Delil Hukuk Bürosu
KVKK: Kişisel Verilerin Korunması Kanunu
GDPR: Avrupa Genel Veri Koruma Tüzüğü
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
Son zamanlarda hukuk camiasının gündeminde olan kişisel veri kavramının, konuya aşina olmayan kimselerin kafasını karıştırdığı açıktır.
Bu nedenle KVKK uzmanı avukatlar tarafından müvekkil şirketlere verilmekte olan KVKK sürecine uyum yönetimi hizmetlerinin yanında ayrıca birçok şirket çalışanlarına da KVKK sunumları gerçekleştirilmektedir.
Ancak Kişisel Verilerin Korunması Kanunumuzun gerçek potansiyeline erişmesi, "kişisel veri" kavramına ilişkin toplumsal bilincin oluşmasıyla gerçekleşebilecektir.
Kişisel Veri Kavramı
Kişisel veri, kimliği belirlenebilir bir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişinin kimliğine ve kişiliğine dair bilgilerin toplanıp kayıt altına alınması halinde kişinin kim olduğu saptanabilir hale geliyorsa, kişisel verilerin toplandığından söz edilebilir.
Örneğin: Kişinin çalıştığı kurum tarafından toplanan ve kayıt altına alınan isim, soyisim vb. kimlik bilgileri, parmak izleri, göz rengi, banka hesapları, cinsel tercihler, kişisel e-posta adresi ve telefon numarası gibi kendisini belirlenebilir kılan bilgileri kişisel veridir ve bu verilerin toplanıp kayıt altına alınması artık özel usullere tabidir.
Veri Sorumlusu Kimdir? Veri İşleyen Kimdir? Farkları Nelerdir?
Veri sorumlusu toplanacak kişisel verileri ve bu verilerin işlenme amaçları ile işlenme yöntemini belirleyecek olan kişidir. İşleme faaliyetinin neden ve nasıl yapılacağı konusunda kararları veri sorumlusu almaktadır. Örneğin parmak izi verilerinin usulüne uygun bir şekilde toplanmasını istemektedir çünkü çeşitli kapılara parmak izi okuyuculu geçiş sistemi yerleştirmek istemektedir.
Daha genel bir ifadeyle kişisel verilerin toplanması ve toplama yöntemi, toplanacak kişisel veri türleri, toplanan verilerin hangi amaçlarla kullanılacağı, hangi bireylerin kişisel verilerinin toplanacağı, toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı, verilerin ne kadar süreyle saklanacağı hususlarını belirleyen kişi veri sorumlusudur.
Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmek için kullanılan tabirdir.
Ancak veri sorumlusu, kişisel verilerin işlenmesine ilişkin olarak yapacağı bir sözleşmeyle kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı, kişisel verilerin hangi yöntemle saklanacağı, kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları, kişisel verilerin aktarımının hangi yöntemle yapılacağı, kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemlerinin belirlenmesi hususlarına ilişkin olarak veri işleyeni yetkilendirebilir.
Kişisel Verilerin İşlenmesi
Kişisel verilerin işlenmesi, verilerin tamamının ya da bir kısmının otomatik olan veya olmayan yöntemlerle elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, aktarılması, devralınması, sınıflandırılması ya da kullanılmasıdır.
Kişisel verilerin işlenmesi tamamen hukuka aykırı olmayıp, yalnızca belirli usullere tabiidir. KVKK uzmanı avukatlar tarafından yürütülecek çalışmalar ile şirketler uyum süreçlerini hızlıca gerçekleştirip bu usullere uygun olarak veri işleyebilmektedir.
