Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait ilişkin her türlü bilgidir. Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına dini inancına ve siyasi görüşüne ilişkin bilgiler kişisel veri olarak nitelendirilmektedir.
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel verilerin: elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Kişisel verilerin işlenmesi işlemi elle veya bilgisayarla gerçekleştirilebilir.
6698 sayılı kişisel verilerin korunması kanunu, kişisel verilerin istismar edilmesi riskini bertaraf etmek, verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesini önlemek, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak amacını taşır ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini belirler.
6698 sayılı kişisel verilerin korunması kanunu hükümleri, kişisel verileri işlenen gerçek kişiler ve kişisel verileri işleyen gerçek ve tüzel kişiler hakkında uygulanır, uymayan gerçek ve tüzel kişiler hakkında idari ve cezia müeyyideler içerir. Bu doğtultuda; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel verilerin korunması kanunu kapsamında uyum süreçlerini tamamlamaları gerekmektedir.
Gerçek ve tüzel kişilerin, uyum süreçlerinin, 6698 sayılı kişisel verilerin korunması kanunu’na uygun olarak yapılması noktasında hukuki ve teknik hizmet almaları aşağıda yer alan aşamaların sağlıklı yürütülmesi için gereklidir:
- Hukuki ve teknik durumun saptanması
- Uyum sürecinin süresi ve aşamalarının belirlenmesi
- Kişisel verilerin korunması uyum ekibinin oluşturulması
- Hukuki ve teknik raporlamaların yapılması
- Kişisel veri envanterinin hazırlanması
- Politikaların, aydınlatma ve rıza metinlerinin, teslim tesellüm belgelerinin, prosedürlerin ve tutanakların hazırlanarak teknik altyapıyının kişisel verilerin korunmasına uygun hale getirilmesi
- Kişisel verilerin korunmasına yönelik eğitimlerin verilmesi
Teknik altyapının kişisel verilerin korunmasına uygun hale getirilmesi ile veri güvenliğinin sağlanması amacıyla da aşağıda yer alan teknik aşamaların hayata geçirilmesi önemlidir:
- Risk analizi
- Hassas veri keşfi
- Veri sınıflandırma
- Veri sızıntısı önleme
- Ağ ve veri güvenliği
- Veri silme ve yok etme planlaması
Güncellenen mevzuat, değişen güvenlik anlayışı, her gün gelişen teknoloji karşısında kişisel verileri işleyen gerçek ve tüzel kişilerin güncel ve güvende kalmasını sağlamak adına aşağıda yer alan teknik tedbirlerin de uygulanması zorunludur:
- Yetki matrisi
- Yetki kontrol
- Erişim logları
- Kullanıcı hesap yönetimi
- Ağ güvenliği
- Uygulama güvenliği
- Şifreleme
- Sızma testi
- Saldırı tespit ve önleme sistemleri
- Log kayıtları
- Veri maskeleme
- Veri kaybı önleme yazılımları
- Yedekleme
- Güvenlik duvarları
- Güncel anti-virüs sistemleri
- Silme, yok etme veya anonim hale getirme
- Anahtar yönetimi
Kişisel Verileri Koruma Kanunu Hakkında Genel Bilgiler
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN AMACI NEDİR?
- Kişisel verilerin istismar edilmesi riskini bertaraf etmek, verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesini önlemek
- Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve
- Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KİMLER HAKKINDA UYGULANMAKTADIR?
- Kişisel verileri işlenen gerçek kişiler ve
- Kişisel verileri işleyen gerçek ve tüzel kişiler
hakkında uygulanır.
KİŞİSEL VERİ NEDİR?
- Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait ilişkin her türlü bilgidir.
- Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir.
- Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına dini inancına ve siyasi görüşüne ilişkin bilgiler kişisel veri olarak nitelendirilmektedir(Adalet Komisyonu Raporu).
KİŞİSEL VERİNİN İŞLENMESİ NEYİ İFADE EDER?
