Takip Edin:
 

KVKKKİŞİSEL VERİLERİN KORUNAMAMASINDAN DOĞAN HUKUKİ SORUMLULUK

Kişisel Veri Kavramı

Öncelikle kişisel verinin tanımını yapmak gerekirse, Kişisel Verilerin Korunması Kanunu’nda (Yazının içeriğinde KVKK olarak ifade edilecektir.) kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu kapsamda kişilerin kesin olarak belirlenmesini sağlayan kişinin adı, soyadı, telefon numarası, aracının plakası, kimlik numarası, sosyal güvenlik numarası, pasaport numarası, özgeçmişi, görüntüsü ve ses kayıtları, parmak izleri, genetik bilgileri gibi veriler kişisel veriler olarak nitelendirilmektedir.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmektedir. Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet KVKK kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir.

Günlük hayatımızın hemen hemen her anında kişisel verilerimizin işlenmesi durumu ile karşı karşıya kalmaktayız. Öyle ki yolculuk yapmak için bilet alırken, otelde konaklarken, hastanede tedavi görürken, okula kaydolurken, alışveriş için gittiğimiz mağazada üyelik kartı doldururken ya da yeni iş başvurusu yaparken bu veriler toplanmakta ve işlenmektedir. Kanun tüm kişisel bilgilerin alınması, kaydedilmesi, saklanması, değiştirilmesi, kullanılması, aktarılması vb. her türlü işlemi kişisel verilerin işlenmesi olarak tanımlanmaktadır.

Kişisel verilerin işlenmesinde sırasında uyulması zorunlu bazı ilkeler öngörülmüştür. Aşağıda ifade edilen ilkeler birbiri ile eşit öneme sahip olup bu ilkeler KVKK m.4 kapsamında şunlardır;

  1. Hukuka ve dürüstlük kurallarına uygun olma.
  2. Doğru ve gerektiğinde güncel olma.
  3. Belirli, açık ve meşru amaçlar için işlenme.
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel Verileri Koruma Altına Alan Hukukumuzdaki Yasal Düzenlemeler  

Anayasamızın 20. Maddesinde düzenlenen “Özel Hayatın Gizliliği” başlığı altında: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”. şeklinde düzenlenmiştir.

5237 sayılı Türk Ceza Kanunu’nda ise kişisel verilerle ilgili suçlar m.135 ila 140 arasında düzenlenmiştir. Şöyle ki; m.135 “Kişisel verilerin kaydedilmesi”, m.136 “Verileri hukuka aykırı olarak verme veya ele geçirme”, m.138 “Verileri yok etme” şeklinde suç başlıkları altında toplanmıştır.

Kişisel verilerle ilgili kapsamlı düzenleme ise 7 Nisan 2016’da 29677 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Korunması Kanunu (KVKK) ile yapılmıştır. Bu Kanunun amacı birinci maddesinde de belirttiği üzere “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.” şeklinde belirlenmiştir. Bu kanunun kapsamı ise ikinci maddede “kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” şeklinde düzenlenmiştir. Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Kanunun uygulaması bakımından kamu ve özel sektör ayrımı yapılmamış olup, düzenlenen usul ve esaslar her iki sektör bakımından da uygulama alanı bulmaktadır. Kanun, kişisel verilerin otomatik veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi durumunda uygulanacaktır.

KVKK Kapsamına Girmeyen Durumlar

KVKK birinci maddesinde “kişisel verileri işlenen gerçek kişiler” olarak ifade edilmesi nedeniyle Kanun’un sadece gerçek kişilerle ilgili verilere uygulanacağı anlaşılmaktadır. Tüzel kişilerle ilgili veriler bu Kanun kapsamında değildir. Kanunun kişisel verilerin işlenmesine ilişkin hükümleri fiziksel olarak kayıt altına alınan ve veri kayıt sisteminin parçası olmayan kişisel verilere de uygulanmaz. KVKK m.28 kapsamında “tamamen kapsam dışı olan hususlar” veya “kısmen kapsam dışı olan hususlar” şeklinde ikili bir ayrıma gidilerek düzenleme yapılmıştır. Tamamen kapsam dışı olan hususlarda Kanun hiçbir şekilde uygulama alanı bulmazken; kısmen kapsam dışı olan hallerde, Kanunun sadece bazı maddeleri (aydınlatma yükümlülüğü, veri sahibinin hakları ve veri sorumluları siciline kayıt) uygulanmamaktadır.

