Kvkk Açık Rıza Onay Yönetimi

Kişisel Veri Nedir?

Kişisel veri, kimliği belli veya belirlenebilir mahiyetteki gerçek kişiyle ilgili her çeşit bilgidir. Bir bilginin kişisel veri kabul edilebilmesi için verinin gerçek kişiye ait olması ve bu kişinin belirli veya belirlenebilir durumda olması gerekmektedir. Bu kapsamda bir verinin kişisel veri olarak değerlendirilmesi için gerçek kişiye ait olması, kişiyi belirlenebilir kılması ve her çeşit bilgiyi içinde barındırması gerekir.

Mevzuatta hangi bilgilerin kişisel veri sayılacağıyla ilgili sınırlı sayım yoluna gidilmediği için kapsamın genişletilmesi muhtemeldir.

Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye aittir, tüzel kişilerle ilgili veriler kişisel veri kapsamında değildir. Bu nedenle bir firmanın ticaret unvanı, adresi, faaliyet alanı vb. bilgiler tüzel kişiliğe ait bilgiler olması sebebiyle kişisel veri sayılmazlar.

Kişiyi belirli ya da belirlenebilir kılması: Kişisel veri, ilgili kişinin kimliğini direkt olarak işaret edebilir ya da ilgili kişinin herhangi bir kayıtla ilişkilendirilmesi neticesinde kişinin tespit edilmesine yarayan bütün bilgileri de kapsar.

Her türlü bilgi: Kişisel veri sadece gerçek kişinin kimliğini açıklayan bilgiler değildir. Kişiyi direkt veya dolaylı olarak belirlenebilir kılan bütün veriler kişisel veridir.

KİŞİSEL VERİLER NELERDİR?

Gerçek kişinin;

• Adı soyadı,
• Doğum tarihi,
• Doğum yeri,
• TC kimlik numarası,
• Telefon numarası,
• Motorlu taşıt plakası,
• Sosyal güvenlik numarası,
• Pasaport numarası,
• Özgeçmiş,
• Resim,
• Görüntü
• Ses kayıtları,
• Parmak izi,
• IP adresi
• e-Posta adresi,
• Hobiler,
• Tercihler,
• Etkileşimde bulunulan kişiler,
• Grup üyelikleri,
• Aile bilgileri,
• Sağlık bilgileri,
• Raporlar (müşteri şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları),
• Belgeler (özgeçmişler, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri),
• Yazılar (mektuplar, davet yazıları),

gibi kişiyi doğrudan ya da dolaylı olarak tespit edilebilir duruma getiren bütün bilgiler kişisel veridir.

Bir verinin kişisel veri olup olmadığı her somut olayın özelliğine göre "kişiyi tanımlayabilme" kabiliyeti dikkate alınarak değerlendirilmelidir.

Kişisel sağlık verisi nedir? Sağlık verisi ne tür bir kişisel veridir?

Kimliği belirli veya belirlenebilir gerçek kişiye ait her çeşit sağlık verisi kişisel sağlık verisidir. Kişisel sağlık verisi özel nitelikli kişisel veri olarak kabul edilmektedir. Bu nedenle özel nitelikli kişisel verilerin işlenme koşullarına tabidir. Örneğin; tahlil sonuçları, geçirilen hastalıklar, kullanılan ilaçlar vb. veriler kişisel sağlık verisidir.

Hassas kişisel veriler nelerdir?

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik bilgileri hassas kişisel verilerdir.

Özel nitelikli kişisel veriler hakkında ayrıntılı bilgi almak için Özel Nitelikli Kişisel Veri Nedir? Özel Nitelikli Kişisel Verilerin İşlenme Şartları Nelerdir? yazımızı okuyabilirsiniz.

Lakap veya takma isim kişisel veri midir?

Takma isimler tek başına ya da başka verilerle bir araya getirildiği zaman kişiyi tanımlamayı sağlayabilecek mahiyette ise bu tarz veriler de kişisel veri sayılmaktadır.

Fotoğraf kişisel veri midir?

Evet, gerçek kişiye ait olan bir fotoğraf kişisel veridir.

