Miran Hukuk & Danışmanlık Kurucu Avukatı Çiğdem Yeşiltepe Bozdemir, Kişisel Verilerin Korunması Kanunu (KVKK) hakkında tüm ayrıntı ve son gelişmeleri turizm sektörü için paylaştı.

KİŞİSEL VERİLERİN KORUNMASI HUKUKU

GİRİŞ

Günümüzde kurum ve kuruşlar, bireyler hakkında veri toplamakta, işlemekte ve saklamaktadırlar. Bu durum kişisel verilerin korunmasını gerektirmektedir.

T.C. Anayasası’nın özel hayatın gizliliği başlıklı 20.maddesinde kişisel verilerin korunması güvence altına alınmıştır. İlgili madde uyarınca; kanunda öngörülen haller veya ilgili kişinin açık rızasıyla kişisel veriler işlenebilir. Her birey kişisel verilerinin korunmasını isteme hakkına sahiptir.

 “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

24/03/2016’da yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile kişilerin verileri korunmaktadır. KVKK’da kişisel verilerin işlenmesi bakımından; kişilerin özel hayatının gizliliği öncelikli olmak üzere, temel hak ve özgürlüklerinin korunması ve veri sorumlusu sıfatıyla kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri de düzenlenmiştir.

KVKK’nun 2. Maddesi uyarınca; KVKK, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. İlgili madde de “kişisel verileri işlenen gerçek kişiler” ifadesine yer verildiğinden, kişisek verileri işlenen tüzel kişilerin KVKK kapsamı dışında tutulduğu anlaşılmaktadır.

KİŞİSEL VERİLERİN İŞLENMESİNDE TEMEL İLKELER

Kişisel veriler ancak KVKK’da öngörülen usul ve esaslara göre işlenebilir. KVKK’nın 4.maddesinde kişisel verilerin işlenmesinde zorunlu olarak bu ilkelere yer verilmiştir. Buna göre;

1-Hukuka ve dürüstlük kurallarına uygun olma.

2- Doğru ve gerektiğinde güncel olma.

3- Belirli, açık ve meşru amaçlar için işlenme.

4- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

5- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

VERİ SAHİBİNİN HAKLARI (İLGİLİ KİŞİNİN HAKLARI)

Anayasa’nın 20. Maddesi uyarınca herkes kişisel verilerinin korunmasını isteme hakkına sahiptir. KVKK’nun 11. Maddesi uyarınca da herkes, kişisel verilerinin işlenip işlenmediğini öğrenme, buna ilişkin bilgi talep etme, işlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme, Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmiş kişisel verilerin düzeltilmesini isteme, KVKK’nın 7.maddesinde öngörüler şartlar dahilinde silinmesini, yok edilmesini ve bu kapsamda kişisel verilerin aktarıldığı üçünçü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Kişisel verilerin KVKK’na aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler kural olarak ilgili kişinin açık rızası olmadan işlenemez. Fakat KVKK’nun 5. Maddesinde sayılan şartlardan birinin var olması halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. Bu haller;

1- İlgili kişinin açık rızası

2- Kanunlarda açıkça öngörülmesi.

3- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

4- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

5- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

6-  İlgili kişinin kendisi tarafından alenileştirilmiş olması.

7-  Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

8- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

ÖZEL NİTELİKLİ KİŞİSEL VERİLER

Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Kanunda sınırlı olarak sayılmış bu veriler , öğrenilmesi halinde mağduriyete ve ayrımcılığa yol açabilecek nitelikte olduklarından kanunda farklı madde de düzenlenmiştir.

KVKK’da öngörülen hallerde sağlık ve cinsel hayat dışındaki bu kişisel veriler, ilgili kişinin açık rızası aranmaksızın işlenebilir.

Sağlık ve cinsel hayata ilişkin kişisel veriler ise birtakım şartlar dahilinde sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilir. Bu şartlar; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi

KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde; kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

KİŞİSEL VERİLERİN AKTARILMASI

Kişisel veriler ilgili kişinin açık rızası ile üçüncü kişilere aktarılabilir. İlgili kişinin açık rızası olmadan kişisel verilerin aktarılabileceği haller kanunda gösterilmiştir. Buna göre;

1-KVKK’nun 5. maddenin 2. Fıkrasında sayılan hallerden birinin varlığı halinde,

2- Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde ilgili kişinin açık rızası aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

Kişisel verilerin  ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı KVKK’da düzenlenmiştir. Fakat KVKK’nun

(2) Kişisel veriler, 5. maddenin 2. fıkrası ile 6 .maddenin 3. fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

  1. a) Yeterli korumanın bulunması,
  2. b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

ŞİRKET OLARAK KANUN KAPSAMINDA YÜKÜMLÜLÜKLERİNİZ NELER?

