KİŞİSEL VERİLERİN KORUNMASI KANUNU

6698 sayılı Kişisel Verilerin Korunması Kanun Hakkında 

7 Nisan 2016 tarihinde yürürlüğe giren ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’, kişisel verilerin işlenmesi konusunda özel hayatın mahremiyeti başta olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşımaktadır.

Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kişisel verilerin alınma şekilleri, işlenme amaçları, hukuki nedenleri ve hakları konularında ilgili kişiler en şeffaf şekilde bilgilendirilmelidir.

Kişisel veri nedir?

Kişisel veri, kimliği belirli olan veya belirlenebilir gerçek kişiye ilişkin tüm bilgiyi ifade eder.

Örneğin; kişinin adı, soyadı, TC Kimlik Numarası, SGK numarası, özgeçmişi, fotoğrafı, adresi, telefon numarası hatta araç plakası. Özel nitelikli kişisel veri nedir? 

Özel nitelikli kişisel veri; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, kılık ve kıyafeti, dernek, vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder.

Veri sorumlusu kimdir?

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri işleyen kimdir?

Veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

GENEL (TEMEL) İLKELER

1.    a)  HUKUKA VE DÜRÜSTLÜK KURALLARINA UYGUN OLMA

         Hukuka uygunluk, veri işlemenin, kişisel verilerin korunması kanununa veya diğer mevzuata aykırı olmamasıdır.

1.    b) DOĞRU VE GEREKTİĞİNDE GÜNCEL OLMA

        Örnek : Asgari Geçim İndirimi (AGİ) hesaplanırken çocuk sayısının ve eşin çalışma durumunun güncel olması AGİ’nin doğru hesaplanması ve kişinin ekonomik çıkarları açısından önemlidir. 

1.   c) BELİRLİ, AÇIK VE MEŞRU AMAÇLAR İÇİN İŞLENME

        Örnek : Bir e-ticaret sitesinin, alışveriş yapan kişinin ad, soyad ve kargo gönderimi için adres bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadı veya kan grubu bilgisini işlemesi meşru amaç kapsamında değerlendirilemeyecektir.

1. d) İŞLENDİKLERİ AMAÇLA BAĞLANTILI, SINIRLI VE ÖLÇÜLÜ OLMA

           Örnek : Kredi kartı başvurusunda bulunan kişiden, sosyal hayatındaki tercihlerine yönelik bilgi talep edilmesi ölçülülük ilkesine aykırılık oluşturur.

1.   e) İLGİLİ MEVZUATTA ÖNGÖRÜLEN VEYA İŞLENDİKLERİ AMAÇ İÇİN GEREKLİ OLAN SÜRE KADAR MUHAFAZA EDİLME

         Kişisel veriler, belirlenen süre dolduktan, amaç gerçekleştikten ya da veri işleme şartı ortadan kalktıktan sonra gelecekte kullanma ihtimalinin varlığına dayanarak saklanamazlar

         Örnek :  Bir benzin istasyonunun belirli bir sürede belirli miktarda benzin alan kişilere ödül vereceği bir kampanyada, kampanyaya katılım için topladığı isim ve araç plaka bilgilerini başka herhangi bir işleme şartı yok ise kampanya bitiminde silmesi gerekir.

KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

    * İLGİLİ KİŞİNİN AÇIK RIZASI

      İlgili kişinin açık rızası; belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve özgürce verilmiş olmalıdır.

    * KANUNLARDA AÇIKÇA ÖNGÖRÜLMESİ

     Örnek : İş Kanunu gereğince çalışana ait özlük bilgilerinin tutulması.

     * FİİLİ İMKÂNSIZLIK NEDENİYLE RIZASINI AÇIKLAYAMAYACAK DURUMDA BULUNAN VEYA RIZASINA HUKUKİ GEÇERLİLİK TANINMAYAN KİŞİNİN KENDİSİNİN YA DA BİR BAŞKASININ HAYATI VEYA BEDEN BÜTÜNLÜĞÜNÜN KORUNMASI İÇİN ZORUNLU OLMASI

      Örnek : Dağda mahsur kalan bir kişinin kurtarılması amacıyla, cep telefonu sinyali, GPS ve mobil trafik verisinin işlenerek yerinin belirlenmesi.

