Kişisel verilerin korunması hakkında bilgi bülteni
1. Büyükdere Cad. Kırgülü Sok. Metrocity Avm D Blok No:4 K:4 Levent- İstanbul
Tel : 0 212 319 18 09 - Fax: 0 212 319 38 02
20.04.2016
KİŞİSEL VERİLER NASIL KORUNACAK?
Kamuoyunda da çok tartışılan Kişisel Verilerin Korunması Kanun’u ( Kanun) 07.04.2016 tarihinde
Resmi Gazete de yayınlanarak yürürlüğe girmiştir.
Bu bülten de Kişisel Verilerin Korunması Kanun’u kapsamında şirketlerin yapması gerekenler ile
Kanun kapsamında getirilen yükümlülükler hakkında kısaca bilgilendirme de bulunacağız.
Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak Kanun’ da
tanımlanmıştır.
Bir kişinin adı, soyadı, taşıt plakası, TC kimlik numarası, SGK numarası, pasaport numarası, kişinin
parmak izi, özgeçmişi, e-posta adresi veya resmi kişisel veri olarak kabul edilecektir. Kişisel veriler
çalışanlarınıza ait olabileceği gibi müşterilerinize, bayilerinize, rakiplerinize ve birlikte iş yaptığınız iş
ortaklarınıza, eğer bir dernek ya da vakıf iseniz üyelerinize de ait olabilecektir.
Kanun da özel nitelikli kişisel veri ayrıca düzenlenmiştir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi,
felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik
verileri özel nitelikli kişisel veri olarak tanımlanmıştır.
Kişisel Verinin İşlenmesi Ne Demektir?
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde
edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem kişisel verinin işlenmesi olarak tanımlanmıştır.
Şirketinize yapılan iş başvurusu sırasında doldurulması talep edilen iş başvuru formları, müşteri
bilgilerinizin kayıt edildiği formlar, e ticaret siteleri için internet sitesine üye kaydı esnasında doldurulan
formlar, müşteri e-maillerinin kayıt edildiği e-mail listeleri vb. kullanılarak şirketinizin kişisel veri işlemesi
mümkündür.
2. Büyükdere Cad. Kırgülü Sok. Metrocity Avm D Blok No:4 K:4 Levent- İstanbul
Tel : 0 212 319 18 09 - Fax: 0 212 319 38 02
Kişisel Verilerin İşlenmesinde Uyulması Gereken İlkeler ve Verilerin İşlenme
Şartları Nelerdir?
Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel veriler ancak ilgili kişinin açık rızası ile işlenebilecektir. Bu kuralın istisnası mevcut olup ancak
kanunda düzenlenen bazı sınırlı hallerde kişinin açık rızası olmasa da kişisel veri işlenebilecektir.
Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi,
Aktarılması
Kanun’a uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan
kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir,
yok edilir veya anonim hâle getirilir.
Örneğin şirketinize iş başvurusunda bulunan bir çalışan işe kabul edilmediğinde başvuru esnasında
doldurmuş olduğu iş başvuru formunda yer alan bilgilerinin kayıtlarınızdan silinmesini talep eder ise bu
talebin kabul edilmesi gerekecektir.
Kanun kişisel verilerin kişinin açık rızası olmaksızın yurt dışına aktarma da dahil olmak üzere her türlü
aktarılmasını yasaklamıştır. Ancak Kanun da öngörülen istisnai hallerde bu Kanun da öngörülen
şartların yerine getirilmesi halinde mümkün olabilecektir.
Şirketlerin Veri Sorumlusu Ataması Gerekmektedir.
Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır.
Veri sorumlusu kişisel verileri işlemesi için veri işleyen bir kişiyi tayin edebilecektir.
Şirketlerin veri sorumlusu olarak bir gerçek veya tüzel kişiyi atamaları gerecektir.
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline
kaydolmak zorundadır.
3. Büyükdere Cad. Kırgülü Sok. Metrocity Avm D Blok No:4 K:4 Levent- İstanbul
Tel : 0 212 319 18 09 - Fax: 0 212 319 38 02
Veri Sorumlusunun Yükümlülükleri Nelerdir?
i. Aydınlatma Yükümlülüğü
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.
ii. Veri Güvenliğine İlişkin Yükümlülükler
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak
zorundadır,
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde,
yukarıda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla
gerekli denetimleri yapmak veya yaptırmak zorundadır.
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak
başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden
ayrılmalarından sonra da devam eder.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri
sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmesi gerekmektedir.
İlgili Kişiler Doğrudan Veri Sorumlusuna Başvurabilecekler
Herhangi bir kişi veri sorumlusuna başvurarak;
i. kendisi ile ilgili kişisel veri işlenip işlenmediğine,
ii. işlendiyse, işlenen bilginin ne olduğuna,
iii. işleme amacını ve verinin bu amaca uygun kullanılıp kullanılmadığına
iv. kendisine ait kişisel verilerin üçüncü kişilere aktarılıp aktarılmadığına veya yurtdışına transfer
edilip edilmediğine ilişkin veri sorumlusundan bilgi talep edebilecektir.
4. Büyükdere Cad. Kırgülü Sok. Metrocity Avm D Blok No:4 K:4 Levent- İstanbul
Tel : 0 212 319 18 09 - Fax: 0 212 319 38 02
Bu Kanun ile birlikte Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu kurulacak ve söz
konusu Kurul şikâyet halinde ya da ihlal iddiasını öğrenmesi durumunda re’sen ihlali gerçekleştiren
şirketin kayıtlarına ilişkin inceleme yapabilecektir.
Cezai Yükümlülükler Neler?
i. Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000
Türk lirasına kadar,
ii. veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk
lirasından 1.000.000 Türk lirasına kadar,
iii. Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından
1.000.000 Türk lirasına kadar,
iv. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında
20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilecektir.
İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacaktır.
Türk Ceza Kanun’una göre aykırılık suç teşkil ediyorsa (kanuna aykırı, işleme, başka kişilere verme,
silmesi gerekirken silmeme) 1 yıldan 4,5 yıla kadar hapis cezasına hükmedilebilecektir. Bunlarla birlikte,
hakları ihlal edilen ilgili kişiler genel hükümlere göre tazminat talebinde de bulunabileceklerdir.
Saygılarımızla
Arslan & Alkaya Hukuk Bürosu