Veri Sorumlusunun Yükümlülükleri
Veri sorumlusu, kişisel verileri aşağıdaki yükümlülüklere uygun bir şekilde işlemelidir:
Hukuka ve dürüstlük kuralına uygun bir veri işleme süreci yürütmek,
Doğru ve güncel bir veri işleme operasyonu yürütmek,
Verileri belirli ve somut bir amaç için işlemek,
İşlendikleri bu belirli amaçla bağlılık içinde, amacın çizdiği sınırlar dahilinde ve ölçülü olarak veri işlemek,
Özel nitelikli kişisel veriler için niteliklerine uygun düşen önlemleri alarak,
Yurtdışına aktarımda açık rıza şartının bulunmaması ve aktarım yapılacak ülkenin, yeterli koruma niteliklerine sahip olmayan ülkeler listesinde bulunması durumunda, yeterli korumanın yazılı bir şekilde ilgililer tarafından taahhüt edilmesi ve Kurulun(Kişisel Verileri Koruma Kurulu) izninin bulunması,
Veri sahibine gerekli aydınlatmanın yapılmış olması,
İlgililerin haklarını kullanabilmeleri için gerekli kurum içi mekanizmaların kurulup hayata geçirilmiş olması,
Kendi iç organizasyonunda kişisel verilen hukuka aykırı olarak işlenmesini ve bu kişisel verilere içten veya dıştan hukuka aykırı yollarla erişilmesinin önüne geçilmiş olması,
Kişisel verilerin muhafazasını sağlamak amacıyla gerekli teknik ve idari tedbirlerin alınmış olması ve gerekli kurum içi eğitim çalışmalarının sağlanmış olması,
Öğrendiği kişisel verileri ilgili mevzuat hükümlerine aykırı olarak başkasına açıklamamak ve işleme amacı dışında kullanmamak,
İşlenmiş olan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, en kısa süre içerisinde ilgilisine ve Kurula bildirimde bulunmak,
Devlet sırrı niteliğindeki bilgi ve belgeler hariç, Kurulun inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak,
Mevzuata veya belirlenen amaca uygun bir süre müddetince verileri işlemek
Kanunda sayılmış olan istisnai haller dışında, veri sahibinin açık rızası alınmak suretiyle kişisel verileri işlemek
İşlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri resen veya ilgilinin talebi üzerine silmek, yok etmek veya anonim hale getirmek
Kişisel verilerin işlenmesi için kural, veri sahibinin, kişisel verilerinin işlenmesi için açık rıza göstermesidir. Ancak kanunda sayılan aşağıdaki istisnai hallerde veri sahibinin açık rızası olmaksızın kişisel verilerin işlenmesi mümkündür:
Kanunda açıkça sayılan haller, örneğin kolluk kuvvetleri tarafından şüphelinin parmak izlerinin alınması,
Fiili imkansızlık hali, örneğin saldırıya uğrayan ve kan kaybı yaşayan, bilinci kapalı bir mağdurun hangi kan grubundan olduğunun teşhis edilebilmesi vb. durumlar için kişisel sağlık bilgilerinin incelenmesi,
Kişisel verinin, veri sahibi tarafından alenileştirilmesi hali,
Meşru bir hakkın kullanılması için zorunlu olma hali,
Veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunluluk bulunması hali,
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusu açısından, ilgilinin kişisel verilerinin işlenmesine yönelik meşru kabul edilebilecek bir zorunluluk bulunması.
Özel nitelikli kişisel veri olarak tanımladığımız kişisel verilerin açık rıza olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, diğer kişisel veriler gibi kanunlarda öngörülen, yukarıda saymış olduğumuz hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel Nitelikli Kişisel Veriler
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Yukarıda belirtmiş olduğumuz gibi özel nitelikli kişisel verilerden sağlık ve cinsel hayata ilişkin verilerin işlenmesi oldukça dikkat edilmesi gereken hallerdir. İlgilinin açık rızası olmaksızın işlenebilmeleri ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenecek olmaları halinde mümkündür.
Veri Sahibinin Hakları
6698 sayılı Kişisel Verilerin Korunması Kanunumuzun 11. maddesine göre:
Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel verilerinin işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde(hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde) kişisel verilerin silinmesini veya yok edilmesini isteme,
f) Yukarıdaki (d) ve (e) bentleri uyarınca yapılan işlemlerin(hatalı kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesi işlemleri), kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
Veri Sahibinin Başvuru ve Şikayet Yoluna Başvurması
Kişisel verilerinin ihlal edildiğini fark eden veri sahibi, ihlalin giderilmesi için öncelikle veri sorumlusuna başvurmalıdır. Kurula şikayet için veri sorumlusuna başvuru yolu zorunlu olup bu yol tüketilmeden Kişisel Verilerin Korunması Kuruluna şikayette bulunulması usule aykırı olacaktır. Veri sorumlusu, ilgililerin başvurularını 30(otuz) gün içerisinde ücretsiz olarak sonuçlandırmalıdır, ilgili işlemin belirli bir maliyeti olması halinde Kurul tarafından belirlenen tarife ücretleri dikkate alınır; başvuru konusu ihlalin veri sorumlusunun kusurundan kaynaklanıyor olması halinde bu ücret ilgiliye iade edilir.
