News
News
Kişisel Verilerin Korunması Kanunu (KVKK) bireylerinin mahremiyetini korunması için 2010 yılında açıkça anayasal garanti altında ortaya konmuş bir düzenleme. Kanun, rastgele bir bireye ilişkin bir bilginin, bilginin çeşitli yollarla elde edilmesi, kaydedilmesi, depolanması, koruma edilmesi, değiştirilmesi, yine düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi sürece faaliyeti olup, bu faaliyetleri bir sistem içinde yerine getiren her kurum, kuruluş ve işletmeyi tabi tutuyor.
Ancak Yurttaşların ferdî dataların korunmasına ait haklarının varlığına ait bilinçlenme durumları şimdi üst seviyede olmadığı için Kanun kapsamında denetlemeleri gündemde yer almıyor.
KVKK hakkında uzman hukukçular, bilişim çağının gereği olarak bir kanunun düzenlendiğini söyleyerek, toplumların global bir ömür içerisinde olduğunu ve şahısların mahremiyetinin çok kıymetli bir konu olduğuna dikkat çekiyor.
Hukukçular, birçok kurum ve işletmenin bilgi ve özel nitelikli data işlediğinin farkında olmadığını belirterek, KVKK’ya tabi olduklarından bile haberdar olmadıklarını söylüyor.
“İŞLETMELER İŞLEDİKLERİ TÜM BİLGİLERİ KORUMAKLA YÜKÜMLÜDÜR”
Kanun kapsamını belirleyen temel bahsin ferdî datanın ne olduğu ve nasıl korunması gerektiği konularında toplandığını belirten Av. Elif Pak:
“Günümüzde işletmeler şahsî data işlemediklerini düşünüyorlar ancak bir gerçek şahsa ilişkin rastgele bir datayı muhakkak bir kayıt altında tutan tüm işletmeler şahsî data işliyor kabul edilmektedir. Veri işlemek; kaydetmek, saklamak, paylaşmak, kullanmak, imha etmek üzere farklı durumları da içerir.
İşletmeler işledikleri tüm bilgileri korumakla yükümlüdür. Kişisel verilerin korunması kanunu ile amaçlanan bilgi işlemenin kişinin bilgisi ve gerekli durumlarda onayı ile yapılması, kişinin verisinin ne halde saklanacağı, ne vakit silineceğini bilmesi ve en kıymetlisi bu bilgilerin yalnızca işleyen bireylerde kalmasının sağlanması yani bilgilerin kapalılığının korunmasıdır.”
“İZNE GEREK OLMAMASI AYDINLATMA YÜKÜMLÜLÜĞÜNÜ ORTADAN KALDIRMIYOR”
İşletmelerin emekçilerinin ya da çalıştıkları gerçek bireylerin bilgilerini kanunda sayılan istisnalarla açıkça istek almadan işleyebileceklerini anlatan Av. Mehtap Güler:
“Burada dikkat edilmesi gereken çok kıymetli bir nokta var; herhangi bir şahsî datanın kanun gereği işlenmesinde müsaadeye gerek olmaması o datayı işlemek için aydınlatma yükümlülüğünü ortadan kaldırmıyor. Yani kanunun müsaade verdiği datayı işleyebiliriz. Ancak yeniden de data sahibi örneğin emekçiye, ‘Kanun bana bu bilgiyi işlemek için yetki verdi ve ben bu yetkiyle bu bilgiyi yalnızca bu iş ile hudutlu olmak üzere işliyorum’ halinde bilgilendirmelidir.
Örnek olarak işyerinde çalışan personelleri ele alalım. Bir patron kanun gereği çalışanın TC kimlik numarasını, banka bilgilerini, SGK rapor bilgilerini saklamak durumunda. Bu durumda tekrar emekçiyi hangi bilgiyi, hangi emelle ve ne kadar mühlet saklayacağı konusunda aydınlatmakla yükümlüdür. Ayrıyeten kanun gereği tutulması gerekli olmayan bilgileri ise fakat açık istek ile kayıt altına alınıp, saklanabilir ve verilen açık istek her vakit geri de alınabilir.
İşletmeler bilgi işleyen çalışanlarına özel nitelikli olmayan ferdî dataların ve özel nitelikli ferdî dataların ne olduğu, değeri ve saklılığın değeri konusunda eğitimler vermelidir.
İşveren tarafından verilen yetkinin çalışanlar tarafından berbata kullanılması durumunda da işletmenin sorumlu olduğu Heyet tarafından kabul edildi. Bu noktada verilen eğitimler ve kontrat kararları taraflar için gözetici olacaktır. Zira imzalanacak mukaveleler sadece çalışanı değil, kurumu da müdafaayı hedefler.”