TC kimlik numarası kişisel veri midir?

Evet, TC kimlik numarası kişisel veridir.

IP adresi kişisel veri midir?

Evet, IP adresi kişisel veridir.

e-Posta adresi kişisel veri midir?

Evet, e-Posta adresi kişisel veridir.

Telefon numarası kişisel veri sayılır mı?

Evet, telefon numarası kişisel veridir.

Ses kaydı kişisel veri midir?

Evet, ses kaydı kişisel veridir.

Kişisel Verilerin İşlenmesi Nedir?

Kişisel verilerin toplanması, kayıt edilmesi, depolanması, korunması, değiştirilmesi, tekrar düzenlenmesi, açıklanması, gönderilmesi, teslim alınması, elde edilebilir duruma getirilmesi, bölümlere ayrılması veya kullanılmaz hale getirilmesi gibi veriler üstünde gerçekleştirilen her türlü işlemdir.

Kişisel verilerin işlenmesinde öncelikle yasadaki temel ilkelere uygun hareket edilmelidir. Mevzu bahis kurallar, kişisel veri işleme faaliyetlerinin özünü teşkil etmeli ve bütün veri işleme çalışmaları bu kurallara göre yapılmalıdır.

Kişisel verilerin işlenmesi esnasında uyulması gereken genel kurallar aşağıdaki gibidir:

• Hukuka ve dürüstlük ilkelerine uygunluk,
• Güncel ve doğru olma,
• Belirli, açık ve meşru maksatlar için işlenme,
• Sınırlı ve ölçülü olma (işlendikleri amaçla bağlantılı olarak)
• Kanunda belirlenen ya da işlendikleri gaye için lüzumlu olan zaman içinde saklanma,

Kişisel Verilerin İşlenme Şartları Nelerdir?

Özel nitelikli olmayan kişisel verilerin hangi koşullarda işlenebileceği Kanundaki ilkelere göre düzenlenmiştir. Söz konusu koşullardan birinin bulunması genel nitelikli kişisel verilerin işlenmesi için yeterlidir.

• Kişinin açık rızasının olması,
• Kanunlarda açıkça belirtilmesi,
• Fiili imkânsızlık sebebiyle iznini belirtemeyecek halde olan ya da rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya başkasının hayatı veya vücut bütünlüğünün korunması için mecburi olması,
• Bir sözleşmenin kurulması veya ifasıyla direkt olarak ilgili olması şartıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin lüzumlu olması,
• Veri sorumlusunun yasal sorumluluğunu ifa edebilmesi için zorunlu olması,
• Kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesis edilebilmesi, kullanılması ya da muhafazası için veri işlemenin zorunlu olması,
• Kişinin temel hak ve özgürlüklerine zayiat vermemek şartıyla, veri sorumlusunun yasal çıkarları için veri işlenmesinin mecburi olması,

AÇIK RIZA UNSURLARI NEDİR?

6698 sayılı Kişisel Verilerin Korunması Kanunu'na göre açık rızanın üç unsuru vardır:

Belirli bir konuya ilişkin olma:

Açık rıza beyanı genel nitelikte değil, belirli bir duruma mahsus olmalıdır. Veri sorumlusu tarafından açık rıza beyanının hangi konuyla ilgili olarak talep edildiğinin net bir şekilde ortaya konulması gerekmektedir.

Örneğin; tüm ürün ve hizmetlerimizin sunulması için kişisel verilerinizin işlenmesine açık rıza veriyor musunuz, tarzında alınan açık rıza belirli bir konuyla ilgili olmadığı genel olduğu için geçerli değildir.

Ayrıca veri sorumlusu, veriyi kullandıktan sonra yurtdışına veri aktarımı gibi işlemler gerçekleştirecekse ayrıca açık rıza alması gerekmektedir. Bu durum, verinin işlenme gayesinin değişmesi durumunda da geçerlidir.

