Kişisel Verilerin Korunması Kanunu

Ağustos 9, 2017

Kişisel Verilerin Korunması Kanunu Hakkında


7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren ‘‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’’, kişisel verilerin saklanmasında başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşımaktadır.

Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

İlgili Kanun’da belirtilen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecektir. Ayrıca üçüncü kişilere ve yurtdışına aktarılamayacaktır. İlgili kanunda ayrı ayrı maddelerde de belirtilmiş olan bu maddelere uyulmaması halinde, kurumlar idari para cezasına çarptırılabileceklerdir.


Kişisel Verilerin Çeşitli Şekilde İşlenebilmesi

• Toplamak veya kaydetmek
Kişisel verilerin ilk defa elde edildikleri an itibariyle işleme fiili başlamaktadır.

• Organize etmek ve depolamak
Dijital ya da fiziksel ortamda, kişisel verilerin saklanması, barındırılması ya da depolanması işleme kapsamında kabul edilir.

• Kullanmak ve değiştirmek
işisel verilerin, görüntülenmesi de dâhil olmak üzere, her türlü kullanımı işleme sayılır.

• Aktarmak
Kişisel verilerin çeşitli yöntemlerle iletilmesi

• Yaymak ve erişilebilir kılmak
Fiziksel olarak dağıtmak veya paylaşmak gibi, verileri dijital ortamda üçüncü tarafların erişimine açmak da bir işleme türüdür.

• Engellemek, silmek, yok etmek ve anonim hale getirmek
Bunlar da bir işleme faaliyeti olarak kabul edilmektedir.



1. Veri işleme nedir?

Veri işleme, tamamen veya kısmen otomatik yollarla veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir. Bu işlemler toplama, kaydetme, paylaşma, depolama, okuma, değiştirme, açıklama, imha etme gibi birçok alandan oluşmaktadır.



2. Kişisel verileri nasıl saklamalıyım?

Kişisel verilerin saklanmasında aşağıdaki ilkelere uyulması zorunludur:
• Hukuka ve dürüstlük kurallarına uygun olması
• Doğru ve gerektiğinde güncel olması
• Belirli, açık ve meşru amaçlar için saklanması
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi

Kişisel verilerin saklanma şartları:
a) Kişisel veriler ilgili kişinin açık rızası olmaksızın saklanamaz.
b) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin saklanması mümkündür:
• Kanunlarda açıkça öngörülmesi
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin saklanmasının gerekli olması
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri saklanmasının zorunlu olması
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Özel nitelikli kişisel verilerin saklama şartları:
a) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın saklanması yasaktır.
b) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
c) Özel nitelikli kişisel verilerin saklanmasında, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.



3. Veri işleme izni nasıl alınır?

Yukarıdaki ilkelere ve şartlara uyulduğu takdirde veri işleme izni kolaylıkla alınabilir.



4. Veri sorumlusu kimdir?

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.



5. Veri işleyen kimdir?

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişinin sorumluluğundadır. Kişisel verileriniz belirli kıstaslara göre yapılandırarak veri sorumlusunun kayıt sistemine işlenir.



6. Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi

Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler kişiden bağımsız olarak veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
a) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
b) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.



7. Veri işleyenin sorumlulukları nelerdir?

Kanun kapsamına giren gerçek veya tüzel kişiler tarafından öncelikle kişisel verilerin işlenmesi ile ilgili mevcut durumun ve olası risklerin tespit ettirilmesi önem arz etmektedir. Bu tespit yaptırılırken gerçek veya tüzel kişiler tarafından tüm kayıtlar incelenerek müşterilerinin, çalışanlarının ve iş ortaklarının hangi verilerinin hangi amaçlarla ve kimler tarafından işlendiğinin belirlenmesi gerekmektedir.
İlgili kişilerden kişisel verilerinin işlenmesine ilişkin rıza alınması amacıyla beyan metinleri hazırlanmalı, çalışanlara gerekli şirket içi eğitimler verilmeli ve gerçek veya tüzel kişiler tarafından çalışanlar, müşteri ve iş ortakları ve veri işleyenlerle imzalanmış ve/veya imzalanacak sözleşmelere ilişkin gerekli tadil çalışmaları yapılmalıdır.
Anılan uyumluluk çalışması yapılırken, cezalara ilişkin hükümlerin kanunun yayımlanmasından 6 ay sonra yürürlüğe girecek olmasına dikkat edilmelidir.