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel verilerin:
- Elde edilmesi,
- Kaydedilmesi,
- Depolanması,
- Muhafaza edilmesi,
- Değiştirilmesi,
- Yeniden düzenlenmesi,
- Açıklanması,
- Aktarılması,
- Devralınması,
- Elde edilebilir hale getirilmesi,
- Sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kişisel verilerin işlenmesi işlemi elle veya bilgisayarla gerçekleştirilebilir.
VERİ SORUMLUSU KİMDİR?
- Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,
- Veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
KİŞİSEL VERİYİ İŞLEYEN KİMDİR?
- Veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
VERİ KAYIT SİSTEMİ NEDİR?
- Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
- Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir.
- Buna göre veri kayıt sisteminde kişisel veriler, ad soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir.
KİŞİSEL VERİLERİN İŞLENMESİNDE ANA KURAL NEDİR?
- Kural olarak, kişisel veriler, ilgili kişinin (kişisel verisi işlenen gerçek kişinin) açık rızası olmaksızın işlenemez. Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan rızayı ifade etmektedir.
KİŞİSEL VERİLERİN, KİŞİSEL VERİSİ İŞLENEN KİŞİNİN RIZASI ARANMAKSIZIN İŞLENDİĞİ İSTİSNAİ HALLER NELERDİR?
- Kanunlarda açıkça öngörülmesi
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması
- Kişisel verisi işlenen kişi tarafından bu kişisel verinin alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
KİŞİSEL VERİLERİN İŞLENMESİNDE GÖZETİLEN ANA İLKELER NELERDİR?
- Hukuka ve dürüstlük kurallarına uyma;
- Doğru ve gerektiğinde güncel olma;
- Belirli, açık, meşru amaçlar için işlenme;
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma;
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
ÖZEL NİTELİKLİ KİŞİSEL VERİLER NELERDİR?
- Irk
- Etnik köken
- Siyasi düşünce
- Felsefi inanç
- Din
- Mezhep
- Diğer inançlar
- Kılık ve Kıyafet
- Dernek, Vakıf ya da sendika üyeliği
- Sağlık
- Cinsel hayat
- Ceza mahkûmiyeti ve güvenlik tedbirleri
- Biyometrik ve genetik veriler
özel nitelikli kişisel verilerdir.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE ANA KURAL NEDİR?
- Özel nitelikteki kişisel verilerin işlenmesi için kişisel verisi işlenecek olan gerçek kişinin açık rızasının bulunması şarttır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN, İLGİLİ KİŞİNİN AÇIK RIZASI ARANMAKSIZIN İŞLENEBİLDİĞİ İSTİSNAİ HALLER NELERDİR?
- Özel nitelikli kişisel verilerden sağlık ve cinsel hayat dışındaki kişisel veriler, ancak Kanunlarda öngörülen hallerde ilgili kişinin açık rızası olmaksızın işlenebilir.
- Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak:
- Kamu sağlığının korunması,
- Koruyucu hekimlik,
- Tıbbi teşhis,
- Tedavi ve bakım hizmetlerinin yürütülmesi,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
KİŞİSEL VERİLER NE ZAMAN, NASIL SİLİNİR / YOK EDİLİR / ANONİM HALE GETİRİLİR?
- Kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kendiliğinden veya kişisel verisi işlenen kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
KİŞİSEL VERİLERİN AKTARILMASINDA ANA KURAL NEDİR?
- Kişisel veriler, kural olarak, ilgilinin açık rızası olmaksızın aktarılamaz.
KİŞİSEL VERİLERİN İLGİLİ KİŞİNİN RIZASI OLMAKSIZIN AKTARILABİLECEĞİ İSTİSNAİ DURUMLAR NELERDİR?
- Kanunlarda açıkça öngörülmesi
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması
- Kişisel verisi işlenen kişi tarafından bu kişisel verinin alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
HANGİ ÖZEL NİTELİKLİ KİŞİSEL VERİLER, İLGİLİ KİŞİNİN RIZASI OLMAKSIZIN AKTARILABİLİR?
- Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler, biyometrik ve genetik veriler, Kanunlarda öngörülen hallerde, ilgilinin rızası olmaksızın aktarılabilir.