Bilgilendirmeye dayanma:

Kişinin özgür olarak rıza vermesi için neye rıza gösterdiğini bilmesi gerekir. Bu nedenle kişiye yapılacak bilgilendirme, muhakkak veri işlenmeden önce yapılmalı ve veri işleme ile ilgili tüm konular açık ve anlaşılır bir biçimde gerçekleştirilmelidir.

Toplanacak kişisel verilerin ne maksatlarla kullanılacağı açıkça belirtilmeli, kişinin anlamakta zorlanacağı kelimeler veya okumakta zorlanacağı (yazılı bilgilendirme yapıldığında) boyutta küçük puntolar kullanılmamalıdır.

Özgür iradeyle açıklanmış olma:

Bir irade beyanı olan açık rıza beyanının kişinin hür iradesini etkileyecek durumlarda alınmaması gerekmektedir. Örneğin, bir hizmetin sağlanmasının alınacak açık rızaya bağlanması ya da hile ile açık rıza alınması gibi. Zor kullanma, tehdit, hata, hile vb. durumlarda, kişinin hür olarak karar vermesi imkansızdır. Bu tarz durumlarda özgür bir iradeden söz edilemez.

Ayrıca tarafların eşit koşullarda olmadığı ya da taraflardan birinin diğeri üzerinde etkili olduğu hallerde rızanın hür iradeyle verilip verilmediğinin özenle değerlendirilmesi gerekmektedir.
Bilhassa çalışan ve işveren ilişkisinde, çalışana rıza göstermeme olanağının etkin bir şekilde sunulmadığı ya da rıza göstermemenin çalışan bakımından olası bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeyle alındığı kabul edilemez.

Diğer taraftan, ilgili kişinin açık rızasının alınması, bir ürün ya da hizmetin sağlanmasının ön şartı olarak ileri sürülmez.

KİŞİSEL VERİLERİN AÇIK RIZA HARİCİNDE İŞLENME ŞARTLARI NEDİR?

Şartlar - Kapsam - Örnek

• Kanun Hükmü - Vergi, İş, Türk Ticaret Kanunu vs. - Çalışana ait özlük bilgilerinin yasa gereği tutulması,
• Sözleşmenin İfası - İş Akdi, Satış, Taşıma, Eser Sözleşmesi vs. - Teslimat yapılması için şirketin adres bilgilerinin kayıt altına alınması,
• Fiili İmkânsızlık - Fiili imkânsızlık sebebiyle rıza veremeyecek olan veya ayırt etme gücü olmayan kişi - Bilinci kapalı kişinin kişisel sağlık bilgisi. Kaçırılan veya kayıp kişinin konum bilgisi
• Veri Sorumlusunun Hukuki Sorumluluğu - Mali Denetimler, Güvenlik Mevzuatı, Sektör Odaklı Regülâsyonlarla Uyum - Bankacılık, enerji, sermaye piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması,
• Aleniyet Kazandırma - İlgili kişinin kendisine ait bilgileri kamunun bilgisine sunması - Otomobilini satmak isteyen kişinin, ilanında iletişim bilgisine yer vermesi,
• Hakkın Tesisi, Korunması, Kullanılması - Dava açılması, tescil işlemleri, her türlü tapu işlemi vs. işlerde kullanılması zorunlu bilgiler - İşten ayrılan bir çalışanla ilgili lüzumlu bilgilerin dava zaman aşımı süresinde muhafaza edilmesi,
• Meşru Menfaat - Söz konusu kişinin temel haklarına zarar vermemek şartıyla, veri sorumlusunun meşru menfaati için zorunlu olması durumunda veri işlenmesi - Çalışan bağlılığını artıran ödül ve prim uygulanması maksadıyla veri işlenmesi

Kişisel veri işlemede açık rıza alınması nedir?

Açık rıza, kişisel veri işleme koşullarından biridir. Veri sorumlusunca, veri işleme çalışmaları yapılmasında öncelikle diğer veri işleme koşullarından birine dayanılıp dayanılamayacağı araştırılmalı, bunlardan herhangi biri yoksa kişinin açık rızası alınmalıdır.

Açık rıza alma şartları hakkında ayrıntılı bilgi için Açık Rıza Nedir? Açık Rıza Alma Şartları Nelerdir? yazımızı okuyabilirsiniz.

