23 Kasım Abone Ol
İş ve siyaset dünyasında kişisel verilerin korunması

İş ve siyaset dünyasında kişisel verilerin korunması

İş ve siyaset dünyasında kişisel verilerin korunması
Avukat Halil Yılmaz

Günümüzde her gün binlerce kişiye ait farklı bilgiler bilişim teknolojileriyle toplanıp işlenmekte. Bu bilgiler devlet kurumlarının yanı sıra iş ve siyaset dünyasında fikir/emtia üretiminde, pazarlanmasında kullanılıyor. Reklam içeriği oluşturma ve medya planlamasında da yine bu bilgiler veriye sahip olanlara hedef kitleye ulaşmakta yol gösterici oluyor. Telefonlarımıza gelen kısa mesajlar, e-postamıza düşen bildirimler, internete ve sosyal medya uygulamalarına girdiğimizde önümüze çıkan siteler ve reklamlar kişisel verilerimizin işlendiğinin somut birer delilidir…

İnternette ve veri tabanlarında yapılan paylaşımlar, fotoğraf arşivleri, log dosyaları gibi farklı alanlardan elde edilen verilerin analiz edilerek fayda sağlanabilecek hale getirilmesi “Big Data” olarak tanımlanmakta. Twitter, Whatsapp mesajları, Facebook, Insagram, Tik Tok paylaşımları, İnternetten izlenen filmler, beğeniler, tıklamalar, sayfada kalma süresi veya akıllı saat takılı bir kolun hareketleri gibi sayısız veri bilgi kaynağını oluşturmakta. Veri bilimcilerinin görevi de bu devasa veri yığınını işlemek, istatistikî bilgi çıkarmak, kullanıcıları da sınıflandırmaktır.

Başlangıçta önemli görülmeyen bir veri, başka verilerle birlikte işlendiğinde bilgi haline gelir. Kişinin İnternet aktivitelerinden, arkadaşlarından, paylaşımlarından, reaksiyonlarından gelir düzeyi, zekâ seviyesi, yaşam biçimi, politik eğilimi gibi birçok özelliği büyük bir isabetle tahmin edilebilmekte, fikir/emtia üretimiyle reklam ve pazarlama faaliyetleri buna göre yönlendirilmekte.

Kişilerin açık rızası olmadan siyasi görüşleri, ideolojileri, dini tutumları, cinsel eğilimleri, etnik kökenleri gibi kıstaslara göre fişlenmesi, bilgilerinin dolaşması mahremiyetlerine müdahaledir. Bu nedenle kişisel verilerin devlete, şirketlere ve diğer bireylere karşı korunması gerektiği fikri ortaya çıkmıştır. Ülkemizde de insan haklarının korunması, AB üyelik müzakereleri ve uluslararası iş birliğiyle ticaretin artırılması ihtiyacı nedeniyle yasal düzenlemeler yapılmıştır.

Kişisel verilerin korunması, temel bir insan hakkı olan özel hayatın gizliliğiyle doğrudan bağlantılıdır. Özel hayatının gizliliğini sağlayabilmek için üçüncü kişilerin eline geçmesinde sakınca bulunan verilerin hukuken korunması gereklidir. AB, ülkemizle ilgili ilerleme raporlarında kişisel verilerin korunmasına ilişkin ulusal mevzuata olan ihtiyacımızı vurgulamıştır. EUROPOL ile güvenlik birimlerimiz arasında elektronik veri paylaşımı noktasında sıkıntılar yaşanmıştır. Yabancı sermayenin ülkemizde yatırım yapması için ihtiyaç duyduğu veri aktarımı gerçekleştirilememiş ve bu durum yabancı sermayenin ülkemizde yatırım yapması bakımından caydırıcı bir unsur olmuştur.

Anayasa m.20/3. fıkrasına 2010 yılında yapılan eklemeyle, kişisel verilerin korunması bir temel hak ve özgürlük olarak düzenlenmiştir. Kişisel Verilerin Korunmasına İlişkin Avrupa Konseyi Sözleşmesi 17.3.2016’da, Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol 5.5.2016’da Türk hukukuna dâhil edilmiş, Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016’da yürürlüğe girmiştir.