“AÇIK BİR YURTTAŞ HALİNE GELMEMEMİZ GEREKİYOR”
Kişisel bilgilerin korunmasının temel hak ve hürriyetlerden olan özel hayatın saklılığı kapsamında kıymetlendirilmesi gerektiğini belirten Av. Hanife Betül Çakır Ayan:
“Banko, gişe, masa üzere birden fazla kişinin yakın temasla şahsî bilgi paylaştığı yerlerde işletmelerin özel olarak dikkat ve muhafaza yükümlülüğü de vardır. Mesela bir siteye girdiğinizde sizden alınan kimlik bilgisi sizin şahsî verinizdir ve bu datayı işleyen site idaresi burada bilgilerinizi korumakla yükümlüdür. Kısaca, devlet nezdinde açık bir yurttaş haline gelmememiz gerekiyor. Şunu da unutmamak gerek ki; kişisel bilgiler bir sohbet konusu değildir.
ÖZEL NİTELİKLİ VERİLER
Veriler ‘özel nitelikli ferdî veri’ ve özel nitelikli olmayan ferdî data olarak ayırabiliriz. Kanunun tarifi şu haldedir:
‘Kanunda özel nitelikli ferdî datalar, tek tek sayılarak sonlu halde belirlenmiştir. Bunlar; Bireylerin ırkı, etnik kökeni, siyasi niyeti, felsefi inancı, dini, mezhebi yahut başka inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sıhhati, cinsel hayatı, ceza mahkûmiyeti ve güvenlik önlemleriyle ilgili dataları ile biyometrik ve genetik bilgilerdir. Özel nitelikli ferdî datalar sayılanlarla sonlu olup, genişletilmesi mümkün değildir.’
Bu kapsamda bakıldığında bilhassa tabipler, psikiyatristler, diş doktorları, tıp merkezleri, hastaneler, tüp bebek merkezleri, aile sıhhati merkezleri, eczaneler, radyolojik görüntüleme merkezleri, sıhhat verisi işleyen psikologlar, diyetisyenler, fizyoterapistler, hoşluk estetik merkezleri saç ekim, burun, dudak, optikler, spor merkezleri stüdyoları, alerji bilgisi işleyen kreş, anaokulu, okullar, kanun kapsamında özel nitelikli bilgi işlemektedirler.
İşlenen tüm bilgiler işlendikleri gayeyle temaslı, hudutlu ve ölçülü olması ve bu kapsamda kullanılması gerekir. Konsey tarafından verilen bir kararda spor salonuna sadece parmak izi okutularak girilebilmesi ölçülü bulunmamıştır. Parmak izi biyometrik bilgidir, yani özel nitelikli ferdî bilgidir. Spor salonuna girmek için bu datanın alınmasından öbür seçenek sunulmaması hedefle uygun bulunmamıştır”
Kanun ve konsey kararları gereği işletmeler ve kurumlar tarafından alınması gerekli idari ve teknik önlemler olduğunun altınız çizen, Av. Fatma Yağmur Şeker Öneş:
“Alınması gerekli önlemler işletmelerin yapılarına ve gereksinimlerine nazaran uzman hukuk takımımız tarafından belirlenerek öncelikle idari önlemler oluşturulmaktadır. Daha sonra özel olarak belirlenen teknik önlemlerin uygulanması için yönlendirmeler yapılmakta ve işletmelerin tüm önlemleri alması sağlanmaktadır.
İdari ve teknik önlemlerin İşletmelerin ahenk süreci sonrasındaki yol haritalarını belirler. Önlemlerin hukuka uygun olabilmesi için Kişisel Verileri Koruma Kurulu kararlarının ve mevzuatın yeniliğine uygun olması ve gerekli teknik donanıma sahip olunması gerekir.
Kişisel Verilerin Korunması Kurulu 2018 yılında verdiği bir kararda, reklam ve promosyon içerikli ileti ve elektronik posta gönderilmesinde bireylerden açık istek alınması gerektiğini aksi taktirde bütün ileti ve elektronik postaların durdurulması gerektiğini karar bağlamıştır. Yeniden Şura resen inceleme ile başlattığı kontrol sonucunda geçtiğimiz Temmuz ayında aydınlatma yükümlülüğü ve açık istek beyanları süreçlerinin farklı başka yapılması gerektiğini vurgulamış, gerekli koşullar sağlanmadan yurtdışına bilgi aktarılması suretiyle hukuka karşıt bir ferdî data sürece faaliyeti gerekçesiyle otomotiv şirketine 900 bin TL idari para cezasına hükmetmiştir.
Kişisel bilgilerin korunması dışında yargı kararlarında da yer alan unutulma hakkı ile ilgili de Şuranın çok yakın tarihli bir kararı var: Bireyler isim ve soyadının yazılmasıyla arama motorlarında çıkan sonuçların kıymetlendirilerek indeksten kaldırılması için müracaatta bulunabileceği de belirtilmiştir.”
VERBİS NEDİR? KİMLER KAYIT OLMALI?
