KVKK

KİŞİSEL VERİLER HUKUKU

KİŞİSEL VERİLER MEVZUATINA İLİŞKİN AÇIKLAMALAR

Kanun hakkında genel bilgi 

6698 Sayılı Kişisel Verilerin Korunması Kanunu kademeli olarak 7 Nisan 2016’da ve 7 Ekim 2016’da (kişisel verilerin özellikle yurtdışına aktarılması, veri sahibinin Kanun kapsamında haklarının kendisine veri sorumluları tarafından bildirilmesi ve buna ilişkin sistemlerin kurulması, veri sahibi tarafından veri sorumlusuna ve Kişisel Verilerin Korunması Kurulu’na (“Kurul”) başvurunun ve cezaların yer aldığı maddeler) yürürlüğe girmiştir.  
Avrupa Birliği’nin 95/46/EC Direktifi (“Direktif”) ile uyumlu bir şekilde kişisel verilere dair çerçeve bir düzenleme getirmeyi amaçlayan Kanun; (1)kişisel verileri işlenen kimliği belirli veya belirlenebilir gerçek kişiler ile bunlara ait kişisel verileri tamamen veya kısmen otomatik olan yollarla işleyen veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişilerin tabi olacakları kişisel verilerin korunması ve işlenmesine dair kurallar, süreçler, yükümlülükler ve (2) bu yükümlülüklere uyulmaması halinde idari ve cezai yaptırımlar ile (3) düzenleyici kuruluşlar olan Kişisel Verilerin Korunması Kurumu (“Kurum”) ve Kurul’un işleyiş, yetki ve denetim sorumluluklarını düzenlemektedir. 
Kurum, ikincil mevzuata ilişkin olarak ise 28.10.2017 tarihinde Anonimleştirme Yönetmeliği’ni; 16.11.2017 tarihinde Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmeliği ve 30.12.2017 tarihinde de Sicil Yönetmeliği’ni yayımlamıştır.
Kanun kapsamında ilgili kişiye ait kişisel veriler iki farklı sıfatla işlenebilir: 

Veri Sorumlusu- Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu sıfatıyla.
Veri İşleyen- Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen sıfatıyla.

Verinin, Kanun’a uygun işlenmesi için aşağıdaki tüm şartların birlikte sağlanması gereklidir:  

Verinin işlenmesi için açık rıza alınmış veya Kanun’da sayılan hukuka uygunluk sebeplerinden (md.5 ve md.6) biri uygulanıyor olmalıdır; 
Veri sorumlusu veya yetkilendirdiği kişi, açık rızanın alınmış olup olmadığına bakılmaksızın aydınlatma yükümlülüğünü yerine getirmiş/getiriyor olmalıdır; 
Hukuka ve dürüstlük kurallarına uygun işlenmelidir;
Doğru ve gerektiğinde güncel olmalıdır;
Belirli, açık ve meşru amaçlar için işlenmelidir;
İşleme fiili işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır;
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar işlenmeli ve muhafaza edilmelidir.

Veri sorumluları için getirilen bazı esaslı yükümlülükler 

Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine, veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Kanun’un 16. Maddesi ve Anonimleştirme Yönetmeliği’nin 5. Maddesi uyarınca sicile kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. 

Anonimleştirme Yönetmeliği uyarınca kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.

Aydınlatma 

Aydınlatma yükümlülüğü esas olarak veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişileri, veri işlenmesi için rızalarına gerek olsun veya olmasın, kişisel verilerin elde edilmesi sırasında aşağıda belirtilen hususlara dair aydınlatmasını gerekli kılsa da, bu yükümlülük veri alındıktan sonra da bahsi geçen verinin veri sorumlusu tarafından faaliyeti kapsamında başkaca süreçlere de dahil edilmesi gerekliliği ortaya çıkması halinde, örneğin verinin aktarılması aşamasında, duruma göre devam edebilir. 

Veri sorumlusunun (veya yetkilendirdiği kişinin), (1) veri sorumlusunun ve varsa temsilcisinin kimliği, (2) kişisel verilerin hangi amaçla işleneceği, (3) işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, (4) kişisel veri toplamanın yöntemi ve hukuki sebebi ile (5) Kanun’un 11. maddesinde ilgili kişiye sağlanan haklara dair, ilgili kişileri veri sahibi bilgilendirmesi ve aydınlatması gereklidir. 

Veri güvenliğinin sağlanması 

Veri sorumluları;

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
Kişisel verilerin muhafazasını sağlamak,

amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. 

Veri Sorumluları Sicili’ne kayıt 

Verileri işleyen tüzel kişiler, KVKK md. 16/2’de belirtildiği gibi istisna kapsamına alınmadıkları ve veri sorumlusu olarak veri işledikleri süre boyunca Kurul tarafından kurulacak Veri Sorumluları Sicili’ne kaydolmak zorundadır. Hangi veri sorumluların istisna kapsamına alınacağına ilişkin Kurul tarafından herhangi bir duyuruda bulunulmamıştır.
Türkiye’de yerleşik olan tüzel kişi, Kanun’a dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bir gerçek kişi bildirmekle yükümlüdür.
Aynı zamanda elektronik iletilerin, gönderimi ve teslimatı da dahil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan elektronik postayı, da Kurum’un veri sorumlusuyla kuracağı her türlü iletişim için Sicile bildirilmelidir.
Veri sorumluları, Sicile açıklanacak bilgilerle ilgili ve Sicil Yönetmeliği’nde belirtilen bilgileri Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilecek başlıklar kullanılarak VERBİS üzerinden Sicile iletmekle yükümlüdür.
Veri İşleyenlerin Veri Sorumluları ile birlikte sorumlulukları 

Veri İşleyenler;

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri işleyen de veri güvenliğine dair yukarıda sayılan yükümlülükleri aynen haizdir ve adına veri işlediği veri sorumlusu ile birlikte sorumludur.  

Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.