Kişisel sağlık verileri işleme şartları nedir?

• Kişinin açık rızasının olması,
• Sır saklama sorumluluğu altında olan kişiler ya da yetkili kurum ve kuruluşlarca; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi maksadıyla ilgili kişinin açık rızası olmadan Kurul tarafından belirlenen tedbirlerin de alınması, koşuluyla kişisel sağlık verileri işlenebilir.

Kişisel verilerin işlenme şartları hakkında ayrıntılı bilgi almak için tıklayınız.

KVKK Açık Rıza Aranmayan Durumlar Nelerdir?

Aşağıdaki koşullardan herhangi birinin olması durumunda, ilgili kişinin açık rızası olmaksızın kişisel veriler işlenebilir:

• Kanunlarda açıkça öngörülmesi,
• Fiili olanaksızlık sebebiyle rızasını ifade edemeyecek durumda olan ya da rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı ya da beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması ya da yerine getirilmesiyle direkt ilgili olması şartıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin lüzumlu olması,
• Veri sorumlusunun yasal sorumluluğunu yerine getirebilmesi için zorunlu olması,
• İlgili kişi tarafından alenileştirilmiş olması,
• Bir hakkın kuruluşu, kullanılması ya da muhafazası için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek şartıyla, veri sorumlusunun yasal çıkarları için veri işlenmesinin zorunlu olması,

Açık rıza geri alınabilir mi?

Açık rıza vermek, kişiye bağlı bir hak olduğu için verilen açık rıza elbette geri alınabilir. Geri alma beyanı veri sorumlusuna ulaştığı andan itibaren açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler durdurulmalıdır.

Fakat söz konusu kişisel verilerin saklanmasını gerektiren farklı bir hukuki neden varsa, veri sorumlusu tarafından yalnızca bu maksatla sınırlı olmak kaydıyla saklanabilir.

Açık rıza hakkında detaylı bilgi almak için Açık Rıza Nedir? Açık Rıza Alma Şartları Nelerdir? yazımızı okuyabilirsiniz...

2010 yılında 5982 sayılı Kanunla Anayasanın 20. maddesine eklenen fıkra ile, kişilerin kendisiyle alakalı kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak güvence altına alındı.

Kişisel veriler, 2010 yılına kadar genel hukuki düzenlemelerde var olan hükümlerle korunmaktaydı. Örneğin Türk Medeni Kanunu ve Türk Ceza Kanununda kişilik hakkı ile kişisel verilerin korunmasına yönelik hükümler ve yaptırımlar gibi.

2010 yılında Anayasanın 20. maddesine ilave edilen;

"Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir."

maddesi ile kişisel verilerin korunması ilk defa anayasal bir hak statüsüne kavuştu. Bununla birlikte söz konusu hakkın korunmasıyla ilgili usul ve esasların belirlenmesi çıkarılacak bir kanuna bırakıldı.

Kişisel Verileri Koruma Kanunu ne zaman yürürlüğe girdi?

24 Mart 2016'da kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girdi.

KİŞİSEL VERİLERİ KORUMA KANUNU MEVZUAT

KVKK Kanunu

KVKK kanununa ulaşmak için tıklayınız.

KVKK Tebliğler

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe ulaşmak için tıklayınız.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğe ulaşmak için tıklayınız.

KVKK Yönetmelikler

• Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'e ulaşmak için tıklayınız.
• Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik'e ulaşmak için tıklayınız.
• Kişisel Verileri Koruma Uzmanlığı Yönetmeliğine ulaşmak için tıklayınız.
• Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğine ulaşmak için tıklayınız.
• Kişisel Verileri Koruma Kurumu Personeli Görevde Yükselme ve Unvan Değişikliği Yönetmeliğine ulaşmak için tıklayınız.
• Veri Sorumluları Sicili Hakkında Yönetmelik'e ulaşmak için tıklayınız.
• Kişisel Verileri Koruma Kurumu Disiplin Amirleri Yönetmeliğine ulaşmak için tıklayınız.

