Kişisel Verilerin Korunması
Amerika Birleşik Devletlerinde ve Avrupa Birliğinde uzun yıllardır uygulama alanı bulan kişisel verilerin korunması hususu ülkemizde de 6698 sayılı Kişisel Verileri Korunması Kanunu ile yürürlüğe girmiş bulunmaktadır. Konu ile ilgili tarafınızı bilgilendirmek ve yapılması lazım gelen düzenlemeler konusunda sizleri uyarmak amacı Erk Hukuk ve Danışmanlık tarafından ile işbu bilgilendirme metni hazırlanmıştır.
6698 sayılı Kişisel Verileri Korunması Kanunu (“Kanun”) 7.4.2016 tarihinde Resmi Gazetede yayımlanmış ve bu Kanun ile 07.10.2016 tarihinde Kişisel Verilerin Korunması Kurumu’nun kurulması öngörülmüştür. Kanunun yayım tarihinden önce işlenmiş olan kişisel verilerin iki yıl içinde Kanun ile uyumlu hale getirilmesi de yine Kanun’un amir hükümlerindendir. Bu süre 7 Nisan 2018’de dolmuş olup, veri sorumlularının bir an evvel yükümlülüklerini yerine getirmek için çalışmaya başlamaları gerekmektedir.
Kişisel Veri Nedir? Verinin sahibi kimdir?
Kanunda Kişisel Veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu kapsamda gerçek kişinin adı, soyadı, kimlik bilgileri, adresi, araba plakası, ses kayıtları, resmi, özgeçmişi, genetik bilgileri, sağlık verileri ve bunlarla kısıtlı olmamak kaydıyla, kişinin kimliğini belirlemeye yarayan her türlü veri Kişisel Veri’dir.
Kişisel veri; kişisel veri ve özel nitelikli kişisel veriler olarak ikiye ayrılmaktadır. Kişilerin ırkı, etnik kökeni, siyasî düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri gibi özel nitelikli kişisel verilerin işlenmesi daha sıkı kurallara tabidir.
Kanun, doğrudan gerçek kişilerin kişisel verilerini koruma altına alma amacı taşımakta; tüzel kişilere ilişkin verileri hedef almamaktadır.
Veri Sorumlusu Kimdir? Yükümlülükleri nelerdir?
Veri Sorumlusu, ilgili kişiden kişisel veriyi elde eden gerçek veya tüzel kişidir. Kanunda; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmaktadır.
a. Kişisel Veri Sahibi Gerçek Kişiyi Aydınlatma Yükümlülüğü
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin veri sahibi gerçek kişiye aşağıdaki hususlarda bilgilendirme yapması, Kanunda açıkça bir yükümlülük olarak tanımlanmaktadır.
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- Veri sahibinin Kanun’da belirtilen hakları konusunda bilgi vermek
Bu hususlarda bilgilendirme kişisel verinin elde edilmesinden sonra değil, elde edilmesi esnasında yapılmalıdır. Nitekim, Kanun’un amacına ve Anayasa ile güvence altına alınmış temel hak ve özgürlüklere uygun olarak veri sahibi bu hususları öğrendikten ve açıkça bilgi sahibi olduktan sonra kişisel verisini paylaşıp paylaşmama hususunda özgür iradesi ile hareket edebilecektir.
b. Veri İşleyenleri Denetleme Yükümlülüğü
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Örneğin; fatura basım şirketi faturası basılan veri sorumlusu şirket için veri işleyen sıfatına sahiptir.
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, Kanunda belirtilen güvenlik tedbirleri hususunda bu kişilerle birlikte müştereken sorumludur.
Veri Sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Gizlilik hem veri sorumlusunun hem de veri işleyenin ihtiyatla önem göstermesi gereken hususlardan biridir. Nitekim; veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük bu sıfatlarının sonra ermesinden sonra da devam eder.
c. Veri Sorumluları Siciline Kayıt Yükümlülüğü
Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. Kişisel verileri işleyen gerçek ve tüzel kişiler, Sicil’e veri işlemeye başlamadan önce kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
Veri Sorumluları Siciline kayıt başvurusunda aşağıdaki hususları içeren bir bildirim yapmalıdır. Bu hususlarda meydana gelen değişiklikler derhal Başkanlığa bildirilmelidir.
- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
- Kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
- Yabancı ülkelere aktarımı öngörülen kişisel veriler.
Kurum tarafından hazırlanan Veri Sorumluları Sicili Hakkında Yönetmelik 30.12.2017 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
d. Veri Sahibi Gerçek Kişilerin Başvurularını Cevaplama Yükümlülüğü
Veri sahibi gerçek kişiler taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletebilecektir. Bu durumda; Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde ise veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
Veri Sorumlusu tarafından İlgili Kişi’nin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; İlgili Kişi, Veri Sorumlusu’nun cevabını öğrendiği tarihten itibaren otuz gün ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
Veri Sorumlusu’na başvuru yolu tüketilmeden Kurul’a şikâyet yoluna başvurulamaz. Elbette ki; kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
e. Veri Güvenliğini Sağlamak İçin Gerekli Tedbirleri Alma Yükümlülüğü
Veri Sorumlusu’nun alması gereken güvenlik tedbirleri, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemeyi ve buna ilave olarak bu verilerin muhafazasını sağlamayı amaçlamalıdır.
Veri Sorumlusu bu amaçları gerçekleştirmek için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
f. Veri Sorumlusunun Hazırlamakla Yükümlü olduğu Politikalar
i. Kişisel Veri İşleme Envanteri
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir. Veri sorumluları siciline bu envanter ile başvurulacaktır.
ii. Kişisel Veri Saklama ve İmha Politikası
Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika metnidir.
g. Kanunda Yer Alan Cezai ve İdari Yaptırımlar
Kişisel verilere ilişkin işlenen suçlar bakımından Türk Ceza Kanunu’nun ilgili hükümleri uygulanacaktır. Cezaların şahsiliği niteliği gereği bu hükümleri ihlal edenler cezai yaptırıma şahsen muhatap olacaklardır, bir tüzel kişiliğin çalışanı olmak onları sorumluluktan kurtarmayacaktır. Veri Sorumlusu ve/veya Veri İşleyen sıfatlarına haiz olan tüzel kişilikler ise ihlalleri nedeniyle maruz kalınacak idari yaptırımlar bakımından tüzel kişilik olarak sorumlu olacaklardır. Tüzel kişiliği temsil yetkisini haiz kimseler de Türk Ceza Kanunu bakımından sorumludurlar.
SONUÇ OLARAK
Her ne kadar ülkemizde; 95/46/AB sayılı AB Direktifini esas alarak düzenleme yapılmışsa da; Avrupa Birliğinde kişisel verilerin daha etkin şekilde korunmasını sağlamak üzere yeniden düzenleme ihtiyacı doğmuştur. Ülkemizdeki yasalaşma süreciyle eşzamanlı olarak; 2016/679 sayılı AB Tüzüğü, 25 Mayıs 2018 tarihinde uygulamaya girmek üzere 27 Nisan 2016 tarihinde yayınlanmıştır.
Yukarıda konu ile ilgili olarak genel bir bilgilendirilme yapılmış olup, şirketiniz açısından yapılması gereken düzenlemeler ile ilgili olarak ayrıntılı bir bilgilendirme için toplantı düzenleyebileceğimizi belirtmek isteriz.
İşbirliğimizin gelişerek devam etmesini dileriz.
Saygılarımızla,
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA
VERİ SAHİPLERİNİN HAKLARINI KULLANMALARI İÇİN BAŞVURU FORMU
Lütfen Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) kapsamında yapacağınız talebinizin yerine getirilebilmesi için aşağıdaki başvuru formunu açık ve tam bir şekilde doldurarak ve ıslak imzalı olarak [EMC BİLİŞİM SERDAR ÖZÇELİK Küçükbakkalköy Mahallesi Dereboyu Caddesi Brandium Residence 3A R5 Blok K:7 D:48 Ataşehir İSTANBUL] adresine posta yolu ile iletiniz.
Yaptığınız başvuruyu mümkün olan en kısa sürede ve en geç 30 gün içerisinde yanıtlandıracağız. Tarafımıza sunduğunuz bilgi ve belgelerin eksik olması veyahut anlaşılamaz olması halinde başvurunuzu netleştirmek amacıyla sizlerle iletişime geçeceğiz.
