğu için veri sorumlusu statüsüne haiz olan tüzel kişilik, oteldir.

 b) Her iki kavram da, hem gerçek hem de tüzel kişiler için geçerlidir. Örneğin serbest çalışan bir muhasebeci veya bir mali müşavirlik firması hem veri sorumlusu, hem de veri işleyen olabilir. Ayrıca bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her biri ayrı iki statüde de yer alabilir. 

Kaynakça

Kişisel Verilerin Korunması Kanunu - Mevzuat

https://www.kvkk.gov.tr/Icerik/5383/Diger-Dokumanlar

Elif Küzeci - Kişisel Verilerin Korunması