Kişisel data işleyen gerçek ve hukukî bireylerin Data Sorumluları Siciline (VERBİS) kayıt olma zaruriliği olduğundan bahseden Av. Şule Nur Erşen:
“Çalışan sayısı 50’den fazla olan yahut yıllık bilançosu 25 milyondan fazla olan yahut ana faaliyet konusu özel nitelikli şahsî datalar olan tüm ilgililerin bilgi sorumluları siciline kayıt yükümlülüğü vardır. İlgili müddetler kapsamında sicile kayıt ve bildirim yükümlülüklerine alışılmamış hareket edenler hakkında şura tarafından 36 bin 52 TL ile 1 milyon 802 bin 640 TL ortasında idari para cezası uygulanır. Fakat unutulmamalıdır ki; VERBİS’e kayıt yaptırılması ya da kayıt yükümlülüğünden istisna olunması kanunda yer alan öteki yükümlülüklerin yerine getirilmeyeceği manasına gelmemektedir.
Yapılan düzenlemelerde Bilgi Sorumluları Sicili’ne kayıtla yükümlü olanlar açıkça belirtilmiştir. Lakin örneğin biz avukatlar VERBİS’e kayıttan istisna tutulmuş olmamıza karşın kanunda belirtilen tüm yükümlülüklerden sorumluyuz. Birebir halde çalışanları olan patron ya da gerçek şahısların kayıtlarını tutan rastgele bir işletme de kanun gereği sorumludur ve kaydettiği tüm dataları itimatla saklamakla yükümlüdür.
Pandemi sebebiyle ilgili Heyet tarafından uzatılan müddetler Verbis’e kayıt için belirlenen sürelerdir. Kanuna ahenk ve ferdî dataları muhafaza yükümlülüklerimiz hepimiz ismine başlamıştır ve devam etmektedir. Bu süreç dataların silinmesi imha edilmesi sürecine kadar devam etmektedir.”
KİŞİSEL DATALARIN İHLALİ DURUMUNDA NE YAPILMALI?
Son olarak hukukçular, data ihlaline ait yapılması gerekenleri şu halde anlattı:
“Şikayet bildirimleri şuraya yapılabilir. Fakat yapılan şikayet sonucunda heyet sadece ihlale sebebiyet şirket ya da gerçek bireye idari yaptırım kararı verebilir, başvuruyu yapan ilgili bireye uğranılan ziyan sebebiyle bir tazminat ödenmesi konusunda karar vermemektedir. Kelam konusu ziyana ait olarak talep edilecek tazminatlar istekleri genel mahkemeler nezdinde kıymetlendirilebilir.
Kişisel bilgilerin işlemesi kapsamında kişilik haklarının ihlal edildiğini düşünen ilgili kimse tarafından öncelikle bu ihlale sebebiyet veren şirket ya gerçek şahsa yazılı olarak başvurulması ve bu ihlalin ortadan kaldırılması, ihlal sonucunda uğranılan zararın giderilmesi üzere talepleri kesinlikle bildirilmesi gerekmektedir. Yapılan bu müracaata yetersiz karşılık verilmesi, taleplerin reddedilmesi yahut 30 gün içerisinde hiç yanıt verilmemesi halinde lakin konseye şikayete gidilebilir. Hasebiyle, ilgili müracaat yapılmadan direkt heyete şikayet yoluna gidilmesi mümkün değildir. Konseye yapılacak olan şikayet mühleti ise yapılan müracaat sonucunda verilen karşılığın öğrenildiği tarihten itibaren 30 gün ve her hâlükârda müracaat tarihinden itibaren 60 gün olarak belirlenmiştir.
Burada kıymetle belirtmek gerekir ise bu mühletlerin kaçırılması yapılan hak ihlaline ait ayrıca bir yol izlenemeyeceği manasına gelmemektedir. Keza konseye müracaat yapılmaksızın genel kararlar çerçevesinde mahkemeler nezdinde tazminat ve cezaya ait taleplerin ileri sürülmesi mümkündür.
6698 sayılı kanun kapsamında getirilen yükümlülere ters hareket edilmesi sonucunda konsey tarafından hayli yüksek para cezaları ile karşı karşıya kalınabilir. Bu nedenle firmanızı, ofisinizi, doktor isek muayenehanenizi kanuna ahenkle hale getirilmesi ismine kvk konusunda uzman ve ihtisas sahibi hukukçular ile birlikte teknik bir gruptan bir fiil takviye alınması epey kıymetlidir. Gerçekten kelam konusu para cezaları hayli yüksek olduğu üzere yapılacak rastgele bir ihlal birebir zaman türk ceza kanunu kapsamında da bir kadro yaptırımlar ile karşı karşıya kalınması kaçınılmaz olacaktır.”
GÜNDEM
10 gün önceEKONOMİ
10 gün önceGENEL
10 gün önceGENEL
10 gün önceGÜNDEM
11 gün önceSPOR
11 gün önceGÜNDEM
11 gün önce
1
Alaeddin Bey Gonca Hatun evlendi mi, evlenecekler mi? Alaeddin Bey kiminle evli?
2
Çiğdem Bulum kimdir, nerelidir? Nazlı Bulum kim ve kaç yaşında?
3
Instagram Ziyaret Ettiğin Bağlantılar Görünmüyor Nasıl Düzeltilir?
4
Yasemin Bektaş neden öldü, öldü mü? Çorumlu akademisyen Yasemin Bektaş kimdir?
5
Azerbaycan Balta Cinayeti Olayı Nedir?