Kişisel veri…

İş ve siyaset dünyasında kişisel verilerin korunması

KVKK’da “kişisel veri”, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır (m.3/1-a).

Bir bilginin kişisel veri sayılması için öncelikle bir gerçek kişiye ait olması gerekmektedir. Tüzel kişilere ilişkin bilgiler kişisel veri niteliği taşımaz.

Tanımda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım yapılmıştır. Gelişen teknolojilerle türetilebilecek veri kategorilerini de düzenleyecek geniş bir kişisel veri tanımı sunulmuştur.

Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Bunlar, kimlik bilgileri, etnik köken, fiziksel özellikler, sağlık, eğitim, istihdam durumu, cinsel yaşam, aile hayatı, başkalarıyla yaptığı haberleşmeler, ikamet adresi, kredi kartı, düşünce ve inançları, siyasi parti, dernek, sendika üyelikleri, alışverişleri gibi hususları kapsamaktadır. Gerçek kişiyi belirli veya belirlenebilir kılan her türlü bilgi kişisel veri olarak kabul edilmektedir.

Bir kişinin belirli veya belirlenebilir olması, verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesiyle o kişinin tanımlanabilir hale getirilmesidir. Başka bir ifadeyle kişisel veriler, kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıyabileceği gibi, kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm verilerdir.

KVKK gerekçesinde bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan verilerin yanı sıra, fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin verilerin de kişisel veri niteliğinde olduğu belirtilmiş, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi verilerin dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veri olarak kabul edilmesi gerektiğine işaret edilmiştir.

Veri sahibi

Kişisel verisi işlenen gerçek kişiler veri sahibidir. İşçi, tüketici ve gerçek kişi tacirler veri sahibi olarak nitelendirilir. Kişisel bilgileri kaydedilen müşteriler ve personel, görüntüleri kaydedilen kişiler veri sahibidir.

Vakıf, sendika, şirket, siyasi parti gibi tüzel kişiler veri sahibi sayılmaz.

Veri sorumlusu ve veri işleyen

İş ve siyaset dünyasında kişisel verilerin korunması

Kişisel verilerin hukuka uygun olarak işlenmesi ve korunması yükümlülüğü veri sorumlusuna aittir. Bu nedenle veri sorumlusunun kim olduğunun tespit edilmesi önemlidir.

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Dikkat edilirse veri sahibi sadece gerçek kişiler olmasına rağmen veri sorumlusu gerçek veya tüzel kişi olabilmektedir.

Vakıf, sendika, şirket, siyasi parti gibi tüzel kişiler, üyelerinin ve personelinin kişisel verilerine sahip oldukları için veri sorumlusudur.

Hangi kişilerin ve hangi kişisel verisinin toplanacağı, bunların hangi amaçlarla işleneceği, kimlere hangi amaçla aktarılacağı, kişisel verilerin hangi süre ile saklanacağı konularındaki kararlar sadece veri sorumlusu tarafından alınabilir.

Görevi kapsamında veri işleyen çalışanlar veri sorumlusu değildir, sorumluluk tüzel kişiliğe aittir.

Veri sorumlusu, bir sözleşme ile bazı konularda karar alma yetkisini veri işleyene bırakabilir. Bunlar; kişisel verilerin toplanmasında hangi bilişim sistemlerinin kullanılacağı, kişisel verilerin nasıl saklanacağı, veri güvenliğinin sağlanmasının detayları, kişisel verilerin bir şirketten diğerine aktarılmasında kullanılacak yöntem, veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntem, kişisel verilerin silinmesinde kullanılacak yöntemdir.

Veri sorumlusu ile veri işleyenin rolleri farklıdır. Veri işleyen; veri sorumlusu gerçek veya tüzel kişinin verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

Veri işleyen, veri sorumlusu adına yürüttüğü faaliyetlerde teknik bilgisini kullanmakta özgürdür…

Kişisel verilerin işlenmesinde genel ilkeler

İş ve siyaset dünyasında kişisel verilerin korunması

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen her türlü işlem “kişisel verilerin işlenmesi”dir. Veriler üzerinde yapılan her türlü faaliyet veri işlemedir.