Kişisel verilerin silinmesi nedir?

Bahsi geçen kişisel verilerin ilgili kullanıcılar tarafından herhangi bir biçimde erişilemez ve kullanılamaz duruma getirilmesidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılarca ulaşılamaz ve kullanılamaz olması için her türlü teknik ve idari önlemleri almakla yükümlüdür.

Kişisel verilerin imhası nedir?

Kişisel verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesine kişisel verilerin imhası denilmektedir.

Kişisel verilerin silinmesi hangi aşamalardan oluşur?

• Kişisel veriler belirlenir,
• İlgili kullanıcılar belirlenir,
• Kullanıcıların erişim yöntemleri belirlenir,
• Son olarak da veriler silinir.

Kişisel verilerin yok edilmesi nedir?

Kişisel verilerin yok edilmesi, kişisel verilerin herhangi bir biçimde erişilemez, geri getirilemez ve yeniden kullanılamaz duruma getirilmesidir. Veri sorumluları kişisel verilerin yok edilmesiyle alakalı her türlü teknik ve idari önlemleri almakla sorumludur.

Kişisel verilerin yok edilmesi işlemi nasıl yapılır?

Kişisel verilerin yok edilmesi için verilerin olduğu bütün kopyalar belirlenir ve verilerin bulunduğu sistemlerin çeşidine göre manyetize etme, fiziksel olarak yok etme, üstüne yazma vb. metotlar kullanılır.

Kişisel verilerin anonim hale getirilmesi nedir?

Kişisel verilerin diğer verilerle eşleştirilse bile herhangi bir şekilde kimliği belirli ya da belirlenebilir bir gerçek kişiyle bağdaştırılamayacak duruma getirilme işlemidir. Veri üzerinden bir izleme yapılarak diğer verilerle eşleştirme ve desteklemenin ardından verinin kime ait olduğu belirleniyorsa, bu veri anonim olarak kabul edilmez. Anonim hale getirilen veri, kişisel veri vasıflarını yitirdiğinden, Kanun hükümleri çerçevesinde değerlendirilmez.

Kişisel veriler hangi koşullarda silinir, imha edilir veya anonim hale getirilir?

Kişisel veriler, işlenmesini gerektiren nedenlerin ortadan kalkması durumunda, doğrudan ya da ilgili kişinin isteği üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

KİŞİSEL VERİLERİ ANONİM HALE GETİRME YÖNTEMLERİ NELERDİR?

Değer düzensizliği sağlamayan anonim hale getirme yöntemleri:

• Değişkenleri Çıkartma
• Kayıtları Çıkartma
• Alt ve Üst Sınır Kodlama
• Bölgesel Gizleme
• Örnekleme

Değer düzensizliği sağlayan anonim hale getirme yöntemleri:

• Mikro-Birleştirme
• Veri Değiş-Tokuşu
• Gürültü Ekleme
• Tekrar Örnekleme

Anonim hale getirmeyi kuvvetlendirici istatistik yöntemleri:

• K-Anonimlik
• L-Çeşitlilik
• T-Yakınlık

Kişisel veriler kaç yıl süreyle saklanır? Kişisel veriler ne zaman silinir?

• Periyodik imhanın yapılacağı tarih, veri sorumlusunca kişisel veri saklama ve imha politikasında açıklanır. Söz konusu süre altı aydan fazla olamaz.
• Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü bulunmayan veri sorumlusu, kişisel verileri silme, yok etme ya da anonim hale getirme yükümlülüğünün oluştuğu tarihten itibaren üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.
• Kurul, telafisi zor ya da olanaksız zararların meydana gelmesi ve aleni şekilde hukuka aykırılık olması durumunda, söz konusu süreleri kısaltabilir.

Kişisel verileri ilgili kişinin istemesi halinde silme ve yok etme süresi ne kadar?

