Kişisel Verilerin Korunması Av. Dr. Barış GÜNAYDIN bgunaydin@yildirimhukuk.com.tr
Gizlilik ve Kişisel Veri Gizlilik herkesi ilgilendiren en temel toplumsal değerlerden biridir. Gerek tüm ticari alışverişimiz de e-ticarette, e-devlette her türlü elektronik ortamda yapılan aktivitede güven oluşturulması ve Kişisel anlamda korunmanın olması büyük önem taşımaktadır.
Kişisel Veri Nedir? Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir. Bu anlamda bu verilerin korunması da esas olmalıdır.
Kişisel Verilerin Kullanımı ve Hukuk Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum söz konusu bilgilerin istismar edilme riskini de beraberinde getirmektedir.
Kişisel Bilgilerin Kapsamı Kimlik Bilgileri Bi0-Metrik Bilgiler Diğer Bilgiler Ad Soyad Parmak İzi Adres bilgileri Kimlik No Retina Kredi kartı Doğum Yeri Yüz Hatları Telefon E-posta Anne-Baba Adı Elin Şekli Tapu Nüfus Bilgileri Yazı Karakteri Meslek Yürüme Konuşma Tarzı Sendika; Dernek
Kişisel Verilerin Kullanılması ve Hukuk Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek taraf olduğumuz sözleşmeler ve gerekse Anayasamızda koruma altına alman temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin oluşturulması gerekmektedir.
TCK düzenlemelerinin yetersizliği 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır. Bununla birlikte, kişisel verilerin işlenmesine yönelik özel bir kanunun bulunmaması sebebiyle, bu fillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduğunun belirlenmesinde tereddütlerin yaşandığı görülmektedir.
AB Düzenlemeleri Öte yandan, Avrupa Birliği, üye ülkelerin kişisel verilerin korunmasına ilişkin mevzuatı arasında uyum sağlamak üzere, 24/10/1995 tarihinde Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifini (95/46/EC) yürürlüğe koymuştur. Bu Direktifle, üye ülkelerdeki bireylerin kişisel verilerinin üst düzeyde korunması ve kişisel Verilerin Avrupa Birliği içerisinde özgür dolaşımını sağlayacak açık ve kalıcı bir düzenleme yapılması amaçlanmıştır.
Genel Değerlendirme ve Temel İlkeler Kişisel verilerin korunmasına yönelik uluslararası belgeler göz önüne alındığında şu temel ilkeler mevcuttur; Kişisel verilerin işlenme şartlarının belirlenmesi, Bireylerin aydınlatılmasının önemi, Bu alanı denetleyecek ve düzenleyecek bir otoritenin oluşturulması, Veri güvenliğine ilişkin gerekli tedbirlerin alınması
Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması ( KVK ) Kanunu nun önemli birçok hükmü 7 Ekim 2016 tarihi itibariyle yürürlüğe girmiştir. Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
6698 KVKK Kapsamı Nedir Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Kişisel Veri Türleri Nelerdir? I. Genel Nitelikli Kişisel Veriler Yukarıdaki örneklerde sayılan kişiye ilişkin verilerdir II. Özel Nitelikli Kişisel Veriler Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir (m.6/1)
Kişisel Verileri Koruma Kurumu Kurul ve Başkanlıktan oluşmakta ve karar organı Kurul'dur Kamu tüzel kişiliğini haiz Merkezi Ankara Kurum yapısı Başbakanlıkla ilişkili
Tanımlar- Sujeler-Aktörler Veri işleyen Kişisel Veri Veri sorumlusu Tanımlar Kişisel veri işleme envanteri Sicil Veri sicil bilgi sistemi (VERBİS) Kişisel verilerin işlenmesi
Kişisel Verilerin İşlenme Şartları I. GENEL İLKELER 1. Kişisel veriler, ancak ilgili mevzuata uygun olarak işlenebilir. 2. Kişisel verilerin işlenmesinde uyulması zorunlu olan temel ilkeler: a) Hukuka ve dürüstlük kurallarına uygun olma; b) Doğru ve gerektiğinde güncel olma; c) Belirli, açık ve meşru amaçlar için işlenme; ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma; d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel Verilerin İşlenme Şartları II. GENEL NİTELİKLİ KİŞİSEL VERİLER BAKIMINDAN İŞLENME ŞARTLARI Kural: Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez (m.5/1).