30 gün içerisinde karar verilmemesi halinde ret kararı verilmiş gibi Kurul'a şikayet yoluyla gidilebilecektir. Kabul kararı verilmesi halinde ise veri sorumlusu ihlali kendisi giderecektir.
Veri sorumlusunun kendisine yapılan başvuruyu reddetmesi veya 30 günlük cevap verme süresi içerisinde kabul veya ret cevabı vermemesi halinde ise başvuru yolu usulüne uygun olarak tüketilmiş olacağından artık veri sahibi ilgili kişi, Kişisel Verilerin Korunması Kuruluna yönelik hazırlayacağı usulüne uygun bir dilekçe ile şikayet yoluna başvurabilecektir.
Kendisine şikayet dilekçesi verilen Kurul, 60(altmış) gün içerisinde şikayete ilişkin bir karar verir, karar vermemesi halinde ret kararı vermiş olduğunun kabulü ile birlikte yargısal yolların tüketilmesi aşamasına geçilebilecektir.
KVKK Uyum Süreci Nasıl Yönetilir?
KVKK oldukça yeni bir alan olduğundan dolayı araştırma, zaman ve uzmanlık istemektedir. KVKK hukukuna ilişkin nitelikli sertifikalara ve deneyime sahip olan KVKK Avukatı irtibat bürolarımız ve çalışma arkadaşlarımızla birlikte veri sorumlularının KVKK uyum sürecini olabilecek en iyi şekilde yönetiyor ve hukuka uygun bir geçiş gerçekleştirilmesini sağlıyoruz.
Bu süreçte KVKK Avukatı olarak veri sorumlularının ihtiyaçlarına uygun bir şekilde:
Uyum sürecinin yönetimi,
Envanter kayıtları,
VERBİS'e gerekli bilgilerin girişi,
Kurum içi eğitimlerin sağlanması,
Konuya ilişkin sunumlar gerçekleştirmek suretiyle çalışanların bilgilendirilmesi
gibi çalışmalar gerçekleştirerek, veri sorumlularının idari ve teknik sorumluluklarını en aza indirgiyor veya kişisel verileri ihlal edilen kişilerin başvurdukları başvuru, şikayet ve dava yollarında kendilerini temsil ediyoruz.
ÖRNEK KARAR
“İlgili kişinin kişisel verilerinin, hakkında icra takibi yapan avukat tarafından hukuka aykırı olarak işlenmesi ve açıklanmasına ilişkin şikayet” ile ilgili Kişisel Verileri Koruma Kurulunun 28/05/2020 Tarihli ve 2020/429 Sayılı Karar Özeti
Bankaya olan borcuna ilişkin bilgilerin, icra işlemlerini yürüten avukat tarafından kendisi gibi kamu sosyal tesisinde konaklamakta olan iş arkadaşlarına ve ağabeyine SMS aracılığıyla gönderilmesi üzerine, ilgili avukatlık bürosuna başvuran ancak bir cevap alamayan ilgili kişinin şikayetinin incelenmesi neticesinde;
1. Veri sorumlusunun usule ilişkin itirazlarının yersiz olması nedeniyle reddedilmesine,
2. Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu numaralarla paylaşılmasının; ayrıca ilgili kişinin T.C. kimlik numarası kullanılmak suretiyle GSM aboneliklerinin ve borçlarının sorgulanmasının Kanun hükümlerine aykırılık teşkil ettiği, bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmediği ve genel ilkelere aykırı hareket ettiği dikkate alındığında, veri sorumlusunca yürütülen veri işleme faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca hakkında 125.000 TL idari para cezası uygulanmasına,
3. Veri sorumlusu avukatın savunmasında 6698 sayılı Kanun ve uygulamalarına ilişkin yer alan yanlış tespit ve değerlendirmeler dikkate alındığında, Kanuna uyum konusunda azami dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına
karar verilmiştir.