Kişisel verilerin işlenmesinde uyulması gereken genel ilkeler KVKK m. 4’ de belirtilmiştir. Bunlar; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkeleridir.

Veri sahibinin açık rızasının alınmış olması kişisel verilerin genel ilkelere aykırı işlenmesine cevaz vermez. Veri işleme faaliyeti, hangi hukuki sebebe dayanırsa dayansın veri sorumlusu genel ilkelere uymakla yükümlüdür.

Veri sorumlusunun veri işleme amacını açık ve kesin olarak belirlemesi ve bu amacın meşru olması zorunludur. Amacın meşru olması, veri sorumlusunun yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olmasıdır.

İşlenen verilerin belirlenen amaçların gerçekleştirilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması gerekir.

Veri sorumluları, ilgili mevzuata verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak; yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Salt gelecekte kullanma ihtimalinin varlığına dayanarak veri saklanamayacaktır.

Kişisel verileri işleme şartları

İş ve siyaset dünyasında kişisel verilerin korunması

Kişisel verilerin hukuka uygun olarak işlenebilmesi için genel ilkelere uyulmasının yanı sıra KVKK m.5’de sayılan veri işleme şartlarından en az birinin mevcut olması gerekir.

Veri sahibinin açık rızası; belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve özgürce verilmiş olmalıdır. Rıza beyanının hangi verilerin işlenebileceğini ve hangi amaçlarla işleme yapılabileceğini açıkça göstermesi gerekir. Veri sorumlusu, rızanın hangi veri işleme faaliyetlerini kapsayacağı konusunda sınırı çizmelidir. Veri işlemenin amacı belirtilmeden, birçok amacı kapsayabilecek genel ifadeler kullanılarak alınan rızalar hukuka uygun olarak kabul edilemez. Örneğin siyasi kişilerin bir şekilde elde ettikleri telefon numaralarına sürekli mesaj göndermesi veri sahibinin açık rızasına bağlı olamaz.

Rızanın geçerli olması için özgürce verilmiş olması; veri sahibinin kişisel verilerinin işlenmesine aldatma, zorlama veya korkutma altında onay vermemiş olması gerekir. Uygulamada veri sahibinin rızasının, bir sözleşmenin ifasına ya da bir hizmetin sunulmasına bağlandığı görülmektedir ki bu durumda rızanın özgürce verildiğinden söz edilebilmesi mümkün değildir. Rızanın özgürce verilmiş olduğunun kabulü için veri sahibine rızasını dilediği zaman geri alma imkânı tanınmış olmalıdır. Özellikle kısa mesaj ya da e-posta ile yapılan bilgilendirmelerde üyelikten çıkma işleminin kolaylıkla yapılabilmesi durumunda hak ihlali gerekçesiyle Kişisel Verileri Koruma Kurumuna yapılan başvurular azalabilecektir.

Geçerli bir açık rızadan söz edebilmek için, veri sahibine kişisel verilerin işlenme amacı, hangi verilerin işleneceği vb. hususlarında bilgi verilmiş olması zorunludur. Bilgilendirme yapılmadan onay alınmış olunması durumunda, alınan onay geçersiz olacaktır. Veri sahiplerine yeterli bilginin sunulduğunun kabulü için iki şartın sağlanması gerekir: 1. Bilgi, ortalama bir veri sahibinin anlayabileceği açıklıkta ve sektöre özgü teknik terimler kullanılmadan verilmelidir. Bilgilendirme metni asgari olarak KVKK m.10‘da yer alan konuları kapsamalıdır. 2. Bilgilendirme, veri sahiplerine doğrudan yapılmalıdır. Bilginin herhangi bir yerde ulaşılabilir olması yeterli değildir. Ayrıca, bilgilendirme metni kolaylıkla okunabilir boyut ve yazı stilinde olmalıdır.

Veri sahibinin açık rızası, kişisel verilerinin işlenmesinden önce alınmalıdır. İşlemenin başladığı zamandan rızanın alındığı zamana kadar geçen sürede gerçekleşen işlemeler hukuka aykırıdır.

