Bilgilendirme: İnternet sitemiz yenilendi. Fikirlerini bizimle paylaş.
  • 444 9001
  • İkitelli OSB Deposite AVM 2A/103 İstanbul

KVKK Danışmanlığı

KVKK Danışmanlığı

KVKK Danışmanlığı

Kişisel Verilerin Korunması Kanunu

6698 sayılı Kişisel Verilerin Korunması Kanunu, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Kanundan önce işlenen verileri de kapsayacak şekilde kanunun uyum süresi 7 Nisan 2018 tarihinde tamamlanmıştır. Bu Kanun, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel veri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir.

Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. KVKK (Kişisel Verilerin Korunması Kanunu), verisi bulunan ilgili kişilere ve kişinin verisini işleyen gerçek veya tüzel kişilere bazı haklar vermekte olduğu gibi yaptırımlar da uygulamaktadır.

Kişisel Veri Nedir?

Kişisel veri, kişiyle ilişkisi kurulabilecek her türlü bilgiyi ifade eder. Kişisel veri, T.C. kimlik numarasında olduğu üzere ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte araç plaka numarasında olduğu üzere herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.

Bir gerçek kişinin sadece kimliğini ortaya koyan, adı, soyadı, doğum tarihi ve doğum yeri gibi bilgiler olabileceği gibi; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler de kişisel veri olarak kabul edilir.

Günümüzde kişisel verilerin çeşitliliğinin ve büyüklüğünün artmasıyla kişisel veri daha önemli hale gelmiştir. Bu verilerin işlenmesi bazı avantajların yanında özel bilgilerin gizliliği konusunda ortaya çıkan endişeleri de beraberinde getirmiştir. Bu durum kişisel verilerin korunması, yurt içinde veya yurt dışında aktarılması, verilerin yetkisiz kişilerce ele geçirilmesi, bilinçsiz davranışlar sonucu oluşan veri ihlalleri, kişi veri mahremiyetinin sağlanamaması gibi sorunlar ile ilgili yasal düzenlemelerin yapılmasını gerektirmiştir.

Kişisel Verilerin İşlenmesinde Uyulması Gereken Temel İlkeler Nelerdir?

Kişisel verilerin işlenmesinde uyulması gereken temel ilkeler, Kanunun 4. maddesinde belirtilmiştir.

  • Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
  • Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
    • a) Hukuka ve dürüstlük kurallarına uygun olma.
    • b) Doğru ve gerektiğinde güncel olma.
    • c) Belirli, açık ve meşru amaçlar için işlenme.
    • ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
    • d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

KVKK Kapsamında İlgili Kişinin Hakları Nelerdir?

İlgili kişi kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna yönelik bilgi talep etme, işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel veriler üzerinde yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin analiz edilmesiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.

KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri nelerdir?

İlgili kişinin verisinden sorumlu olan gerçek veya tüzel kişiler ile Veri Sorumlusunun kararlarıyla bu veriyi işleyen kişilerin KVKK kapsamında yükümlülükleri vardır. Veri Sorumlusu kanunda “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır.

Bu Yükümlülükler Nelerdir?

1.Aydınlatma Yükümlülüğü

Veri sorumlusunun en temel yükümlülüğü aydınlatma yükümlülüğüdür. Aydınlatma yükümlülüğüne göre veri sorumlusu kişisel verilerin elde edilmesi sırasında ilgili kişiye bazı bilgileri sağlamalıdır. Bunlar;

– Veri sorumlusunun ve varsa temsilcisinin kimliği,
– Kişisel verilerin hangi amaçla işleneceği,
– Kişisel verilerin kimlere hangi amaçla akatarılabileceği,
– Kişisel veri toplamanın yöntemi ve hukuki sebebi,
– 11. maddede sayılan diğer hakları olarak belirtilmektedir. İlgili kişi verisinin işlendiği her durumdan haberdar olmalı ve bu konuda bilgilendirilmelidir.

2.Veri Güvenliğine İlişkin Yükümlülüğü

KVK Kanuna göre veri sorumlusu  veri güvenliği konusunda aşağıdaki maddelerden sorumludur:

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak.

Veri sorumlusu bu yükümlülüklerini yürütebilmek için her türlü tedbiri almak ve kanunun işleyişi ile ilgili denetimleri yapmak zorundadır. Kişisel veri, veri sorumlusu adına başka bir kişi tarafından işlenmişse güvenlik konusunda iki kişi de sorumlu durumdadır. Hem veri sorumlusu hem de veriyi işleyen kişi görevi sona erdikten sonra da veriyi paylaşamaz veya işleme amacı dışında kullanamaz. Eğer veri 3. kişiler tarafından ele geçirilmişse bu durum en kısa sürede ilgili kişilere bildirilmelidir.

3.Veri Sorumluları Siciline Kayıt Yükümlülüğü

Veri sorumlularının kamu ile paylaşılabilmesi ve bu sayede kişisel verilerin korunması hakkının daha etkin şekilde kullanılması amacıyla veri sorumluları, Veri Sorumluları Sicili (VERBİS)’e kayıt yaptırmak zorundadır. Bu sistemde veri işleme faaliyetleri ile ilgili bilgiler kayıtlı olarak tutulmaktadır. VERBİS’e kayıt olmak için yapılacak başvuru aşağıdaki bilgileri içermektedir:

  • Veri sorumlusunun kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grubu ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine yönelik alınan tedbirler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
4.İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü

Veri sorumluları, ilgili kişilerce kendisine iletilen, kanunun uygulanması ile ilgili talepleri en geç otuz gün içerisinde sonuçlandırmalıdır. Veri sorumlusu bu talebin olumlu ya da olumsuz cevabını ilgili kişiye bildirmelidir. İlgili kişi red cevabı alması halinde, cevabı öğrendikten sonraki otuz gün içinde Kurula şikayette bulunabilmektedir. Genellikle ücretsiz olan bu işlem,  gerekmesi halinde bir ücret karşılığında da yapılabilmektedir.

5.Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.

KVKK Kapsamında Suçlar ve Kabahatler

Kişisel Verilerin Korunması Kanununda, kanuna uymayanlar için cezai yaptırımlar da mevcuttur. Bu yaptırımlar suçlar ve kabahatler olarak ikiye ayrılmıştır.

A) Suçlar

Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. Türk Ceza Kanununda;

Kişisel verilerin kaydedilmesi
MADDE 135. –  (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir. (2) Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.
Verileri hukuka aykırı olarak verme veya ele geçirme
MADDE 136. – (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.
Nitelikli Haller
MADDE 137. – (1) Yukarıdaki maddelerde tanımlanan suçların; Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır. Verileri yok etmeme
MADDE 138. – (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde altı aydan bir yıla kadar hapis cezası verilir.
Şikayet
MADDE 139. – (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır. Tüzel kişiler hakkında güvenlik tedbiri uygulanması
MADDE 140. – (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.

B) Kabahatler

Kişisel verilerin kaydedilmesi
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,idari para cezası verilir.
  1. Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
  2. Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.