1. KİŞİSEL VERİ SAHİBİNİN KİMLİK VE İLETİŞİM BİLGİLERİ
Adı- Soyadı: | |
---|---|
T.C. Kimlik No: | |
Telefon Numarası: | |
Adres: | |
E-posta Adres: | |
Başvuruda Bulunmak İstediği Kuruluş: | |
Kuruluşumuzla Olan İlişkiniz: | (Müşteri, iş ortağı, çalışan adayı, eski çalışan, üçüncü taraf firma çalışanı, hissedar gibi) |
2. KİŞİSEL VERİ SAHİBİNİN KULLANACAĞI HAKKIN SEÇİMİNE İLİŞKİN BİLGİLER
(Lütfen talebinize uygun ifadenin yanındaki kutucuğu/kutucukları işaretleyiniz)
Kuruluşunuzun hakkımda kişisel veri işleyip işlemediğini öğrenmek istiyorum. | ||
Eğer Kuruluşunuz hakkımda kişisel veri işliyorsa bu veri işleme faaliyetleri hakkında bilgi talep ediyorum. | ||
Eğer Kuruluşunuz hakkımda kişisel veri işliyorsa bunların işlenme amacını ve işlenme amacına uygun kullanılıp kullanmadığını öğrenmek istiyorum. | ||
Eğer kişisel verilerim yurtiçinde veya yurtdışında üçüncü kişilere aktarılıyorsa bu üçüncü kişileri bilmek istiyorum. | ||
Kişisel verilerimin eksik veya yanlış işlendiği düşünüyorum ve bunların düzeltilmesini istiyorum. | ||
Kişisel verilerimin kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, kişisel verilerimin silinmesini istiyorum. | ||
Eksik ve yanlış işlendiğini düşündüğüm kişisel verilerimin aktarıldığı üçüncü kişiler nezdinde de düzeltilmesini istiyorum. | ||
Silinmesini talep ettiğim kişisel verilerimin aktarılan üçüncü kişiler nezdinde de silinmesini istiyorum. | ||
Kuruluşunuz tarafından işlenen kişisel verilerim münhasıran otomatik sistemler vasıtasıyla analiz edildiğini ve bu analiz neticesinde şahsım aleyhine bir sonuç doğduğunu düşünüyorum. Bu sonuca itiraz ediyorum. |
3. TALEP HAKKINDA AÇIKLAMA (Lütfen KVK Kanunu kapsamındaki talebinizi ve talebinize konu olan kişisel verileri detaylı olarak belirtiniz.)
4. EKLER
Lütfen başvurunuza dayanak göstermek istediğiniz belge varsa belirtiniz.
…………………..…………….……………………………….……………………………….……………………………………………………………………………………………………………………………………………………………………………………………………………………
5. LÜTFEN BAŞVURUNUZA VERECEĞİMİZ YANITIN TARAFINIZA BİLDİRİLME YÖNTEMİNİ SEÇİNİZ:
- Adresime gönderilmesini istiyorum.
- E-posta adresime gönderilmesini istiyorum.
- Elden teslim almak istiyorum.
6. BAŞVURU SAHİBİNİN BEYANI
İşbu başvuru formu, Kuruluşumuz ile olan ilişkinizi tespit ederek ve varsa, Kuruluşumuz tarafından işlenen kişisel verilerinizi eksiksiz olarak belirleyerek ilgili başvurunuza doğru ve kanuni süresinde cevap verilebilmesi için tanzim edilmiştir. Hukuka aykırı ve haksız bir şekilde veri paylaşımından kaynaklanabilecek hukuki risklerin bertaraf edilmesi ve özellikle kişisel verilerinizin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için Şirketimiz ek evrak ve malumat (Nüfus cüzdanı veya sürücü belgesi sureti vb.) talep etme hakkını saklı tutar. Form kapsamında iletmekte olduğunuz taleplerinize ilişkin bilgilerin doğru ve güncel olmaması ya da yetkisiz bir başvuru yapılması halinde Kuruluşumuz, söz konusu yanlış bilgi ya da yetkisiz başvuru kaynaklı taleplerden dolayı mesuliyet kabul etmemektedir. Hukuka aykırı, yanıltıcı veya yanlış başvurulardan doğan tüm sorumluluk size aittir.
Kişisel Veri Sahibi / Başkası Adına Başvuruda Bulunan Kişi
Adı Soyadı :
Başvuru Tarihi :
İmzası :