  1. Tamamen Kanun Kapsamı Dışında Tutulan Hususlar (KVKK m.28/1)
  2. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
  3. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  4. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  5. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
  6. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesidir.
  7. Kısmen Kanun Kapsamı Dışında Tutulan Hususlar (KVKK m.28/II)

Bu kapsamda sadece belli durum ve şartlarda Kanunun kapsamına girmeyen hususlar düzenlenmiştir. Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. madde, zararın giderilmesini talep etme hakkı hariç ilgili kişinin haklarını düzenleyen 11. madde ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. madde hükümleri aşağıdaki hâllerde uygulanmaz:

  1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Veri Sorumlusunun Yükümlülükleri

Veri sorumlusu, KVKK m.10 “veri sorumlusunun aydınlatma yükümlülüğü” kapsamında kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri veri sahibine sağlamakla yükümlüdür:

  1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. maddede sayılan diğer hakları.

İlgili Kişinin Hakları

KVKK m.11 kapsamında herkes, veri sorumlusuna başvurarak kendisiyle ilgili şu bilgileri öğrenme hakkına sahiptir;

  1. Kişisel veri işlenip işlenmediğini öğrenme
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
  6. 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme

Veri Sorumluları Siciline Kaydolma Yükümlülüğü

KVKK m.16’ya göre, Kişisel Verileri Koruma Kurumu tarafından kamuya açık olacak şekilde bir Veri Sorumluları Sicili tutulacaktır. Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce bu Sicile kaydolmak zorundadır. Ancak, Kanunun 16. maddesinin 2. fırkasında, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna istisnalar getirilebileceği belirtilmiştir.

Kişisel Verilerin Korunmasına İlişkin Başvuru ve Şikâyet Hakkı

KVKK m.13 kapsamında başvurular iki aşamalı şekilde ilerlemektedir. İlgililer başvurularını öncelikle yazılı ya da Kişisel Verileri Koruma Kurulu’nun belirleyeceği diğer yöntemlerle veri sorumlularına iletirler. Bu talebi alan veri sorumlusunun, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre alacağı ücret mukabilinde en kısa sürede ve en geç otuz gün içinde talebi incelemesi; kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabını ilgili kişiye bildirmesi öngörülmektedir. Veri sorumlusunun talebi kabul etmesi halinde, gereğini yerine getirmesi; şayet ilgili kişinin, Kanunun uygulanmasıyla ilgili talebine konu hususta veri sorumlusu hatalıysa, alınan ücretin ilgiliye iade edilmesi hükme bağlanmaktadır.

KVKK m.14 ve m.15 kapsamında veri sorumlusuna yapılan başvurusu reddedilen veya verilen cevabı yetersiz bulan yahut süresinde başvurusuna cevap verilmeyen ilgililer Kişisel Verileri Koruma Kurulu’na şikâyet hakkını elde ederler. İlgili kişilerin veri sorumlusuna başvurmadan doğrudan Kişisel Verileri Koruma Kurulu’na şikâyet yoluna gitmesi mümkün değildir. Kişisel verilerinin işlenmesi kapsamında kişilik hakları ihlal edilen ilgili kişilerin, genel hükümlere göre tazminat hakları saklı tutulmuştur. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilmesi, diğer yandan doğrudan adli veya idari yargı yoluna gidebilmesi mümkün olacaktır. İlgili kişinin Kişisel Verileri Koruma Kurulu’na şikayette bulunmasında öngörülen süre, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gündür. Fakat Kişisel Verileri Koruma Kurulu’nun inceleme yapabilmesi için mutlaka ilgilinin şikayetine ihtiyaç yoktur. Kişisel Verileri Koruma Kurulu’nun ihlal iddiasını herhangi bir şekilde öğrenmesi durumunda da resen harekete geçerek görev alanına giren konularda gerekli incelemeyi yapması yetkisi dâhilindedir.