• Kişisel verileri işleme koşulları ortadan kalkmış ise; veri sorumlusu talebe mevzu verileri imha eder. Veri sorumlusu, talebi en geç otuz gün içinde sonuçlandırmak ve ilgili kişiye bilgi vermek zorundadır.
• Kişisel verileri işleme koşulları ortadan kalkmış ve talebe mevzu olan verileri üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını sağlamak zorundadır.
• Kişisel verileri işleme koşullarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusu tarafından gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak veya elektronik ortamda bildirilmek zorundadır.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'e ulaşmak için tıklayınız.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberine ulaşmak için tıklayınız.

Veri sorumlusu kimdir? Veri sorumlusu ne demek?

Veri sorumlusu, kişisel verilerin işleme maksatlarını ve araçlarını tespit eden, veri kayıt sisteminin kurulumundan ve yönetiminden sorumlu olan gerçek veya tüzel kişilerdir.

Kimler veri sorumlusu olabilir?

Gerçek kişiler veya kamu kurumları, şirketler, dernekler, vakıflar vb. tüzel kişiler veri sorumlusu olabilir. Tüzel kişiler, kişisel verileri işleme konusunda hukuki sorumluluğu üstlenirler. Hukuki ve cezai yükümlülük bakımından, tüzel kişilerin sorumluluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanmaktadır.

Veri sorumlusu kimdir örnek vermek gerekirse; çalışanlarının maaşlarını ödemek maksadıyla personeliyle ilgili ad soyad, iletişim bilgisi, banka hesap numarası vb. kişisel bilgileri veri tabanında tutan bir demir çelik fabrikası, kişisel veri işleme amacını ve veri işleyebilmek için araç ve metodunu belirleyerek bir veri kayıt sistemi oluşturduğu için veri sorumlusu olarak kabul edilmektedir.

Veri sorumlusunu belirlerken dikkat edilmesi gereken konular nelerdir?

Veri sorumlusunun belirlenmesi için;

• Kişisel verilerin işlenmesi,
• Kişisel verilerin işlenme amacı,
• İşlenecek kişisel veri çeşitleri,
• İşlenen verilerin hangi amaçlarla kullanılacağı,
• Hangi kişilerin kişisel verilerinin işleneceği,
• Kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı,
• Verinin ne kadar süreyle saklanacağı,
• İlgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı,

vb. konulara kimin karar verdiği dikkate alınmalıdır.

VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ NELERDİR?

• Kişisel veri işleme faaliyetinde bulunan kişiler, 6698 sayılı Kanun kapsamında hukuka ve dürüstlük kaidelerine uygun olma, doğru ve güncel olma, belirli, açık ve meşru maksatlar için işlenme, işlendikleri gaye ile bağlantılı, sınırlı ve mutedil olma, yasada açıklanan ya da işlendikleri amaç için lüzumlu olan zaman kadar saklanma ilkelerine uygun davranmalıdır.
• Veri sorumluları tarafından kişisel veriler, Kanunda yer alan düzenlemelere uygun olarak, özel nitelikli kişisel veriler ise Kişisel Verileri Koruma Kurulu tarafından belirlenecek gerekli tedbirler alınmak koşuluyla işlenmelidir.
• Kişisel verilerin mevzuata göre işlenmiş olmasına karşın, işlenmesini gerektiren unsurların ortadan kalkması durumunda veriler resen ya da ilgili kişinin isteği doğrultusunda veri sorumlusunca silinmeli, yok edilmeli ya da anonim hâle getirilmelidir.
• Kişisel verilerin üçüncü kişilere aktarılmasında Kanunun 8. ve 9. maddelerinde açıklanan düzenlemelere uygun davranılmalıdır.
• Veri güvenliğini sağlamak için bütün teknik ve idari önlemler alınmalıdır.
• İlgili kişilerin bilgilendirilmesi zaruridir.
• İlgili kişilerin veri sorumlularına ilettiği başvuru ve şikayetler Kanunun 13. maddesinde açıklandığı şekilde en geç 30 gün içinde cevaplanmak zorundadır.
• Son olarak da veri sorumluları, VERBİS (Veri Sorumluları Sicili)'e kayıt olmak zorundadır.

Aydınlatma yükümlülüğü nedir?

