(0232) 461 46 12 - (0546) 232 35 62
Yargı Kararları
Anayasa Mahkemesi, Yargıtay, Danıştay kararlarını ilk önce siz öğrenin !
TÜMÜNÜ GÖR

KİŞİSEL VERİLERİN KORUNMASI KANUNU

KİŞİSEL VERİLERİN KORUNMASI KANUNU

Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır?

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.

Kanun Kapsamındaki Kısmi İstisna Halleri Nelerdir?

Kural olarak aşağıda belirtilen haller yalnızca belirli Kanun hükümlerinden istisna tutulmakta olup, bunun dışında kalan Kanun hükümlerine ise tabidirler. Kanunun amacına ve temel ilkelerine uygun ve orantılı olma şartıyla Kanunda veri sorumlusunun aydınlatma yükümlülüğünün düzenlendiği 10. madde, zararın giderilmesini talep etme hakkı hariç olmak üzere ilgili kişinin haklarının düzenlendiği 11. madde ve Veri Sorumluları Siciline kayıt yükümlülüğünün düzenlendiği 16. madde hükümleri, belirtilen faaliyet alanları ile sınırlı olmak üzere uygulanmamaktadır. Bu kapsamda, Kanunun amacına ve temel ilkelerine uygun ve orantılı olma şartı ile bazı hükümlerden muaf tutulan haller şunlardır;

a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi, c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre;

1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.

2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.

3. Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.

Kanunda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım yoluna gidilmediğinden, kapsamının genişletilmesi mümkündür. Önemli olan verinin kişi ile ilişkilendiriliyor olması ya da onu tanımlayabilmesidir. Örneğin, takma isimler tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir. Ayrıca, sıkça kullanılan kimliği belirli veya belirlenebilir gerçek kişiyle ilişkili müşteri şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları gibi raporlar, ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları gibi kayıtlar, özgeçmiş, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri gibi belgeler ve mektup, davet yazıları gibi yazılar/kayıtlar içinde yer alan veriler de kişisel veri olarak addedilebilir. Ancak yine de bunların kişisel veri olup olmadığı her somut olayın özelliğine göre “kişiyi tanımlayabilme” kabiliyeti dikkate alınarak değerlendirilmelidir.

Özel Nitelikli Kişisel Veriler Nelerdir?

Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Buna göre, hassas veriler kişisel verilerin daha fazla koruma uygulanan küçük bir grubu olarak değerlendirilebilir.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları Nelerdir?

Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişiler hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanun, bu verilere özel bir önem atfetmekte ve bu verilerle ilgili farklı bir düzenleme getirmektedir. Kanun bunları özel nitelikli kişisel veri ya da hassas veriler olarak kabul etmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir. Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel veriler ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller, Kanunda farklı düzenlenmiştir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Belirtmek gerekir ki, bütün durumlarda, özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Açık Rıza Nedir?

Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır. Açık rızanın üç unsuru bulunmaktadır:

1. Belirli bir konuya ilişkin olması: Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Buna göre genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz bir rıza tek başına Kanun bağlamında açık rıza olarak kabul edilemez. Diğer bir ifade ile battaniye rızalar hukuken geçersizdir.

2. Rızanın bilgilendirmeye dayanması: Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesi gerekir. Bu kapsamda, kişiye yapılacak bilgilendirme, mutlaka verinin işlenmesinden önce yapılmalı ve veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir.

Bilgilendirme yapılırken elde edilecek kişisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmeli, kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır.

3. Özgür iradeyle açıklanması: Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde kişinin özgür biçimde karar vermesi mümkün değildir. Örneğin, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez. Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir. Örneğin, bir hizmetten yararlanılmasının üyelik şartına bağlandığı yerlerde, üye olmak isteyen ilgili kişinin parmak izinin alınması ve işlenmesinin üyelik sözleşmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır. Çünkü bu şekilde alınan açık rıza özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilkesine aykırı olacaktır.

Açık Rıza Herhangi Bir Şekil Şartına Tabi midir?

