KİŞİSEL VERİLERİN KORUMASI KANUNU (KVKK) BİLGİ NOTU
[Bu not 6698 sayılı Kanun kapsamında genel bilgilendirme amaçlı hazırlanmış olup; ilgili mevzuat ve Kurul kararları ile birlikte değerlendirilmelidir. Bu bilgi notu uluslararası sözleşmeler ve 6698 sayılı Kanun başta olmak üzere ilgili mevzuata aykırı biçimde yorumlanamaz. ]
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir.
Kişisel verilerin korunması yahut kişisel verilere ilişkin güvenceler yalnızca 6698 sayılı Yasada değil, Türkiye’nin de taraf olduğu Uluslararası sözleşmelerde ve Anayasa’da da (md. 20) güvence altına alınmıştır.
“IV. Özel hayatın gizliliği ve korunması
A.Özel hayatın gizliliği
Madde 20 / 2 – (Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
Bununla birlikte TCK’da da kişisel verilerin hukuka aykırı biçimde elde edilmesi, kaydedilmesi, paylaşılması, yok edilmemesi suç olarak düzenlenmiştir.
A. KİŞİSEL VERİLERİN KORUNMASI’NA İLİŞKİN TANIMLAR
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında;
- Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
- Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
[Bunlar 6698 sayılı Yasanın 6. maddesinin birinci fıkrasında sayılmıştır.]
- Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
- Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
[Kanundaki tanımlar uyarınca, tüzel kişiliği bakımından TMMOB ve Odalar veri sorumlusudur.]
- Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışında, veri sorumlusuyla yaptığı sözleşme kapsamında verileri işleyen, ayrı gerçek veya tüzel kişiyi ifade etmektedir.
B. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
6698 sayılı Yasa kapsamında kişisel verilerin işlenme şartları 5. maddesinde sayılmış olup, buna göre kişisel verilerin işlenebilmesi için bu şartlardan en az birinin varlığı zorunludur.
- İlgili kişinin açık rızasının varlığı,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel veriler bakımından ise Kanunda özel işleme şartları öngörülmüştür. 6698 sayılı Yasanın 6. maddesi uayrınca Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Bununla birlikte sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. Bu konuda Kurul kararı mevcuttur.
C. KİŞİSEL VERİLERİN AKTARILMA ŞARTLARI
Kişisel verilerin aktarılması, Kanunda; yurt içinde aktarım ve yurt dışında aktarım olmak üzere iki başlık altında ele alınmıştır.
Kişisel verilerin aktarılması
MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Kişisel verilerin yurt dışına aktarılması
MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Not: Kişisel verilerin işlenebilmesi için gereken şartlar, aktarım için ayrıca değerlendirilmelidir.
D. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER
6698 sayılı Yasanın 4. maddesinde tüm kişisel veri işleme faaliyetlerinde uyulması zorunlu birtakım ilkeler öngörülmüştür. Bu ilkeler;
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
şeklinde sayılmıştır.
E. VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
Kanunda; veri işleme faaliyetlerinde veri sorumlularınca yerine getirilmesi gereken birtakım yükümlülükler öngörülmüştür.
Kanun kapsamında veri sorumlusunun yükümlülükleri genel hatları ile şu şekildedir;
- aydınlatma yükümlülüğü (md 10)
- veri güvenliğine ilişkin yükümlülükler (teknik ve idari tedbirler)
- veri sorumluları siciline kayıt yükümlülüğü (envanter ve politika hazırlanması)
- ilgililer tarafından yapılan başvuruların cevaplanması yükümlülüğü (ilgili kişinin hakları)
- kurul kararlarının yerine getirilmesi yükümlülüğü
Kanunun 28. maddesinde; Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli veriler bakımından, bazı yükümlülüklerden istisna olunacağı düzenlenmiştir.
Bu istisnalar;
- aydınlatma yükümlülüğü ( Madde 10)
- ilgili kişinin hakları (Madde 11)–[Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hariç]
- veri sorumluları siciline kayıt yükümlülüğü ( Madde 16)
ÖNEMLİ: 6698 sayılı Yasada belirtilen ve kamu kurumu niteliğindeki meslek kuruluşlarını da içeren istisna; kanunun verdiği yetkiye dayanarak; denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olan veriler bakımından geçerlidir.
Yine kanundan istisna olma hali değil, veri sorumlusunun uyması gereken kimi yükümlülükler bakımından istisna hali söz konusudur. Dolayısıyla veri güvenliğine ilişkin yükümlülükler (teknik ve idari tedbirler), kurul kararlarının yerine getirilmesi yükümlülüğü 6235 sayılı Yasa kapsamında olup olmadığına bakılmaksızın işlenen tüm veriler açısından geçerlidir.