Yasa, kişisel verileri işlenen ilgili kişilere, verilerinin kim tarafından, ne maksatla ve hukuki nedenlerden ötürü işlenebileceği, kimlere ne maksatla aktarılabileceği konusunda bilgi edinme hakkı tanımıştır. İlgili kişilerin bilgi edinme hakkı, veri sorumlusunun aydınlatma sorumluluğu kapsamında değerlendirilmektedir.

Veri sorumlusu, ilgili kişiyi kişisel verisinin işlendiği her durumda aydınlatmakla yükümlüdür.

Veri sorumlusunun aydınlatma yükümlülüğünün kapsamı nedir?

Veri sorumlusu, kişisel verilerin toplanması esnasında şahsen ya da yetkilendirdiği kişi vasıtasıyla aşağıdaki bilgileri ilgili kişiye sunmak zorundadır.

• Veri sorumlusunun veya temsilcisinin kimliğini,
• Kişisel verilerin ne maksatla işleneceği,
• İşlenen verilerin kimlere, ne maksatla aktarılabileceği,
• Veri toplamanın metodu ve hukuki nedeni,
• Ayrıca Kanunun 11. maddesinde açıklanan diğer haklarıyla ilgili bilgi vermekle yükümlüdür.

Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu ya da faaliyetin mevzuattaki başka koşullar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü bulunmaktadır. Kısaca ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.

Veri sorumlusu tüzel kişilik içinde veri işleme faaliyetlerinden sorumlu olan kişi midir?

Veri sorumlusu, tüzel kişiliğin kendisi olduğu için tüzel kişiliğin içerisinde veri işleme çalışmalarından sorumlu olan gerçek kişiler veri sorumlusu kabul edilmezler.

Veri işleyen kimdir? Veri işleyen nedir?

Veri sorumlusunun verdiği yetkiyle, veri sorumlusu adına kişisel verileri işleyen gerçek ya da tüzel kişiye veri işleyen denir.

Veri işleyene örnek vermek gerekirse, veri sorumlusundan aldığı yetkiyle, veri sorumlusu namına faaliyette bulunan, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir firma bu faaliyeti kapsamında veri işleyendir.

Burada kritik nokta, veri işleyenin, veri işleme çalışmalarını veri sorumlusunun talimatları doğrultusunda gerçekleştirmesidir.

Gerçek veya tüzel kişinin hem veri sorumlusu hem de veri işleyen olması mümkün müdür?

Herhangi bir gerçek ya da tüzel kişi gerçekleştirdiği farklı çalışmaları sebebiyle aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir.

Örneğin, bir çağrı merkezi kendi çalışanlarına ait tuttuğu verilerle ilgili olarak veri sorumlusu kabul edilir. Ancak müşterisi olan firmalarla ilgili tuttuğu veriler açısından veri işleyen olarak değerlendirilmektedir.

Veri Sorumlusu Sicili nedir?

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.

Veri Sorumluları Sicil Bilgi Sistemi hakkında ayrıntılı bilgi almak için VERBİS Nedir? Ne İşe Yarar? VERBİS'e Kayıt Zorunluğu Nedir? yazımızı okuyabilirsiniz.

KVKK hapis cezaları nedir?

• Kişilerin özel hayatının gizliliğini ihlal eden kimse, 1 yıldan 3 yıla kadar hapis cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlal edilmesi halinde, verilecek ceza bir kat artırılır.
• Kişilerin özel hayatına ilişkin görüntü veya sesleri hukuka aykırı olarak ifşa eden kimse 2 yıldan 5 yıla kadar hapis cezası ile cezalandırılır. İfşa edilen bu verilerin basın ve yayın yoluyla yayımlanması halinde de aynı cezaya hükmolunur.
• Hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verilir.
• Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda verilecek ceza yarı oranında artırılır.
• Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.
• Yukarıdaki maddelerde açıklanan suçların; kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde, verilecek ceza yarı oranında artırılır.
• Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verilir.
• Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

6698 sayılı Kişisel Verileri Koruma Kanunu'na ulaşmak için tıklayınız.

5237 sayılı Türk Ceza Kanunu'na ulaşmak için tıklayınız.