Açık rıza sözlü olarak da alınabilir. Veri işlemesini açıkça onaylayan sözlü bir beyan da yeterli sayılır. Hatta sözlü bir beyan dahi olmaksızın, kişinin açık onayını gösteren aktif davranışları rıza için yeterli sayılır. Ancak, kanunen açık rıza alınırken ilgili kişinin aktif bir hareketi aranmaktadır, diğer bir deyişle zımni rıza olarak alınan rıza geçerli sayılmaz. Ancak ileride bir uyuşmazlık doğması halinde, açık rıza alındığının gösterilebilmesi için ispat kolaylığı açısından sözlü rıza tavsiye edilmez.

Özetle, veri sahibinin açık rızası bilgilendirmeye dayanmalı, belirli bir konuya ilişkin olmalı ve özgürce verilmelidir. Açık rıza, kişisel veri işleme faaliyetinin başlamasından önce elde edilmelidir.

Kişisel verilerin hukuka uygun olarak işlenebilmesi için genel ilkelere uyulmasının yanı sıra KVKK m.5’de veri sahibinin açık rızası dışındaki diğer veri işleme şartları sayılmıştır. Bunlar; kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarıdır.

Hassas verilerin işlenme şartları ise KVKK m.6’da düzenlenmiştir. Hassas verilerin veri sahibinin açık rızasına dayanılarak işlenebileceği belirtilmiş, açık rızanın olmadığı durumlar bakımından da, sağlık ve cinsel hayata ilişkin veriler ile diğer hassas veriler bakımından bir ayrım yapılmıştır. Sağlık ve cinsel hayata ilişkin olanlar dışındaki hassas veriler, ancak kanunlarda öngörülen hallerde açık rıza aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise; ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Kişisel verilerin aktarılması

İş ve siyaset dünyasında kişisel verilerin korunması

Kişisel verilerin aktarılması; yurt içinde / dışında paylaşılması, internette yayınlanması, başka bir yolla kamuoyuna sunulması ya da ifşa edilmesi gibi birçok fiili kapsar.

Kişisel verilerin yurt içinde üçüncü ve kurumlara aktarılması için veri sahibinin açık rızasının ya da KVKK m.5/2 ve m.6/3’te sıralanan veri işleme şartlarından birinin bulunması gerekir.

Yurtdışına veri aktarımı ise özel şartlara bağlanmıştır: 1. Kanun’da sayılan veri işleme şartlarından biri bulunmalı 2. Kişisel verilerin aktarılacağı ülkede yeterli koruma bulunmalıdır. Kişisel verilerin aktarılacağı ülkelerden hangilerinde yeterli korumanın bulunduğu, Kurul tarafından ilan edilecektir. Yeterli korumanın bulunmadığı ülkelere veri aktarımının yapılabilmesi için, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun aktarıma izin vermesi gerekmektedir.

Bu haller dışında kişisel verilerin yurtdışına aktarılabilmesi için veri sahibinin açık rızası gerekir.

Aydınlatma yükümlülüğü

Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında veri sahiplerini bilgilendirmekle yükümlüdür (KVKK m.10): Bunlar veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, veri sahibinin haklarıdır.

Aydınlatma metni sade ve anlaşılır olmalıdır. Sektöre özgü teknik terimlerin kullanılmasından kaçınılmalıdır. Kullanılan dil, bilginin hitap ettiği veri sahibi kategorisi dikkate alınarak belirlenmelidir. Metinlerde eksik ya da veri sahibini yanıltıcı bilgilere yer verilmemelidir. Veri sahibinin, kişisel verilerinin işlenmesinin sonuçlarını anlaması sağlanmalıdır.

Aydınlatma yükümlüğünün yazılı olarak yerine getirilmesi zorunlu değildir. Veri sahiplerinin elektronik olarak gönderilebilecek bir e-posta ya da çağrı merkezi görüşmesi ile sözlü olarak da bilgilendirilmeleri mümkündür.

Sözlü olarak çağrı merkezi görüşmesi ile yapılacak bilgilendirmede, veri sahiplerinin dolandırılmaması için “evet” ya da “kabul ediyorum” gibi kısa cevaplar verilmemesi tavsiye edilir.

Uyuşmazlık halinde ispat yükü veri sorumlusunda olduğundan aydınlatma yükümlülüğünün yerine getirildiğine ilişkin kayıtların saklanması gerekmektedir.