1. Aydınlatma yükümlülüğü (md 10)
TMMOB ve Odalar, 6698 sayılı Yasanın 28. maddesi uyarınca; Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla kanunun verdiği yetkiye dayanarak; denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olan veriler bakımından Kanunun veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu maddesinden istisnadır.Bunların dışındaki hallerde aydınlatma yükümlülüğü söz konusudur.
Kanunun 10. maddesi çerçevesinde veri sorumlusu, kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- maddede sayılan diğer hakları.
Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin onayına tabi olmayıp, tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Bu yükümlülük sözlü, yazılı, ikonla veya çağrı merkezi aracılığıyla yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
Örnek aydınlatma metni;
“Sayın Ziyaretçi / Katılımcı,
Kişisel Verileri Koruma Kurumu; Kurumumuza şahsen başvurarak veya elektronik posta yoluyla iletmiş olduğunuz ad. soyad, kurum adı ve iletişim bilgilerinizi;
- Toplantıya katılımınızın / binaya giriş yaptığınızın
- İstatistiksel amaçlarla katılımcı sayısının belirlenmesi,
- Toplantı İle ilgili bilgi sunulması,
- Kurumumuzun hizmet temin süreçlerinin yürütülmesi,
- Güvenliğin sağlanması
amaçlanyla sınırlı olarak işlemekte ve üçüncü kişilerle paylaşmamaktadır.
Bu kişisel veriler, Kanunun 5 inci maddesinde belirtilen ‘Kanunlarda açıkça öngörülmesi` ve ‘İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’ hukuki sebebiyle, elektronik posta kanalıyla otomatik yolla veya şahsen başvuruda kimlik ibrazı şeklinde otomatik olmayan yolla işlenmektedir.
Kanunun ‘ilgili kişinin haklannı düzenleyen` 11 inci maddesi kapsamındaki talepleriniz), ‘Veri Sorumlusuna Başvuru Usul ve Esastan Hakkında Tebliğ* gereği Kurumumuzun Nasuh Akar Mahallesi 1407 Sokak No 4 Çankaya/ ANKARA adresine yazılı olarak iletebilirsiniz.
Öte yandan toplantı esnasında ve toplantı aralarında Kurumun basılı/görsel yayın organlannda kullanmak üzere Kurumda görevli personel tarafından fotoğraf çekimi yapılabilecektir. Bu amaçla toplantı salonunda yeşil ve kırmızı alanlar oluşturulmuş ve katılımcılar için de yeşil ve kırmızı kurdeleli koltuklar hazırlanmıştır.
< Salonda yeşil renk etiket takılan koltuklara oturan konuklann fotoğrafı çekilebilecek ve ilgili yayn organlannda paylaşılabilecektir.
■ Salonda kırmızı renk etiket takılan koltuklara oturan konuklann fotoğrafı çekilmeyecektir”
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ 10 Mart 2018 tarih 30356 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
2. Veri güvenliğine ilişkin yükümlülükler (md 12)
Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemekle ve hukuka uygun muhafaza etmekle yükümlüdür. Bu yükümlülük tüm veriler ve veri işleme faaliyetleri açısından geçerlidir. Burada veri sorumlusu gerekli gördüğü idari ve teknik tedbirleri almakla yükümlüdür.
“Veri güvenliğine ilişkin yükümlülükler
MADDE 12- (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.”
Bu kapsamda alınabilecek tebdirlere örnek olarak;
- verilerin korunması kapsamında ortaya çıkabilecek risklerin tespiti ve önlemlerinin alınması (siber güvenlikten dolap güvenliğine kadar her şey olabilir)
- Verileri işleyen gerçek veya tüzel kişilerle yapılacak protokol/sözleşme/gizlilik anlaşmaları gibi metinlerin hazırlanması
- Çalışanlara kişisel verilerin korunması ile ilgili eğitim ve farkındalık çalışmaları yapılması (kılavuz metinler hazırlanabilir)
- Çalışanlara verilen yetki ve şifrelerin yeniden tanımlanması
gösterilebilir.
Veri sorumlusunun işlediği verileri ve veri işleme faaliyetlerini göz önünde bulundurarak, veri güvenliğini sağlayacak biçimde kendine özgü idari ve teknik tedbirleri alması gereklidir.
3. Veri Sorumluları Siciline Kayıt Yükümlülüğü
Kanunun 16. maddesinde kişisel veri işleyen veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğü bulunduğu düzenlenmiştir. Sicile kayıt yükümlülüğü 6698 sayılı Yasanın 28. maddesi uyarınca; Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla TMMOB ve Odaların işlediği kanunun verdiği yetkiye dayanarak; denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olan veriler bakımından uygulanmayacaktır.
Veri sorumlularının sicile kayıt esnasında iletişimin kurulabilmesi amacıyla irtibat kişisi belirlemesi gerekmektedir.
