KVKK

KVKK’ ya uyumun sağlanması amacıyla Hukuk Bürosu olarak müvekkillerimize:

KVKK kapsamında müvekkillerin tâbi oldukları yükümlülüklerin tespiti ve analizi,
İlgili yükümlülüklerin yerine getirilebilmesi bakımından müvekkillerin kullanmaları gereken veri kayıt sistemlerinin oluşturulması aşamasında IT departmanları ile gereken işbirliğinin sağlanması ve mevcut durumda kullanılmakta olan veri kayıt sistemlerinin KVKK kapsamındaki yükümlülüklere uyumlu hale getirilmesi bakımından gerekli desteğin sunulması,
Müvekkillerin KVKK kapsamında müşterileriyle veya iş ortaklarıyla akdetmeleri gereken sözleşmelerin hazırlanması ve/veya revize edilmesi,
KVKK kapsamındaki yükümlülüklere tam anlamıyla uyumun sağlanması bakımından Veri Sorumlusu bünyesindeki ilgili tüm departmanlara (hukuk, İK, IT, pazarlama, halkla ilişkiler vb.) şirket içi farkındalık eğitimlerinin sunulması,

Kişisel Verilerin Korunması Kanunu

Türkiye, gerek üyelik sürecinde olduğu Avrupa Birliği’nin müktesebatına uyum sağlamak gerekse 1981 yılında imzaladığı “Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme”nin onayı kapsamında Kişisel Verilerin Korunmasına Dair Kanun tasarısını hazırlamış ve 2008 yılında TBMM’ye göndermiştir. Aradan geçen 8 yılın sonunda söz konusu kanun tasarısı ancak 2016 yılında yasalaşmıştır. 6698 Sayılı Kişisel Verilerin Korunması Kanunu, 07.04.2016 tarihinde Resmi Gazete’de yayınlanmış ancak kanunun bazı maddelerinin 6 ay sonra yürürlüğe gireceğine dair yürütme maddesi nedeniyle söz konusu kanunun bazı kritik maddeleri 7 Ekim 2016 tarihinde yürürlük kazanmıştır.

Kişisel Verilen Korunması

Kişisel verilerin korunması (protection of personal data), gerçek kişilere ait olan ve onların belirlenebilir bir başka ifadeyle teşhis edilebilir olmasını sağlayan kişiye özgü ve özel bilgilerin hukuki anlamda koruma altına alınmasını ifade eder. Kişisel verilerin korunması, teknolojinin ilerlemesi ve veri güvenliği konularının gündeme gelmesi üzerine ilk defa 1995 yılında Avrupa’da hukuki çerçeveye oturmaya başlamıştır.

“Kişisel Veri” Kavramı

Kişisel Verilerin Korunması Kanunu’nda “kişisel veri” kavramı 1995/46/EC sayılı Avrupa Komisyonu direktifine (data protection directive) paralel şekilde, “kimliği belirli veya kimliği belirlenebilir gerçek kişilere ilişkin her türlü bilgi” olarak tanımlanmıştır. Kanunun gerekçesinde, kişisel veri kavramının sadece ad, soyad, doğum yeri, doğum tarihi gibi kişilerin tanınmasını ve teşhisini sağlayan bilgilerden ibaret olmadığı ayrıca kişilerin fiziksel, sosyal, kültürel, ekonomik, psikolojik tüm bilgileri kapsadığı ifade edilmiştir. Bu kapsamda kişinin kimlik bilgilerine ek olarak, vatandaşlık numarası, vergi numarası, pasaport numarası, sosyal güvenlik numarası, sürücü belgesi numarası, taşıt plakası, ev adresi, iş adresi, e-posta adresi, telefon numarası, faks numarası, özgeçmişi, fotoğrafı, videosu, genetik bilgileri, kan grubu, kriminal geçmişi ve adli sicil bilgileri gibi kişinin belirli veya belirlenebilir olmasını sağlayan tüm bilgiler kişisel veri niteliği taşımaktadır ve kişisel verilerin korunması kapsamına girmektedir.

Veri Sorumlusu kimdir, görevi nedir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade etmektedir. Veri sorumlusu sıfatı taşıyanlar, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sisteminin kurulması ve yönetilmesi işlemlerinden sorumludur.

Veri sorumlusunun kanunda tanımlanan temel görevlerinden ilki aydınlatma yükümlülüğüdür. Veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişilere, kendi kimliği, veri toplamanın yöntemi ve hukuki sebebi, verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği ve ilgili kişilerin hakları konusunda bilgi vermekle ve ilgili kişileri bu anlamda aydınlatmakla yükümlüdür. Veri sorumlusunun, kişisel verilerin korunması kapsamında diğer bir görevi ise verilerin güvenliğini sağlamaktır. Veri sorumlusunun veri güvenliği kapsamında, kişisel verilerin hukuka aykırı olarak erişilmesini ve işlenmesini önlemek, kişisel verilerin muhafazasını sağlamak ve gerekli denetimleri yapmakla yükümlüdür.