Veri sorumlusunun sorumlulukları nelerdir?
Veri sorumlusu;
• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemelidir.
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemelidir.
• Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
• Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
• Kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
• Öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
• İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.



8. Nasıl şikâyet ediliyor?

a) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
b) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. Bu yol tüketilmeden şikâyet yoluna başvurulamaz.
c) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.



9. Kanundan önce kayıt altına alınan verilere ne olacak?

Bu kanunun yayım tarihinden önce işlenmiş kanunlar, 2 yıl içinde kanun hükmüne uygun hale getirilmelidir. Aykırı olduğu tespit edilen kişisel veriler silinmeli, yok edilmeli ya da anonim hale getirilmelidir. İlgili kanunun yayım tarihinden önce hukuka uygun olarak veri sahibinden alınmış rızalar, bir yıl içinde veri sahibi tarafından aksi belirtilmemesi hâlinde, ilgili kanuna uygun kabul edilebilecektir.



10. Cezai Durumlar

Kişisel verilere ilişkin suçlar bakımından 26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140. madde hükümleri uygulanır.
Kanuna göre kişisel verileri ihlal edenlere 1 yıldan 3 yıla kadar hapis cezası öngörülmektedir. İlgili maddelere uyulmadığı takdirde 5.000 - 1.000.000 Türk Lirası para cezası kesilir. Ayrıca bu veriyi ihlal yolu ile ele geçiren kişiye de 2 yıldan 4 yıla kadar hapis cezası verilebilir.



Ücretsiz Dene



İlgili İçerik

Duyurular

Kapalı Portföye Sahip Saha Ekipleri İle İzin Yönetimi

Mobildev İzinli Veri Tabanı (İVT ) servisi kişileriniz ile temasta bulunduğunuz her noktada kesintisiz olarak; hem izinli veri tabanınızı güncel tutmanıza hem de genişletmenize imkan sağlamaktadır.

Gozde Mermerci Ekim 27

Hatırlatma Mesajlarının Önemi ve Etkisi

Kişilerin firmanızla oluşturdukları randevu saati, tarihi, konusu vb. hatırlanması gereken programları, ödeme tarihlerini, yenilenmesi gereken sözleşmelerini bunun gibi daha birçok önemli ama atlanabilen konuyu akıllarında tutmaları oldukça zordur.

Gozde Mermerci Ekim 22

Tacirlerin İYS’ye İzin Aktarımı

tacir olan alıcıların iletişim adreslerine gönderilen ticari elektronik iletiler, sesli arama, SMS, e-posta için önceden onay alınmasına gerek olmaz.

Gozde Mermerci Ekim 13

Yılın son çeyreğinde alışveriş yapan tüketicilerle ilgili 5 gerçek

Yılın son çeyreğinde alışveriş yapan tüketicilerle ilgili 5 gerçek

Gozde Mermerci Ekim 8

Yeni Doküman Tespiti Modelimiz ile SIU2020 Konferansındayız!

Mobildev, Boğaziçi Üniversitesi danışmanlığında Datamin Kişisel Veri Keşif Aracı isimli yeni bir ürün geliştirdi.

Gozde Mermerci Ekim 6

Ticari İleti Şikayet Süreçlerinizde Mobildev Yanınızda

Elektronik ticari İletiler, iletişime geçilecek kişilere ancak önceden izinleri alınmak şartıyla gönderilebilir.

Gozde Mermerci Eylül 18

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.