Veri Sorumluları Sicili Hakkında Yönetmelik 30 Aralık 2017 tarih 30286 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
Kamu kurumu niteliğindeki meslek kuruluşlarının istisna kapsamında olmayan faaliyetleri bakımından öngörülen sicile kayıt yükümlülüğünün yerine getirilmesi için son tarih 30.06.2020 ‘dir.
Veri sorumluları sicili hakkındaki yönetmelik ve kişisel verilerin silinmesi yok edilmesi ve anonim hale getirilmesi hakkındaki yönetmelik uyarınca, sicile kayıt yükümlülüğü bulunan veri sorumlularının kişisel veri saklama ve imha politikası ve kişisel veri işleme envanteri hazırlaması gerekmektedir.
4. İlgili kişinin hakları
“MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.”
6698 sayılı Yasanın 28. maddesi uyarınca; Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla kanunun verdiği yetkiye dayanarak; denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olan veriler bakımından ilgili kişilerin 11. maddedeki haklarına dayanarak “Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme” hariç, veri sorumlusundan talepte bulunması olanağı bulunmamaktadır.
“Veri sorumlusuna başvuru
MADDE 13- (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.”
ÖNEMLİ: yapılan başvuru, 11. maddede sayılan ve TMMOB ve Odalar açısından istisna hükümler kapsamında bir talep ise başvuru bu nedenle reddedilebilir, istisnalar dışındaki hususların başvurunun içeriğine göre değerlendirilmesi ve ilgiliye her koşulda cevap verilmesi gerekmektedir.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
Yine bu hususta Veri Sorumlularına Başvuru Usul ve Esasları Hakkında Tebliğ 10 Mart 2018 tarihli Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
İlgili kişinin hakları kapsamında düzenlenen hususlardan biri de; “7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme” hakkıdır.
“ Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.”
ÖNEMLİ: İlgili tarafından kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinin talep edilmesi 11. maddedeki haklar arasında düzenlenmiştir. 28. madde dolayısıyla Odaların Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla kanunun verdiği yetkiye dayanarak; denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olan veriler bakımından işlediği veriler açısından ilgili kişilerin bu verilerin silinmesini talep hakkı bulunmamaktadır.
Bununla birlikte kişisel verilerin işlenmesindeki genel ilkeler gereği Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen silmesi, yok edilmesi veya anonim hâle getirilmesi gerekmektedir. Bu yükümlülük, yönetmelik uyarınca, işleme şartının ortadan kalktığı andan itibaren 3 ay içinde yerine getirilmelidir.
Sicile kayıtla yükümlü veri sorumlularının 6 aydan çok olmamak üzere periyodik imha süresi belirlemesi ve bu periyotlarda imha işlemini gerçekleştirmesi gerekmektedir.
Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik 28 Ekim 2017 tarih ve 30224 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
5. Kurul kararlarının yerine getirilmesi yükümlülüğü
“Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15- (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.
(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.
(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.
(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.”
Kanunda Kurul kararlarının gecikmeksizin ve en geç otuz gün içinde yerine getirilmesi zorunluluğu öngörülmüştür.
6. Suçlar ve Kabahatler
“Suçlar
MADDE 17- (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.
(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.”
“Kabahatler
MADDE 18- (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.”
- maddenin ikinci fıkrası dolayısıyla maddede sayılan idari para cezaları TMMOB ve Odalar bakımından uygulanamayacak fakat disiplin hükümlerine göre işlem yapılarak sonucu Kurula bildirilecektir.
Yukarıda yapılan açıklamalar ve ilgili mevzuat birlikte değerlendirildiğinde TMMOB ve Odalar bakımından yapılması gerekenlere örnek olarak;
- Kişisel veri işleme envanteri hazırlanması (hangi kişisel verilerin, kimler tarafından, ne amaçla, hangi faaliyet çerçevesinde, hangi veri işleme şartına dayanarak işlendiğinin tespiti)
- verilerin kimlerle paylaşıldığının tespiti (yazılım firmaları, kargo şirketleri, oteller vb.)
- verilerin ne kadar süre ile saklanacağı ve ne zaman silineceğine ilişkin belirleme yapılması
- tutulan verilerden TMMOB ve Odaların faaliyetleri kapsamında gerekmeyen veya kullanmayan verilerin silinmesi ve/veya yok edilmesi yahut imhası
- verilerin korunması kapsamında ortaya çıkabilecek risklerin tespiti ve önlemlerinin alınması (siber güvenlikten dolap güvenliğine kadar her şey olabilir), veri güvenliği hususunda teknik ve idari tedbirler alınması
- Verileri işleyen gerçek veya tüzel kişilerle yapılacak protokol/sözleşme/gizlilik anlaşmaları gibi metinlerin hazırlanması
- Çalışanlara kişisel verilerin korunması ile ilgili eğitim ve farkındalık çalışmaları yapılması (kılavuz metinler hazırlanabilir)
- Çalışanlara verilen yetki ve şifrelerin yeniden tanımlanması
ve benzeri hususlar gösterilebilir.