     * BİR SÖZLEŞMENİN KURULMASI VEYA İFASIYLA DOĞRUDAN DOĞRUYA İLGİLİ OLMASI KAYDIYLA, SÖZLEŞMENİN TARAFLA RINA AİT KİŞİSEL VERİLERİN İŞLENMESİNİN GEREKLİ OLMASI

          Örnek : Bir satıcının müşterisine sattığı bir malı teslim etmek amacıyla müşterisinin adresini taşıma şirketine vermesi.

    * VERİ SORUMLUSUNUN HUKUKİ YÜKÜMLÜLÜĞÜNÜ YERİNE GETİREBİLMESİ İÇİN ZORUNLU OLMASI

          Örnek : Bir şirketin çalışanına maaş ödeyebilmesi için banka hesap bilgilerini işlemesi.

     * İLGİLİ KİŞİNİN KENDİSİ TARAFINDAN ALENİLEŞTİRİLMİŞ OLMASI

            Örnek : Bir kamu kurumunda çalışan personelin ad, soyad ve iş telefonu bilgilerinin vatandaşların kolay erişimini sağlamak amacıyla kurumun internet sitesinde paylaşılması durumunda, bu telefon numaraları, kamu kurumunun yetki alanındaki iş ve işlemlerde kullanılabilecektir. 

    * BİR HAKKIN TESİSİ, KULLANILMASI VEYA KORUNMASI İÇİN VERİ İŞLEMENİN ZORUNLU OLMASI

      Örnek : Bir avukatın, müvekkili ile imzaladığı sözleşme kapsamında, mahkeme nezdinde müvekkili adına dava açma, onu temsil etme veya diğer adli işlemlerini yapma gibi haklarını kullanabilmesine imkan sağlaması için kişisel verileri işlemesi.

    * İLGİLİ KİŞİNİN TEMEL HAK VE ÖZGÜRLÜKLERİNE ZARAR VERMEMEK KAYDIYLA, VERİ SORUMLUSUNUN MEŞRU MENFAATLERİ İÇİN VERİ İŞLENMESİNİN ZORUNLU OLMASI

       Örnek : Bir işletmenin satılması, devralınması gibi bir durumun varlığı halinde, şirketi satın alacak kişinin personelin kişisel verilerinin dâhil olduğu birtakım bilgileri incelemesi meşru menfaat 

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

İLGİLİ KİŞİNİN HAKLARI

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Düzeltilme, silinme veya yok edilme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

AYDINLATMA YÜKÜMLÜLÜĞÜ

• Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,

Aydınlatma yapılırken;

• Kişisel veri işleme amacı belirli, açık ve meşru olmalı,
  •İlgili kişiye yapılacak bildirim anlaşılır ve sade olmalı,
  •Kullanılan dil, bilginin hitap ettiği ilgili kişi kategorisi göz önüne alınarak belirlenmeli,
  •Metinlerde muğlak ifadelerden ve teknik terimlerden kaçınılmalı,
  •Metinlerde eksik, yanıltıcı veya yanlış bilgilere yer verilmemelidir.

CEZAİ DURUMLAR

*Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140’ıncı madde hükümleri uygulanır.

Kanuna göre kişisel verileri ihlal edenlere 1 yıldan 3 yıla kadar hapis cezası öngörülmektedir.

Ayrıca bu veriyi ihlal yolu ile ele geçiren kişiye de 2 yıldan 4 yıla kadar hapis cezası verilebilir.

Kabahatler ;

a)10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b)12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkına 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c)15’nci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

20. d) 16’ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

e)Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

1. f)  Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Teknik Tedbirler 

• Yetki Matrisi
  • Yetki Kontrol
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği
  • Uygulama Güvenliği
  • Şifreleme
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri
  • Log Kayıtları
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Yedekleme
  • Güvenlik Duvarları
  • Güncel Anti-Virüs Sistemleri
  • Silme, Yok Etme veya Anonim Hale Getirme
  • Anahtar Yönetim

İdari Tedbirler

• Kişisel Veri İşleme Envanteri Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
  • Gizlilik Taahhütnameleri
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi (vb.)
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bild