Açık rıza beyanı herhangi bir şekil şartına tabi değildir. Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır. Dolayısı ile sözlü, yazılı, elektronik ortam vb. yöntemlerle açık rıza alınması mümkündür. Bununla birlikte, açık rızanın yazılı olduğu durumlarda, açık rıza metinleri açık, anlaşılır ve yalın bir şekilde kaleme alınmalıdır. Ayrıca, açık rızanın, olumlu bir irade beyanı içermesi gerekmektedir. Diğer bir ifade ile, açık rızanın şüpheye yer vermemesi gerekmekte, rızanın talep edilmesine ve alınmasına ilişkin işlemler, ilgili kişinin bu konudaki niyetini açık bir şekilde ortaya koyar nitelikte olmalıdır. Açık rızanın alındığı konusundaki ispat yükü ise veri sorumlusuna aittir.

Açık Rıza Geri Alınabilir mi?

Açık rıza geri alınabilir. Çünkü bu kişiye sıkı sıkıya bağlı bir haktır. Ayrıca kişisel verilerin geleceğini belirleme hakkı ilgili kişiye aittir. Bu bağlamda kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Ancak geri alma işlemi ileriye yönelik sonuç doğurur. Geri alma beyanın veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler durdurulmalıdır. Geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.

Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Veri sorumlusunun tespiti için kişisel verilerin işlenmesi ve işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle saklanacağı, ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi hususlara kimin karar verdiği dikkate alınır. Burada belirtilmesi gereken diğer bir husus ise, eğer veri işleme faaliyeti bir tüzel kişilik tarafından gerçekleştiriliyorsa, burada veri sorumlusu tüzel kişinin kendisidir. Tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler Kanunun uygulanması bakımından veri sorumlusu sayılmazlar. Veri sorumlusunun tüzel kişi olması halinde, veri sorumlusu yükümlülüğü ilgili tüzel kişilik üzerinde doğacaktır. Bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir. Tüzel kişiliği temsil ve ilzama yetkili olan organ veya kişiler tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler. Bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmaz ve ilgili gerçek kişilerin de veri sorumlusu olarak tanımlanmasını sağlamaz. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından da Kanunda bir farklılık gözetilmemiştir. Bu çerçevede hukuki ve cezai sorumluluk bakımından, tüzel kişilerin sorumluluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.

Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi Ne Demektir?

Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi; • Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını, • Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, • Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlamaktadır. Kişisel veri işleme amaçlarının belirli, meşru ve açık olması ilkesi özellikle açık rıza ve aydınlatma metinlerinin kaleme alınması sırasında; kişisel veri işleme faaliyetlerinin hukuka uygun olarak gerçekleştirildiğinin tespitinin sağlanması noktasında önem taşır. Açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişinin başvurularını cevaplama, veri sorumlusu siciline olan başvuru) belirlilik ve açıklık ilkesine uyumda hassasiyet gösterilmesi, anlaşılmayan terminoloji kullanımından kaçınılmasıdır. Bu esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da önemlidir.

Kişisel Verilerin, İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması İlkesi Ne Demektir?