Veri Sorumlusunun Yükümlülükleri I. VERİLERİ İŞLENEN KİŞİLERİ AYDINLATMA II. VERİ GÜVENLİĞİNİN SAĞLANMASI III. VERİ SORUMLULARI SİCİLİNE KAYIT OLMA
İlgili Kişinin Hakları Şikayet Ve Usül I.İlgili Kişinin Hakları Bu haklar genel olarak Kanun m.11 de bir liste halinde sunulmaktadır. Bu talepler veri sorumlusuna yöneltilmektedir: a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
İlgili Kişinin Hakları e) Kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
İhlal ve Yaptırımları İdari para cezası miktarları Aydınlatma yükümlülüğüne aykırılık 5.000 TL 100.000 TL Veri güvenliğine ilişkin yükümlülüklere aykırılık Şikâyet üzerine Kurul tarafından verilen kararları yerine getirmeme Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırılık 15.000 TL 25.000 TL 20.000 TL 1.000.000 TL 1.000.000 TL 1.000.000 TL
TCK KAPSAMINDA CEZALAR 1. Hukuka aykırı olarak kişisel verilerin kaydedilmesi halinde bir yıldan üç yıla kadar hapis cezası. Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması halinde anılan ceza yarı oranında artırılır (TCK m.135). 2. Kişisel verilerin, hukuka aykırı olarak bir başkasına verilmesi, yayılması veya ele geçirilmesi halinde iki yıldan dört yıla kadar hapis cezası (TCK m.136). 3. Yukarıdaki suçların; a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır (TCK m.137). 4. Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmemeleri halinde bir yıldan iki yıla kadar hapis cezası (TCK m.138).
TAZMİNAT Yukarıdaki yaptırımlara ilave olarak; ilgili kişiler, Türk Medeni Kanunu ve Türk Borçlar Kanunu kapsamında tazminat talebinde de bulunabilirler. Bu talebin dayanağı, Kanun un ihlali nedeniyle uğramaları söz konusu olabilecek maddi ve/veya manevi zararlarının tazminidir.
Tavsiye Edilen Adımlar 1. KVKK nın ilanlarının yakinen takip edilmesi (özellikle veri sorumluları sicili ile ilgili bildirimler bakımından); 2. Verilerin muhafazası ve kanuna uygunluk bakımından gerekli olan idari, teknik ve hukuki önlemlerin şimdiden alınmaya başlanması; bu anlamda özellikle bilgi güvenliği ve hukuki/idari alt yapının oluşturulmaya başlanması; 3. Organizasyon içerisinde veri akış şemalarının ve veri güvenliği sorumlularının şimdiden belirlenmesi amacıyla çalışmalar yapılması;
Tavsiye Edilen Adımlar 4. Kişisel veri saklama ve imha politikası ve kişisel veri işleme envanteri gibi dokümanların hazırlık çalışmalarının tamamlanması; 5. Aydınlatma yükümlülüğü ile ilgili olarak, bilgilendirme formları gibi dokümantasyonun hazırlanması; 6. İlgili iş ortakları ve çalışanlar gibi aktörler ile yapılmak üzere, gizlilik ve veri koruması ile ilgili sözleşmelerin hazırlanması ve bu süreçlerin takibi için planlamalar yapılması;
Tavsiye Edilen Adımlar 7. Kanun un amaçları doğrultusunda, verilerin amaç, ilgili kişi, vb. kategoriler altında sınıflandırılarak ilk etapta imha edilmesi gerekebilecek verilerin tespit edilmesi; 8. Kanun un yayımı tarihinden önce işlenen verilerin kanun a uygun hale getirilmesi. örneğin; kanun m.4 te belirtilen ilkelere uygun olmayan verilerin, uygulamaların (örneğin; web sitesi, on-line işlemler, çerez uygulamaları, vb.) tespit edilerek kanuna uygun hale getirilmesi; 9. Genel olarak yukarıdaki tedbir ve adımların yazılı olarak hayata geçirilmesi ve arşivlenmesi;
Teşekkürler İletişim bgunaydin@yildirimhukuk.com.tr