Veri sahibinin hakları

İş ve siyaset dünyasında kişisel verilerin korunması

Veri sahipleri, veri sorumlusuna yazılı olarak başvurarak; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, KVKK m.7’de düzenlenen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, düzeltilme, silinme veya yok edilme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir (KVKK m.11).

Veri sorumlusunun sorumlulukları

Veri sorumlusu, veri sahiplerinin taleplerini talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırması gerekmektedir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurul tarafından belirlenecek tarifedeki ücret alınabilir. Talebin süresi içinde sonuçlandırılmaması, reddedilmesi ya da verilen cevabın yetersiz bulunması halinde veri sahibinin Kurula şikâyet hakkı doğar.

Veri sorumlusu, Veri Sorumluları Sicili’ne kayıt yaptırmak zorundadır. Bu sicil, veri sorumlularının veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri aleni bir kayıt sistemidir. Türkiye’de yerleşik olan her şirket, bu sicile kayıt ve diğer işlemler için bir irtibat kişisi atamakla yükümlüdür. Atanan bu kişi, veri sorumlusunun temsilcisi değildir. Kişisel Verileri Koruma Kurumu ve veri sahibi arasındaki iletişimin sağlanması ve yönetilmesinden sorumlu olacaktır. Burada sözü edilen kural, veri işleme faaliyetinde bulunan devlet kurumları, yerel yönetimler, siyasi partiler, dernekler için de uygulanmalıdır.

Kayıt başvurusu esnasında veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, KVKK m.12’de öngörülen ve Kurul tarafından belirlenen ölçütlere göre alınan tedbirler, kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi bilgilerinin sunulması zorunludur.

Kayıt yükümlülüğünün yerine getirilmemesinin yaptırımı, idari para cezasıdır.

Kişisel verilerin korunması ve hukuka uygun işlenmesi yükümlülüğü veri sorumlusuna aittir. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemek, veri kayıt sistemini kurmak ve yönetmekten sorumludur.

Hangi kişisel verilerin toplanacağı, kişisel verilerin hangi amaçlarla işleneceği, hangi kişilerin kişisel verisinin toplanacağı, kişisel verilerin kimlere, hangi amaçla aktarılacağı, kişisel verilerin hangi süre ile saklanacağı konularında karar almak veri sorumlusunun yükümlülüğündedir.

Veri sorumlusu, bir sözleşme ile kişisel verilerin toplanmasında hangi bilişim sistemlerinin kullanılacağı, kişisel verilerin nasıl saklanacağı, veri güvenliğinin sağlanmasının detayları, kişisel verilerin bir şirketten diğerine aktarılmasında kullanılacak yöntem, veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntem, kişisel verilerin silinmesinde kullanılacak yöntem konularında karar alma yetkisini veri işleyene bırakabilirse de sorumluluğunu devam edecektir.

Kişisel verilerin korunması ve ilgili konularda eğitim, konferans, seminer gibi etkinlikler düzenlemeli ve şirket çalışanlarının katılmasını sağlamalıdır.

Veri sorumlusunun çalışanlarının dikkat etmesi gereken hususlar

Veri sorumlusunun çalışanları, kişisel veriler ile asıl teması kurmakta ve şirketteki görevleri kapsamında veri işleme faaliyetinde bulunmaktadır. Kişisel verilerin korunmasında hukuka uygunluğu sağlamada ana aktörlerden biri veri sorumlusunun çalışanlarıdır.

Veri sorumlusunun çalışanları görevi gereği işlediği kişisel verilere ilişkin aşağıdaki hususlara dikkat etmelidir:

  • Veri işleme faaliyetlerinde genel ilkelere uyulmalıdır. Veriler hukuka ve dürüstlük kurallarına uygun; belirli, açık ve meşru amaçlar için işlenmelidir. Görevin yerine getirilmesi için gerekli olmayan verileri işlemekten kaçınılmalıdır.
  • Görev kapsamında yapılmakta olan işle ilgisi olmayan veriler sistemden çekilmemelidir.
  • Kişisel veriler bireysel amaçlar için kullanılmamalıdır.
  • Veri sorumlusunun çalışanlarının işleri dolayısıyla öğrendikleri kişisel veriler “sır saklama yükümlülüğü” kapsamındadır. Bu veriler üçüncü kişilerle paylaşılmamalı; ifşa edilmemelidir. Sır saklama yükümlülüğü, işten ayrılmadan sonra da devam etmektedir.
  • Gerçekleştirilen veri işleme faaliyetinin hukuka uygunluğundan şüphe duyulduğunda ve/veya veri sahibinin rızasının alınması gerektiğini düşünüldüğünde mutlaka hukuk birimine danışılmalıdır.
  • Kişisel veriler veri sahibinden ilk elden toplanıyorsa Aydınlatma Formu ve gerektiğinde Açık Rıza Formu veri sahibine sunulmalı; verilerinin işlenmesiyle ilgili olarak veri sahibi bilgilendirilmelidir.
  • Çalışanlarının Veri Koruma Politikası, Kişisel Veri Saklama ve İmha Politikası ile konuya ilişkin diğer politikalara ve periyodik imha sürelerine uyma yükümlülüğü vardır.
  • Veri sorumlusu tarafından düzenlenen kişisel verilerin korunması ve ilgili konulardaki eğitim, konferans, seminer gibi etkinliklere katılmak gerekir.
  • Yeni veri işleme faaliyetleri konusunda ilgili ve yetkili sorumlu mutlaka bilgilendirilmeli, söz konusu faaliyet Kişisel Veri İşleme Envanterine kaydettirilmelidir.
  • Yazıcı, faks ve fotokopi makinelerinde, toplantı odalarında doküman unutmamalıdır.
  • Kişisel veriler güvenli ortamlarda (kilitli dolap, şifreli dosyalar vb.) saklanmalıdır.
  • Veri sahibi olarak kendini tanıtan ve kişisel verilerine erişmek isteyen kişilerin gerçekten veri sahibi olduğu teyit edilmeden önce herhangi bir bilgi paylaşılmamalıdır.
  • Kişisel verilerle ilgili beklenmedik ya da tereddüde düşürecek bir olay olduğunda mutlaka ilgili ve yetkili sorumluya müracaat edilmelidir.

Kişisel verilerin hukuka aykırı olarak bir başkasına verilmesi, yayılması veya ele geçirilmesi

Anayasamıza göre bir temel hak ve özgürlük olan kişisel verilerin hukuka aykırı olarak kaydedilmesi, verilmesi veya ele geçirilmesi, yok edilmesi TCK kapsamında suçtur.

TCK m.135’de kişisel verilerin kaydedilmesini, m.136’de verileri hukuka aykırı olarak verme veya ele geçirmeyi, m.138’de verileri yok etmemeyi suç olarak düzenlenmiştir.

Ayrıca TCK m.140’da bu suçlarla ilgili olarak tüzel kişiler hakkında güvenlik tedbiri uygulanacağı hüküm altına alınmıştır.

Kaynaklar

Av. Halil Yılmaz Marketing Türkiye için kaleme aldı…

Akıllı sandığınız oyuncak “siber saldırgan” olabilir!

featured

İlgili Haberler

Cumhuriyetin 101'inci yılını coşkuyla kutlayan markalar...
Cumhuriyetin 101’inci yılını coşkuyla kutlayan markalar…
Bitki bazlı beslenme revaçta... Peki neden?
Bitki bazlı beslenme revaçta… Peki neden?
Eyüp Sabri Tuncer kolonyaları Avrupa'da yasaklandı! Peki neden? 
Eyüp Sabri Tuncer kolonyaları Avrupa’da yasaklandı! Peki neden? 
En büyük inovasyon buluşması 10 Ekim’de
En büyük inovasyon buluşması 10 Ekim’de

Esentepe Mahallesi, Kore Şehitleri Caddesi, No:7, Yegane Apartmanı, Kat: 2, Daire: 4,
Şişli/İstanbul

[email protected]
0 (212) 211 11 12

© 2001 Rota Yayın Yapım Tanıtım Tic. Ltd. Şti. Bu Sitede Bulunan Yazı Ve Çizimlerin Her Hakkı Saklıdır.