Amaçla sınırlılık” kişisel verilerin korunmasında hâkim olan en önemli ilkelerden biridir. Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamalıdır. Kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan ölçüde kişisel veri toplanmamalı ve/ veya işlenmemelidir. Buna göre kişisel veriler yalnızca belirli amaçlar için ve gerektiği kadar toplanmalı, amacın gerektirdiği yerlerde kullanılmalıdır. Bu bakımdan, kişisel veriler toplandıktan sonra, ileride ortaya çıkabilecek yeni işleme amaçları dâhilinde işleme yapılması için, verilerin ilk defa toplanması sırasında sağlanması gereken şartlar yeni amaçlar için de tekrar aranmalıdır. Örneğin, bir taşımacılık firması tarafından taşıma sözleşmesi kapsamında kaydedilen adres bilgileri, sonrasında pazarlama faaliyeti için de kullanılacaksa, bu amaçla kullanım yapılabilmesi için kişisel veri işleme şartlarının karşılanıp karşılanmadığının yeniden değerlendirilmesi gerekmektedir. Bunun yanı sıra işlenen veri, sadece veri işleme amacının gerçekleştirilmesi için gerekli olanla sınırlı tutulmalıdır. Örneğin, bir tekstil firması tarafından müşterilere ilişkin kimlik ya da iletişim verilerinin tutulması satış işlemlerinin takibi vb. amaçlarla bağdaşırken, müşterilerin finansal geçmişine ilişkin verilerin toplanmasının amaçla bağlantılı ve ölçülü olduğu söylenemez. Bunun yanında amaçla bağlantılı, sınırlı ve ölçülü olma şartının her ilgili kişi ve süreç için ayrı ayrı değerlendirilmesi gerekmektedir. Çünkü belirli bir kişi ve süreç için gerekli olan bilgi, bir diğer kişi için ölçüsüz olabilecektir. Bu hususa özellikle özel nitelikli kişisel veriler konusunda dikkat edilmesi gerekir. Bir iş yerinde insan kaynakları birimince çalışanların mali haklarının belirlenebilmesi için sendika üyeliği verisinin alınması ölçülü kabul edilecekken, aynı iş yerinin AR-GE birimince söz konusu verinin alınması ölçülü olarak kabul edilmeyecektir

Kişisel Verilerin Anonim Hale Getirilmesi Nedir?

Anonim hale getirme kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Diğer bir ifade ile anonim hale getirme bir veri kümesindeki tüm doğrudan ve dolaylı tanımlayıcıların çıkarılarak veya değiştirilerek ilgili kişinin kimliğinin saptanabilmesinin engellenmesi ya da bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişi ile ilişkilendirilemeyecek şekilde kaybetmesidir. Bu kapsamda, veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez. Anonim hale getirilen veri artık kişisel veri niteliklerine sahip olmayacağından, Kanun hükümleri kapsamında değerlendirilemeyecektir. Veri setleri anonim hale getirilme işlemlerine tabi tutuldukları ana kadar kişisel veri niteliklerine sahip olduklarından, bu veriler üzerinde gerçekleştirilecek her türlü işlem kişisel verilerin işlenmesi olarak kabul edilmektedir

Veri Sorumlusunun Aydınlatma Yükümlülüğünün Kapsamı Nedir?

Veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11. maddesinde sayılan diğer hakları konusunda ilgili kişiyi bilgilendirmekle yükümlüdür. Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin onayına tabi değildir. Kişisel veri işleme faaliyeti kapsamında kişisel verinin elde edilmesi sırasında veri sorumlusu tarafından ilgili kişilerin aydınlatılması gerekmektedir. Bununla birlikte aydınlatma yükümlülüğü yerine getirilirken ilgili kişiye verilecek bilgiler, eğer Veri Sorumluları Siciline kayıt yükümlülüğü varsa, Veri Sorumluları Siciline açıklanan bilgilerle uyumlu olmalıdır. Kayıt yükümlüğü yoksa Kanunun 10. ve 11. maddeleri kapsamında aydınlatma yükümlülüğü yerine getirilmelidir. Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olmadığı ve faaliyetin Kanundaki başka şartlar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ve yetkilendirdiği kişinin ilgili kişiyi aydınlatma yükümlülüğü devam etmektedir.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Şekil Şartı Var mıdır?

Aydınlatma yükümlülüğünün yerine getirilmesi konusunda bir şekil şartı bulunmamaktadır. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir .

İlgili Kişinin Hakları Nelerdir?

Kanunun 11. maddesi çerçevesinde herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a. Kişisel verilerinin işlenip işlenmediğini öğrenme,

b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e. Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f. Maddenin (d) ve (e) bentlerinde belirtilen düzeltme, silme ve yok etme talepleri doğrultusunda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

24 Şubat 2020
765 kez görüntülendi

ZİYARETÇİ YORUMLARI

Henüz yorum yapılmamış. İlk yorumu aşağıdaki form aracılığıyla siz yapabilirsiniz.

BİR YORUM YAZIN