Dilekçe Hakkının Kullanılmasına Dair Kanun’un 6. maddesinde belirtilen şartları (Belli bir konuyu ihtiva etme, Yargı mercilerinin görevine giren konularla ilgili olma, Türkiye Büyük Millet Meclisine veya yetkili makamlara verilen veya gönderilen dilekçelerde, dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresinin bulunması) taşımayan ihbar ve şikâyetler incelemeye alınmayacaktır. Veri sorumluları, Devlet sırrı niteliğindeki bilgi ve belgeler hariç, talep edilen bilgi ve belgeleri, Kişisel Verileri Koruma Kurulu’na 15 gün içinde göndermek veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. Kişisel Verileri Koruma Kurulu’nun, şikâyet üzerine yapacağı inceleme sonunda cevap vermesi öngörülmekte, şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talebin reddedilmiş sayılacağı hükme bağlanmaktadır. Buna göre, şikâyet tarihinden itibaren altmış günlük sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır.

Kişisel Verileri Koruma Kurulu, şikâyet üzerine veya resen yapılacak inceleme sonucunda, Kanun hükümlerinin ihlal edildiği kanaatine varırsa, tespit ettiği hukuka aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar verir ve kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilecektir. Yine şikâyet üzerine veya resen yapılan inceleme sonucunda, Kanuna aykırı uygulamanın yaygın olduğunun Kişisel Verileri Koruma Kurulu tarafından tespit edilmesi üzerine ilgili kurum ve kuruluşların görüşü de alınmak suretiyle bu konuda ilke kararı alınır ve bu karar yayımlanır. Ayrıca Kurula, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık şartlarının birlikte gerçekleşmesi halinde, nihai karardan önce veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar verme yetkisi verilmektedir. İlgililerin, Kurulca verilen kararlara karşı idare mahkemelerinde dava açabilmeleri mümkündür.

 

Kanuna Uymamanın Cezası Nedir?

Hukuka aykırı olarak kişisel verilerin kaydedilmesi, aktarılması, yayılması veya ele geçirilmesi, süresi geçtiği halde veya yok edilmesi gerektiği halde yok edilmemesi halinde KVKK m.17 kapsamında kişisel verilerle ilgili işlenen suçlar Türk Ceza Kanunu m.135 – 140 aralığındaki hükümlere göre 1 ila 6 yıl arasında değişen hapis cezaları ile cezalandırılmaktadır. Bu kapsamdaki suçların tüzel kişiler tarafından işlenmesi halinde haklarında güvenlik tedbirleri uygulanacaktır. Bu kararlara karşı üst yargı yollarına başvurulabilmektedir. TCK m.135, 136 ve 138 kapsamındaki suçlarda soruşturma ve kovuşturma yapılması şikâyete tabi değildir.

İlgili kişilere bilgi verilmesinde, veri güvenliğinin sağlanmasında, yapılan şikâyet ve itiraz incelemelerinde işlenecek kabahatler içinse KVKK m. 18 kapsamında şu düzenleme mevcuttur:

  1. 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  2. 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  3. 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  4. 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

Sonuç olarak; 6698 sayılı Kişisel Verilerin Korunması Kanunu gereğince veri sorumluları için Veri Sorumluları Sicili‘ne kayıt zorunluluğu söz konusudur. Veri Sorumluları Sicili, Veri Sorumluları Sicil Bilgi Sistemi’nde (VERBİS) tutulmaktadır ve tüm Sicil işlemleri VERBİS üzerinden gerçekleştirilmektedir. VERBİS’e sadece internet üzerinden kayıt yapılabilmektedir. İşletmenizde KVKK ile ilgili düzenlemeler konusunda uzman hukukçulardan görüş almak ve yukarıda da ifade edildiği üzere kişisel verilerin korunması konusunda gerek cezai gerekse idari yaptırımlara karşı başvuru, şikayet ve dava süreci ile ilgili hukuki destek almak için büromuz ile iletişime geçebilirsiniz.

previous
ENERJİ SEKTÖRÜNDE BİRLEŞME VE DEVRALMALAR
next
EPC (ANAHTAR TESLİM) SÖZLEŞMELERİNİN ENERJİ VE İNŞAAT SEKTÖRÜ AÇISINDAN İNCELENMESİ
https://clapartners.net/wp-content/uploads/2023/01/logo2.png
Uğur Mumcu Cad. No:64 GOP/Çankaya/Ankara
+90 312 440 70 75
info@clapartners.net

Takip Edin:

FAALİYET ALANLARIMIZ

MAKALELER

İLETİŞİM

0 312 440 70 75

Copyright © CLA Partners 2023