KİŞİSEL VERİLERİN KORUNMASI

6698 SAYILI KANUN – 7 NİSAN 2016

SON GÜN 7 NİSAN 2018

KİŞİSEL VERİ

  • Kimliği Belirli Veya Belirlenebilir Gerçek kişiye ilişkin Her tür bilgi (KVKK m. 3)

Kişisel Veri

  • Kişinin kimliği
  • İsmi
  • Potföyü
  • Resmi
  • Dini
  • Saglik verileri
  • Cinsel verileri
  • Kökeni vs.

Özel Nitelikli Kişisel Veri

  • Biyometrik ve genetik veriler
  • Irk, etnik köken, siyasi düşünce
  • Kılık ve kıyafeti
  • Dernek, vakıf, sendika üyeliği
  • Sağlık ve cinsel hayat verileri
  • Ceza mahkumiyeti
  • KVKK m. 6

 

Kişisel Veri – Özel Nitelikli KV

  • Açık rıza olmasa da işlenebilir.
  • Hukuka ve dürüstlük kurallarına uygun olarak işlenir.
  • Güncel olmalıdır.
  • Belirli, meşru amaçlar için işlenir.
  • Ölçülü olmalıdır
  • Mutlaka açık rıza şartı aranır.
  • Aynı şartlar burada da geçerli.
  • Kurul tarafından yeterli önlemlerin alınması şartı aranır
  • Yeterli Önlemler
  • Özel nitelikli kişisel veriler işlenirken sürdürülebilir, yönetilebilir ayrı bir politika belirlenmesi,
  • Özel nitelikli kişisel verilerin işlenmesine yönelik düzenli olarak eğitimler verilmesi, gizlilik söleşmelerinin yapılması, verilere erişim hakkı olan kullanıcılarının görev sürelerinin ve yetkilerinin kapsamlı olarak belirlenmesi, periyodik olarak kontrollerin gerçekleşmesi, görev değişikliği olan kullanıcılarının yetkilerinin derhal kaldırılması, veri sorumlusu tarafından kendisine teslim edilen envanterin geri alınması,
  • Elektronik ortamda muhafaza edilen özel nitelikli kişisel verilerin kriptografik yöntemlerle muhafaza edilmesi, kriptografik anahtarların güvenli ortamlarda tutulması, veriler üzerindeki tüm hareketlerin loglanması, verilerin bulunduğu ortamlarda güvenlik güncellemelerinin sürekli gerçekleştirilmesi, güvenliğin test edilmesi ve test sonuçlarının kayıt altına alınması, yazılımların güvenliğinin kontrol ettirilmesi ve testlerinin düzenli olarak yaptırılıp kayıt altına alınması, verilere uzaktan erişim gerekiyor ise en az iki kademeli kimlik doğrulama yaptırılması,
  • Fiziksel ortamlarda saklanan özel nitelikli kişisel veriler ile ilgili tüm fiziksel ve ortamsal güvenliğin alınması, güvenliğin sağlanması ve teknik kontrollerinin yaptırılması,
  • Verilerin aktarılması sırasında, mail yolu ile gönderilecek özel nitelikli kişisel verilerin KEP kullanılarak gönderilmesi, taşınabilir belleklerde muhafaza edilecek verilerin kriptografik yöntemle muhafaza edilmesi ve şifrelerinin de farklı ortamlarda tutulması,
  • Farklı fiziksel ortamlarda bulunan kullanıcılar arasında ayrı VPN’ler olusturularak verilerin aktarımının sağlanması,
  • Evrağın fiziken gönderileceği durumlarda yetkisiz kişiler tarafından görülmesine karşı tüm önlemlerin alınması ve evrakın gizlilik dereceli belgeler formatında gönderilmesi.
  • Bunun yanında Kişisel Verileri Koruma Kurumunun internet sitesinde yer alan “Kişisel Veri Güvenliği Rehberi” de koruma yöntemlerinde dikkate alınacaktır.

Veri Sorumlusu & Aydınlatma Yükümlülüğü

  • Veri sorumlusunun ve varsa temsilcisinin kimliği
  • Kişisel Verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi
  • Maddede sayılan diğer hakları

Aydınlatma Yükümlülüğü

  • Kişisel verinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna dair bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun olarak işlenip işlenmediğini öğrenme,
  • Yurtiçinde veya yurtdışında verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlendiği halde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini ve yok edilmesini isteme (7. Madde çerçevesinde)
  • Kişisel verilerin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi halinde zararın giderilmesini talep etme haklarına sahiptir.

 

Veri Sorumlusunun Uyması Gereken Usul ve esasları

  • İlgili kişinin açık rızasına veya kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
  • Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
  • Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.
  • Sicile kayıt yükümlülüğünün bulunması hallerinde, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, sicile verilecek bilgilerle uyumlu olmalıdır.
  • Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin talebine bağlı değildir.
  • Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
  • Kişisel veri işleme faaliyetinin açık rıza faaliyetine bağlı olarak gerçekleştirildiği hallerde, aydınlatma yükümlülüğü ve açık rızanın alınması ayrı ayrı yerine getirilmelidir.

Usul ve Esaslar

  • Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
  • Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
  • Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirlenmelidir.
  • Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
  • Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir

Yargıtaya göre,

  • Yargıtay Hukuk Genel Kurulu’nun 2014/4-56 E. 2015/1679 K. Sayılı kararında, “Bu hak biryandan kişiye “geçmişini kontrol etme”, “belirli hususların geçmişinden silinmesini ve hatırlanmamayı isteme hakkı” sağladığı gibi, diğer yandan muhataplarına kişi hakkındaki bir kısım bilgilerin üçüncü kişilerin kullanmamasını veya üçüncü kişilerin hatırlamamasına yönelik önlenmeleri alma yükümlülüğü yükler. Bu hakkın; bireylerin fotoğraf, internet günlüğü gibi kendileri hakkındaki içerikleri silmek için üçüncü şahısları zorlamayı içermesinin yanında geçmişteki cezalarına ilişkin bilgilerin veya haklarında olumsuz yorumlara neden olabilecek bilgi ve fotoğraflarının kaldırılmasını isteme hakkını tanıdığı kabul edilmektedir.

Kişisel Verinin Yurtdışına Aktarılması

  • Kişinin açık rızası olmadan aktarılamaz.
  • Aktarılacak ülkenin mevzuatının ve güvenliğinin yeterli olması gerekir.
  • Kurul hangi ülkelerin güvenli olduğunu internet sitesinde ilan eder.
  • İlan etmediği ülkelerle veri alışverişi kurul vasıtası ile yapılır.

Suç

  • Kişisel Verilerin Hukuka Aykırı olarak Kaydedilmesi/ Ele Geçirilmesi/Verilmesi/Yayılması
  • 5237 sayılı TCK m.135-140
  • 5237 sayılı TCK m. 138

Yaptırım

  • 1 yıl – 3 yıl
  • Özel Nitelikli verilerde yarı oranında arttırılır.
  • 2 yıl – 4 yıl hapis cezası.
  • Yarı oranında arttırılır. (Nitelikli haller)

Soruşturma –Kovuşturma

  • Şikayete tabi değildir.
  • Uzlaşmaya tabi değil.
  • Arabuluculuk uygulanmaz.
  • Para cezası öngörülmemiştir

Güvenlik Tedbiri

  • Tüzel kişiler hakkında güvenlik tedbirine hükmolunur.
  • Örneğin kazanç müsaderesi,
  • Eşya müsaderesi,
  • İznin iptali,

Kabahatler

  • a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • ç) 16 nci maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
  • (2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
  • (3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Bilgi İçin

 

bonus veren siteler