- Sağlık ve cinsel hayat ile ilgili veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilir.
KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASINDA İZLENECEK USUL VE ESASLAR NELERDİR?
Kişisel verilerin aktarılmasına ilişkin kurallar geçerli olmak üzere, ayrıca, kişisel verinin aktarılacağı yabancı ülkede:
- Yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla yurt dışına ilgilinin açık rızası olmaksızın aktarılabilir.
YURT DIŞINDA YETERLİ KORUMANIN BULUNDUĞU ÜLKELER NASIL BELİRLENİR?
- Yeterli korumanın bulunduğu ülkeler, Kişisel Verileri Koruma Kurulu’nca belirlenerek ilan edilir.
VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜNÜN KAPSAMI NEDİR?
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi kişisel verileri işlenen gerçek kişilere:
- Veri sorumlusunun ve varsa temsilcisinin kimliği;
- Kişisel verilerin hangi amaçla işleneceği
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- Kişisel verisi işlenecek olan kişinin hakları
konularında bilgi vermekle yükümlüdür.
VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜNÜN İHLALİ HALİNDE HANGİ YAPTIRIM UYGULANIR?
- Kişisel Verileri Koruma Kanunu’nun maddesinde öngörülen, veri sorumlularının, kişisel verisi işlenen kişileri aydınlatma yükümlülüklerini yerine getirmeyenler hakkında idari para cezası verilir.
KİŞİSEL VERİSİ İŞLENECEK OLAN KİŞİLERİN HAKLARI NELERDİR?
- Kişisel veri işlenip işlenmediğini öğrenme;
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme;
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme;
- Yurt içinde veya yurt dışındaki kişisel verilerin aktarıldığı üçüncü kişileri bilme;
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme;
- Kişisel verilerin işlenme sebebinin ortadan kalkması durumunda kişisel verilerinin silinmesini veya yok edilmesini isteme;
- Kişisel bilgilerin aktarıldığı üçüncü kişilere kişisel ferilerin eksik veya yanlış işlenmesi durumunda düzeltme işleminin ve kişisel verilerin işlenmesi sebebinin ortadan kalkması halinde silme / yok etme işlemlerinin bildirilmesini isteme;
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme;
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
VERİ SORUMLUSUNUN VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLERİ NELERDİR?
Veri sorumlusu:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek;
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek;
- Kişisel verilerin muhafazasını sağlamak;
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde (veri işleyen) birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Veri sorumlusu, kendi kurum ve kuruluşlarında bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır.
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
VERİ SORUMLUSUNUN VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜĞÜNÜN İHLALİ HALİNDE HANGİ YAPTIRIM UYGULANIR?
- Kişisel Verileri Koruma Kanunu’nun 12. maddesinde öngörülen, veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyenler hakkında idari para cezası verilir.
KİŞİSEL VERİSİ İŞLENEN GERÇEK KİŞİNİN, VERİ SORUMLUSUNA BAŞVURU USULÜ NEDİR?
- Kişisel verisi işlenen gerçek kişi, bu Kanunun uygulanması ile ilgili taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
- Veri sorumlusu, başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede en geç otuz gün içinde ücretsiz olarak cevaplandırır.
- Veri sorumlusu, talebi:
- Kabul eder veya
- Gerekçesini açıklayarak reddeder;
ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.
- Başvuruda yer alan talebin kabul edilmesi halinde veri sorumlusunca gereği yerine getirilir.
- Başvurunun veri sorumlusunun hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir.
KİŞİSEL VERİSİ İŞLENEN GERÇEK KİŞİ TARAFINDAN, KİŞİSEL VERİLERİ KORUMA KURULU’NA ŞİKÂYET, HANGİ HALLERDE VE NE ŞEKİLDE YAPILIR?
- İlgili kişi, başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvurudan itibaren altmış gün içinde Kurul’a şikayette bulunabilir. Veri sorumlusuna başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz. Kişilik hakkı ihlal edilenlerin, genel hükümlere göre tazminat hakları saklıdır.
