Av. Evin Korkmaz Yazdı: KİŞİSEL VERİLERİN KORUNMASI KANUNU NEDİR, NELERİ İÇERMEKTEDİR?
Av. Evin Korkmaz
Kişisel Verilerin Korunması Kanunu’nun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Kişisel veri; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, Kişisel verilerin işlenmesi; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, Veri sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,Veri işleyen; Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Kişisel veriler ise ancak usul ve esaslara uygun olarak işlenebilir.
Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
+Hukuka ve dürüstlük kurallarına uygun olma
+Doğru ve gerektiğinde güncel olma
+Belirli, açık ve meşru amaçlar için işlenme
+İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
+İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
+ Kanunlarda açıkça öngörülmesi
+Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
+Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
+ Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
+İlgili kişinin kendisi tarafından alenileştirilmiş olması
+Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
+İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişisel veriler; yukarıda belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Veri sorumlusunun, verisi işlenen kişiyi aydınlatma yükümlülüğü vardır.
İlgili kişinin hakları
Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a)Kişisel veri işlenip işlenmediğini öğrenme,
b)Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d)Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e)Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme
e)İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
f)Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
Veri sorumlusunun yükümlülükleri
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula (Kişisel Verileri Koruma Kurulu) şikâyette bulunabilir. Veri sorumlusuna başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz. Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.
Ceza Hukuku bakımından sorumluluk
- Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.
- Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
- Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
- Yukarıdaki maddelerde tanımlanan suçların;
a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,
işlenmesi halinde, verilecek ceza yarı oranında artırılır.
- Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
İdari para cezası bakımından sorumluluk
- Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.834 Türk lirasından 196.686 Türk lirasına kadar,
- Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.503 Türk lirasından 1.966.862 Türk lirasına kadar,
- Kurul tarafından verilen kararları yerine getirmeyenler hakkında 49.172 Türk lirasından 1.966.862 Türk lirasına kadar,
- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 39.337 Türk lirasından 1.966.862 Türk lirasına kadar, idari para cezası verilir.
Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
- İlgili kişi, kişisel verilerinin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde veri sorumlusundan zararın giderilmesini talep etme hakkına sahiptir. Ayrıca, kişilik hakkı ihlal edilen ilgili kişilerin genel hükümlere göre tazminat hakkı da bulunmaktadır.
Yukarıda bahsettiğim işlemleri avukatınız aracılığıyla gerçekleştirmeniz daha sağlıklı bir sonuca ulaşmanızı sağlayacaktır. Danışmak veya hukuki yardım almak için aşağıdaki bilgilerimden bana ulaşabilirsiniz. Bir daha ki yazımda görüşmek üzere.
Hukukla kalın:)
Twitter adresi: https://www.twitter.com/evin_korkmaz/
Büro adresi: Kültür mah. Yaşar Kemal Cad. No:29/B Kat:1 Kurtalan/Siirt
Kurtalan Ziraat Bankası karşısı
E-posta: [email protected]