Gerçek kişi verisi ile temas eden Veri sorumlusu sıfatını haiz şirketler mevzuat kapsamında KVKK Uyum sürecine girmek ve eğer kapsama dahilse bu uyum süreci neticesinde Veri Sorumluları Siciline (VERBİS) kaydolmak zorundadır.  Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları ile Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları Sicile kayıt yaptırmak zorundadır.

VERİ SORUMLULARI SİCİLİ NEDİR?

Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur. Dolayısıyla veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması, Sicil aracılığıyla veri işleme sürecinin şeffaf ve güvenilir olmasının sağlanması hedeflenmektedir.

Sicile ilişkin usul ve esaslar ise Veri Sorumluları Sicili Hakkında Yönetmelikte belirlenmiştir. Bu kapsamda Kurulca alınan ve 18.08.2018 tarihli Resmi Gazete’de yayımlanan 2018/88 sayılı Kararda veri sorumluları için kayıt başlama tarihleri aşağıdaki gibi belirlenmiştir:

-Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları 01.10.2018 – 30.09.2019, (yapılan son erteleme ile 30.09.2020’ye ertelenmiştir. Kurul bu tarihten sonra tekrar uzatma kararı vermemiştir.)

-Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 – 31.03.2020 (Kurulun belirlemiş olduğu son tarih: 31.03.2021)

tarihleri arasında Sicile kayıt olmak zorundadır. Kurul bu tarihlerden sonra kayıt yaptırmamış Veri Sorumluları için nihai bir kayıt süresi tanımıştır.

KVKK’ya AYKIRILIK HALLERİ BAĞLAMINDA İDARİ PARA CEZALARI VE HAPİS CEZALARI

2021 KVKK – Aydınlatma yükümlülüğüne aykırılık cezası: 9.834 TL – 196.686 TL

2021 KVKK – Veri güvenliğine ilişkin yükümlülüğe aykırılık cezası: 29.503 TL – 1.966.862 TL

2021 KVKK – VERBİS’e kayıt yükümlülüğüne aykırılık cezası: 39.337 TL – 1.966.862 TL

2021 KVKK – Kurul tarafından verilen kararları yerine getirme yükümlülüğüne aykırılık cezası: 49.172 TL – 1.966.862 TL

CEZAİ YAPTIRIMLAR:

Hukuka aykırı olarak kişisel verileri kaydedilmesi durumunda bir yıldan üç yıla kadar hapis cezası verilebilir. (TCK Madde 135/1)

Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır. (TCK Madde 135/2)

Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. (TCK 136/1)

Yukarıdaki maddelerde tanımlanan suçların kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle ya da belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde, verilecek ceza yarı oranında artırılır. (TCK 137/1)

Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. (TCK 138/1)

Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır. (TCK 138/2)

VERİ SORUMLULARI İÇİN KVKK UYUM SÜRECİ BAĞLAMINDA SUNMUŞ OLDUĞUMUZ DANIŞMANLIK HİZMETİ

-Çalışanlar için periyodik aralıklarla Bilgilendirme toplantılarının yapılması

-İnternet sitesi aydınlatma metinlerinin hazırlanması

-İş Başvuru formlarının, çalışan aydınlatma metinlerinin, çalışan muvafakatnamelerinin ve açık rıza formlarının hazırlanması

-Şirketiniz iş birliği içinde olduğu ve veri aktarımı gerçekleşen firmalarla Kişisel Verilerin Korunması Sözleşmesi hazırlanması

-Tüketici ve müşterilerle imzalanacak sözleşmelerin düzenlenmesi

-Sözleşme metinlerinin düzenlenmesi, departmanların uyumunun sağlanması

-Teknik ve İdari Tedbirlerin alınması

-Veri İmha Politikası hazırlanması

-Bilgi Güvenliği Politikalarının hazırlanması

-KVK Başvuru formu hazırlanması

-Kişisel Veri Envanterinin hazırlanması

-VERBİS Kaydının yapılması