KİŞİSEL VERİLERİ KORUMA KURULU’NUN, ŞİKÂYET ÜZERİNE VEYA KENDİLİĞİNDEN YAPACAĞI İNCELEMEYE İLİŞKİN USUL VE ESASLAR NELERDİR?
- Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen, görev alanına giren konularda gerekli incelemeyi yapar.
- 1/11/1984 tarihli, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunu’nun 6. maddesinde belirtilen şartları taşımayan ihbar veya şikayetler incelemeye alınmaz.
- Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kişisel Verileri Koruma Kurulu’nun inceleme konusu ile ilgili istemiş olduğu bilgi ve belgeleri onbeş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına olanak sağlamak durumundadır.
- Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.
- İhlalin varlığının tespiti halinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesinde karar karar vererek ilgililere tebliğ eder. Bu karar tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
- İhlalin yaygın olduğunun tespiti halinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul ilke kararı almadan önce ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşlerini de alabilir.
- Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar verebilir.
KİŞİSEL VERİLERİ KORUMA KURULUNUN VERDİĞİ KARARLARIN YERİNE GETİRİLMEMESİ HALİNDE UYGULANACAK YAPTIRIM NEDİR?
Kişisel Verileri Koruma Kanunu’nun 15. maddesi uyarınca, Kişisel Verileri Koruma Kurulu’nun verdiği kararları yerine getirmeyenler hakkında idari para cezası verilir.
KİŞİSEL VERİLERİ İŞLEYEN GERÇEK VE TÜZEL KİŞİLERİN “VERİ SORUMLULARI SİCİLİ”NE KAYDOLMA ZORUNLULUKLARI VAR MIDIR?
- Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kaydolmak zorundadır. Ancak işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından Veri sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
- Veri Sorumluları Sicili, Kişisel Verilerin Korunması Kurulu’nun gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından kamuya açık olarak tutulur.
VERİ SORUMLULARI SİCİLİNE KAYIT BAŞVURUSU NASIL YAPILIR?
Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirim ile yapılır:
- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri
- Kişisel verilerin hangi amaçla işleneceği
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
- Yabancı ülkelere aktarımı öngörülen kişisel veriler
- Kişisel veri güvenliğine ilişkin alınan tedbirler
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
VERİ SORUMLULARI SİCİLİNE KAYIT VE BİLDİRİM YÜKÜMLÜLÜĞÜNÜN İHLALİ HALİNDE UYGULANACAK YAPTIRIM NEDİR?
- Kişisel Verilerin Korunması Kanunu’nun 16. maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında idari para cezası verilir.
BU KANUNDA DÜZENLENEN İDARİ PARA CEZALARI KİMLER HAKKINDA UYGULANIR?
- Bu Kanunda düzenlenen idari para cezaları, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
KİŞİSEL VERİLER İLE İLGİLİ SUÇLAR; BU SUÇLAR İÇİN TÜRK CEZA KANUNUNDA YER ALAN DÜZENLEMELER NELERDİR?
- Kişisel verilere ilişkin suçlar hakkında 5237 Sayılı Türk Ceza Kanunu’nun 135 ila 140. madde hükümleri uygulanır.
KİŞİSEL VERİLERİN KORUNMASI KANUNU HÜKÜMLERİNİN UYGULANMAYACAĞI İSTİSNAİ DURUMLAR NELERDİR?
- Gerçek kişilerin, tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili kişisel verileri, üçüncü kişilere vermemek ve veri güvenliğine ilişkin yükümlülüklere uymak kaydıyla işlemeleri
- Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi;
- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi
- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi
- Kişisel verilerin soruşturma kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi
- Ayrıca aşağıdaki hallerde, Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. madde; zararın giderilmesini talep hakkı hariç ilgili kişinin haklarını düzenleyen 11. madde; Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. madde uygulanmaz:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturma için gerekli olması
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması
Kişisel Verileri Koruma Kurulu (KVKK) Kararları
Ankara KVKK Avukat