Söz konusu yükümlülükler son derece önemli olup kanunda ciddi yaptırımlara bağlanmıştır. Bu kapsamda aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 TL’den 100.000 TL’ye kadar ve veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TL’den 1.000.000 TL’ye kadar para cezası öngörülmüştür.

Kişisel Verinin İşlenmesi Nedir?

Kişisel verilerin işlenmesi, kişisel verilerin kısmen veya tamamen otomatik yollarla veya herhangi bir veri kayıt sistemine eklenmek üzere manuel yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem anlamına gelmektedir. Nitekim ilgili Avrupa Birliği Direktifinde de kişisel verilerin işlenmesi tanımında “otomatik ve otomatik olmayan” ibaresine yer verilerek işleme açısından verinin işlenme şeklinin bu anlamda önemli olmadığı vurgulanmıştır.

Kişisel Verilerin İşlenme Şartları

Kişisel verilerin işlenmesi için temel şart, ilgili kişinin açık rızasının alınmasıdır. Dolayısıyla kişisel verilerin korunması amacıyla ilgili şahıs açıkça rıza göstermediği sürece kişisel veriler işlenemez. Ancak genel kural bu olmakla birlikte aşağıdaki belirtilen durumlarda kişisel verilerin işlenmesi için ilgili kişinin rızası aranmayacaktır.

Kanunlarda kişisel verinin işleneceğinin açıkça öngörülmesi.
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
Bir sözleşmenin kurulması veya ifasıyla doğrudan alakalı olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
İlgili kişinin kendisi tarafından alenileştirilmiş olması.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel veriler, işlenmeyi gerektiren sebeplerin sona ermesi durumunda resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinecek, yok edilecek veya anonim hale getirilecektir. Bu itibarla kişisel verini işlenmesini gerektiren sebep ve durumlar ortadan kalktığında ya da kişisel veri sahibi talep ettiğinde artık kişisel veri işlenemeyecek ve silinerek yok edilecek ya da anonim hale getirilecektir.

Özel Nitelikli Kişisel Veri Kavramı

Özel nitelikli kişisel veri, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Görüldüğü üzere, Kişisel Verilerin Korunması Kanunu, bir takım kişisel verileri “özel nitelikli kişisel veri” kapsamında değerlendirmiş ve ilgilinin rızası olmaksızın bu tür verilerin işlenmesini yasaklamıştır. Bu kapsamda olmak üzere kişilerin ırkı, siyasi düşüncesi, felsefi inancı, dini inancı, mezhebi veya diğer inançları ile dernek, vakıf veya sendika üyeliği, sağlık bilgileri ile özel yaşamları dair bilgiler ile herhangi suçtan mahkumiyete dair tüm bilgiler “özel veri” sayılmış ve bu tür özel verilerin işlenmesi prensip olarak yasaklanmış ve bu verilerin işlenmesi belirli şartlara bağlanmıştır..

Elektronik Ticaret Kanunu’nda Kişisel Verilerin Korunması

Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, özellikle e-ticaret yapan kişi ve kurumlar (hizmet sağlayıcı) ile e-ticaret yapılması için ortam sağlayanlar (aracı hizmet sağlayıcı) için kişisel verilen korunması bakımdan bir takım yükümlülükler getirmektedir. Ancak, kişisel verilerin korunması hususu halen tasarı halinde olan bir yasa metni ile düzenlendiğinden ve e-ticaretle ilgili bu kanunda kişisel verilere ilişkin detaylı düzenlemeler getirilmemiştir. Hatta kanun yapma tekniğine aykırı bir şekilde kişisel verilerin korunmasına dair bir takım yükümlülükler (kurallar) getirildiği halde kanun metnine herhangi bir yaptırım konulmamıştır. Şöyle ki; elektronik ticaret kanununun idari para cezalarına ilişkin 12. maddesinde diğer ihlallerle ilgili bir takım para cezası yaptırımlarına yer verildiği halde kişisel verilerin korunması yükümlülüğünün ihlali bakımından herhangi bir para cezası öngörülmemiştir. Ancak kişisel verilerin korunması noktasında cezai sorumluluk bakımından Türk Ceza Kanunu’nun 135. ve 136. maddeleri kişisel verilerin kaydedilmesi ve ele geçirilmesi suçlarını düzenlemektedir.