Mehdi Yigit
Diğer Yazıları Köşe Yazarı

Kişisel Veri Nedir? Nasıl İşlenir? Veri İhlali Karşısında Haklarım Nelerdir?

yayınlandı
featured
service
Paylaş

Bu Yazıyı Paylaş

veya linki kopyala

KVKK KAPSAMINDA KİŞİSEL VERİNİNİN İŞLENMESİ HAKKINDA TEMEL BİLGİLER VE KURULA BAŞVURU

Bulunduğumuz yüzyılın en büyük pazarı haline gelen kişisel veri alışverişi, kurumların ve şirketlerin daha büyük pazarlara açılmasını, daha küçük yatırımlarla hedef kitleye hızlıca ulaşmalarını ve müşteri çevrelerini sürekli elde tutmalarını sağlamaktadır. Bu yüzden de kurumlar ve şirketler büyük miktarda veriyi saklamaya ve bu verileri en etkili şekilde kullanmaya yönelik bilişim sistemleri geliştirmektedirler. Tüm bu aşamalarda verisi işlenen kişiler sürecin en önemli parçası ve hatta bu pazarın en büyük sermayesi olmalarına rağmen herhangi bir ekonomik çıkar elde edemedikleri gibi, her gün büyük veri saklayıcılarının hedefi olarak birçok hukuksuz, haksız ve rahatsız edici girişimlere maruz kalmaktadırlar. Yazı devamında Türkiye de bu konuda alınan önlemler ve veri ihlallerine karşı başvuru yoları hakkında temel bilgilere yer verilmiştir.

  1. GENEL OLARAK KVKK KAPSAMINDA KİŞİLERİN VERİLERİNİN İŞLENMESİ VE AKTARILMASI

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi kapsamaktadır. Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmiştir. Kişisel veri sirkülasyonunda, temelde iki taraf vardır. Bunlar kişisel verisi işlenen kişi “ilgili kişi (kanuni tanım)” ve “veriyi işleyen (kanuni tanım)” kişidir. Veriyi işleyen aynı zamanda veri sorumlusudur.

Kişisel verilerin işlenme şartları ise 6698 sayılı Kişisel Verilerin Korunması Kanununun 5. maddesinde sayılmıştır. Maddenin ilk fıkrasında kişisel verilerin ancak “açık rıza” ile işlenebileceği belirtilmiş ise de ikinci fıkrada “açık rıza olmadan” veri işlenebilecek durumlar “tahdidi” olarak sayılmıştır. Yani fıkrada sayılan durumlar haricinde kalan tüm durumlarda açık rıza alınmalıdır. Kişisel veri işleme, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması; ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla aldatıcı ve veri sorumlusunca hakkın kötüye kullanımı niteliğinde olacaktır. Nitekim, ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir. Hemen belirtmek gerekir ki Kanunun 6.Maddesi gereği; Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (Kanuna göre; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.) Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Kişisel veriler otomatik veya otomatik olmayan yollarla işlenebilecektir. Veri işlenmesi verinin sadece kaydedilmesini veya kullanılmasını değil aynı zamanda kişisel verilerin belirtilen şekilde toplandıktan sonra silinmesi, yok edilmesi ya da anonim hale getirilmesi işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyette Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir.

Verilerin hukuka uygun işlenmesi için aşağıdaki tüm şartların birlikte sağlanması gerekir: 1) İşlemenin rıza veya istisnaya (açık rıza dışında ki sebeplerden birine) dayalı olması,

2 Aydınlatmanın gerçekleşmiş olması,

3) İşlemenin amaç ve süre ile sınırlı olması,

4) Genel (temel) ilkelere uygun olması.

Veri sorumlusu, kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri veri sahibine sağlamakla yükümlüdür:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği (tüzel kişilerde sicil),
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi, ve ilgili kişinin hakları

Aydınlatma yükümlülüğünü yerine getirirken ilgili kişiye verilecek bilgiler, veri sorumlusu siciline açıklanan bilgilerle uyumlu ve kategorik bazda olmalıdır. Aydınlatma yükümlülüğünün yerine getirilmesi konusu, ilgili kişinin onayına tabi değildir. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. Aydınlatma yükümlülüğü yerine getirilmeden açık rızaya dayalı veri işlenemeyecektir.

Kişisel veri ancak aşağıda sayılan durumlardan birine göre (Kanunun 5.Maddesi) işlenebilecek ve aktarılabilecektir.

A.1 AÇIK RIZA

İlgili kişinin açık rızasının varlığı,

Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerekir. Bu durum Kanunun 10. maddesinde düzenlenen “aydınlatma yükümlülüğü” kavramı ile de ilişkilidir. Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekir. Bilgilendirme, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir. Bilgilendirmenin mutlaka verinin işlemesinden önce yapılması gerekir.

A.2 AÇIK RIZANIN ARANMADIĞI DURUMLAR

1) Kanunlarda açıkça öngörülmesi,

2) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

3) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

Sözleşmenin kurulabilmesi ve ifa yükümlülüklerinin sözleşmeye uygun şekilde yerine getirilebilmesi için gerekli zorunlu bilgiler bu kapsamdadır. Örneğin sipariş edilen ürünün teslim edilmesi için sipariş verenin adres bilgilerini bilinmesi gerekmektedir.

4) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

Bu mecburiyet kanundan yada mesleki yükümlülükten kaynaklanabilir. Örneğin; bir bankanın müşterisine ait hesap verilerini saklaması 5549 sayılı kanundan kaynaklanırken bir şirketin çalışanlarına maaş ödemesi için çalışanının hesap verilerini saklaması hukuki yükümlülüğünden kaynaklanmaktadır.

5) İlgili kişinin kendisi tarafından alenileştirilmiş olması,

Kişisel verinin aleni kabul edilebilmesi için ait olduğu kişinin, verinin aleni olmasını istemesi gerekir. Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığı gerekir. Ayrıca, alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması gerekmektedir.

6) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili kişinin kişisel verilerinin işlenmesi mümkündür. Örneğin, sözleşmenin ifasından sonrada ortaya çıkacak herhangi bir uyuşmazlık konusunda delil olması amacıyla bir takım zorunlu verilerin saklanması gerekir. Örneğin; teslimat yapıldığına dair verinin saklanması ileride karşılaşılabilecek hukuki ihtilaf için önemlidir. Ancak bu durumda dahi verilerin hukuki ihtilafın doğma ihtimalinin ortadan kalkmasına binaen (örn; zamanaşımı) imha edilmesi gerekecektir.

7) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

  1. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. İşlenmesini gerektiren sebeplerin ortadan kalktığı kişisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerindendir. Bunun için ilgili kişinin başvurusu şart değildir. Bununla birlikte, veri sorumlusunun ihmali durumunda verileri işlenen kişinin ilgili verilerin yok edilmesini, silinmesini veya anonim hale getirilmesini talep etme hakkı bulunmaktadır. Bu işlemlerin yapılmasında “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmelik” dikkate alınacaktır (Madde 8-9-10-11). Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınması ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanması zorunludur. Ayrıca yönetmelik veri sorumlusuna “kişisel veri saklama ve imha politikası “ hazırlama yükümlülüğü yüklemektedir. Yönetmeliğin 6.Maddesinde bu yükümlülüğün içeriği hakkında düzenleme yapılmıştır. Bu yükümlülüğün en önemli parçası şüphesiz periyodik imhanın gerçekleştirileceği zaman aralığının da veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenmesidir. Veri sorumlusu bu yükümlülüğü gereği kişisel veri saklama ve imha politikasında belirtilen sürelerle otomatik olarak kişisel verileri silmek/yok etmek veya anonim hale getirmek zorunda kalacaktır. Ayrıca bu periyodik süre yine yönetmelik gereği altı ayı geçemeyecektir. Kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

Kişisel verilerin silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. (8/1)

Kişisel verilerin yok edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. (9/1)

Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. (10/1)

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. (10/2)

 

Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri

İlgili kişi, veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

  1. a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
  2. b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
  3. c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

 

 

  1. İLGİLİ KİŞİNİN HAKLARI

 

Kanunun 11.Maddesi gereği kişisel verisi işlenen kişi; kişisel verilerine ilişkin bir ihlal gerçekleşmese dahi veri sorumlusundan kanunda yazılan bilgileri isteme, kişisel veri ihlali gerçekleşmişse eğer tazminat talep etme hakkına sahiptir. İlgili kişi veri sorumlusundan şu taleplerde bulunabilir;

  1. a) Kişisel veri işlenip işlenmediğini öğrenme,
  2. b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  1. d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  2. e) Kişisel verilerin silinmesini veya yok edilmesini isteme,
  3. f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  4. g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

 

  1. VERİ SORUMLUSUNA VE KURULA BAŞVURU

Kişisel verisi işlenen gerçek kişiler, veri sorumlusuna başvuru hakkına sahiptir.

 

Başvuru usulü

İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir. (veri sorumlusuna başvuru usul ve esasları hakkında tebliğ madde 5). Görülmektedir ki veri sorumlusunda herhangi bir yöntem ile başvurulabilmektedir. Önemle belirtmek gerekir ki Kişisel Verileri Koruma Kuruluna başvuru yapmadan önce veri sorumlusuna başvurmak zorunludur.

Başvuruda;

  1. a) Ad, soyadve başvuru yazılı ise imza,
  2. b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
  3. c) Tebligata esas yerleşim yeri veya iş yeri adresi,

ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

  1. d) Talep konusu,

bulunması zorunludur.

Hemen belirtelim ki veri sorumlusu başvuruya konu talebi kabul etmek zorunda değildir. İlgili kişinin talebinin reddedilmesi halinde kişi 30 günlük süre içinde kurula başvurabilir. Eğer veri sorumlusu başvuruya cevap vermemişse, veri sorumlusuna başvurunun yapıldığı tarihten itibaren 60 günlük süre içerisinde kurula başvurulabilir.

 

 

 

 

Kişisel Veri Nedir? Nasıl İşlenir? Veri İhlali Karşısında Haklarım Nelerdir?

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Giriş Yap

EGEPRESS ayrıcalıklarından yararlanmak için hemen giriş yapın veya hesap oluşturun, üstelik tamamen ücretsiz!

Giriş Yap
Bizi Takip Edin

Bize Katılın

Facebook Twitter Linkedin Pinterest Youtube Instagram Whatsapp