2. Giriş
Kişisel Verilerin Korunmasına Dair Kanunda;
a) Kişisel Veri Kanunu ve Kişisel Veri / Özel Nitelikli Kişisel Veri
Nelerdir?
b) Özel nitelikli kişisel veriler nelerdir?
c) Açık Rıza Nedir?
d) Kişisel Verilerin İşlenmesi
e) Kişisel Verilerin İşleme Şartları
f) Verinin Anonim Hale Getirilmesi
g) Veri sorumlusu ve Veriyi İşleyen kimlerdir?
h) Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
i) Kişisel Verilerle ilgili bilgilendirme yükümlülükleri nelerdir?
j) Veri İmhası
k) Kanuna aykırılık halinde uygulanacak ceza ve yaptırımlar
nelerdir?
3. Kişisel Verilerin Korunması Kanunu Nedir?
Kişisel Verilerin Korunması Kanunu 24/03/2016 tarihinde
TBMM Genel Kurulunda kabul edilerek 07/04/2016 tarih ve
29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girdi.
Kişisel Verilerin Korunması Kanunu’nun amacı kişisel verilerin
işlenmesinde (kullanılmasında) hem kişinin haklarını korumak
hem de kişisel veriyi alanın uyacağı kuralları düzenlemektir.
4. Kişisel Veri Nedir?
Kişisel veri, sahibi olduğu kişiyi tanımlayan, kişi hakkında özel ve
genel bilgileri içeren her türlü veridir. Bu bağlamda sadece bireyin
adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini
sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik,
sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin
belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde
bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir
hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik,
kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik
taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla
ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm
halleri kapsar.
5. Özel Nitelikli Kişisel Veriler Nelerdir?
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
askerlik bilgisi, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek,
vakıf ya da sendika üyeliği, sağlık durumu, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri, biyometrik ve
genetik verileri Özel Nitelikli Kişisel Verilerdir. “özel nitelikli kişisel
veri” olarak tanımlanmış, sağlık ve cinsel hayata ilişkin veriler
haricindeki diğer özel nitelikli kişisel verilerin kanunlarda sayılan
istisnai haller dışında ilgili kişinin açık rızası olmaksızın
işlenemeyeceği belirtilmiştir.
6. Özel Nitelikli Kişisel Veriler Nelerdir?
Sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının
korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında
bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin
açık rızası aranmaksızın işlenebilecektir.
7. Açık Rıza Nedir?
Kanun’da açık rıza: belirli bir konuya ilişkin, bilgilendirilmeye dayanan
ve özgür iradeyle açıklanan rızayı ifade etmektedir. Buna göre rıza
beyanı, ilgili kişinin kendisiyle ilgili veri işlenmesi fiiline, özgürce ve
konuyla ilgili yeterli bilgi sahibi olarak verdiği ve sadece o işlemle
sınırlı onay beyanıdır. Buna göre ilgili kişi , kendisine ait verilerin
işlenmesini kabul etmektedir. Rıza, ilgili kişi tarafından “tereddüde
yer bırakmayacak şekilde” verilmiş olmalıdır.
8. Açık Rıza Nedir?
Kişisel veri Kanununda Açık rızayı gerektiren madde ise
şöyledir:
MADDE 5– (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın
işlenemez.
Veri sahibinden alınacak açık rıza’ya örnek olarak aşağıdaki
metin verilebilir;
“Kişisel verileriniz, size daha iyi hizmet sunabilmek için toplanmaktadır.
Bu bilgiler sadece kurumumuz tarafından saklanıp işlenebilmektedir.
Veri temsilcimize ulaşarak sizinle ilgili veriler için erişim, değişiklik, imha
talebinde bulunabilirsiniz.”
9. Kişisel Verilerin İşlenmesi
Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen
otomatik olan ya da olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir
hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi
gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
10. Kişisel Verilerin İşlenme Şartları
Kanunda kişisel verilerin işlenmesinde uyulması gerekli temel
ilkeler;
(i) hukuka ve dürüstlük kurallarına uygun olma, (ii) doğru ve
gerektiğinde güncel olma, (iii) belirli, açık ve meşru amaçlar için
işlenme, (iv) işlendikleri amaçla sınırlı olma ve (v) işlendikleri amaç
için gerekli olan süreyle sınırlı olarak muhafaza edilme ilkeleri
gösterilmiştir.
Kanuna göre, yukarıda sayılan temel ilkelere uygun olmak şartıyla
kişisel veriler kural olarak ancak ilgili kişinin açık rızası olması
koşuluyla işlenebilecektir. Bununla birlikte Kanunda sayılan
aşağıdaki istisnalardan birinin varlığı halinde açık rıza
olmaksızın da kişisel verilerin işlenmesi mümkün olabilecektir:
• Kanunlarda açıkça öngörülmesi
• Rızasını açıklayamayacak durumda bulunan veya rızası hukuken
geçersiz olan kişinin ya da bir başkasının hayatı ya da beden
bütünlüğünün korunması için zorunluluk olması
11. Kişisel Verilerin İşlenme Şartları
• Sözleşmenin kurulması veya ifasıyla ilgili olmak kaydıyla, taraflara
ait kişisel verilerin işlenmesinin gerekli olması
• Veri sorumlusunun hukuki yükümlülüğünün yerine getirebilmesi
için zorunlu olması
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla,
veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu
olması
• İlgili kişinin kendisi tarafından alenileştirilmiş olması
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin
zorunlu olması, işlenmesini gerektiren sebeplerin ortadan kalkması
halinde, kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesi gerekmektedir.
12. Verinin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, verilerin başka verilerle
eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade
etmektedir. Bu kapsamda, elde kalan veri üzerinden bir izleme
yapılarak başka verilerle eşleştirme ve destekleme sonrasında
verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale
getirildiği kabul edilemez.
13. Verinin Anonim Hale Getirilmesi
Anonimlik için veri maskeleme yöntemi kullanılabilir.
Örneğin:
T.C Kimlik No için ilk 4 ve son 3 hane açık olup, ortadaki sayılar ‘*’
vb. gibi ifadeler ile maskelenebilir.
14. Veri Sorumlusu ve Veri İşleyenler
Veri Sorumlusu:
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır. Bu
kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler,
dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.
Veri İşleyen:
Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel
verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır.
15. Kişisel Veri Toplamanın Yöntemi ve Hukuki
Sebebi
Kişisel verilerin toplanması için hukuki bir sebep olmalıdır.
Sebep sorulduğunda aşağıdaki gibi bir metin kullanılabilir;
Kişisel verileriniz Şişli Belediyesi tarafından farklı kanallarla ve farklı
hukuki sebeplere dayanarak; faaliyetlerimizi yürütmek amacıyla
toplanmaktadır. Bu hukuki sebeple toplanan kişisel verileriniz K.V.K
Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme
şartları ve amaçları kapsamında işlenebilmekte ve
aktarılabilmektedir.
16. Kişisel Verilerle ilgili bilgilendirme
yükümlülükleri
Kanunda Veri Sorumlusu ya da yetkilendirdiği kişi için, kişisel
verilerin işlenmesi sırasında aşağıdaki hususlar hakkında ilgili
kişilere bilgilendirme yapma yükümlülüğü getirilmiştir:
Veri sorumlusunun ve varsa temsilcisinin kimliği
Kişisel verilerin hangi amaçla işleneceği
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
Kişisel veri toplamanın yöntemi ve hukuki sebebi
Kanunda sayılan ilgili kişinin hakları
17. Veri İmhası
Kullanılmayan veya kullanılmayacak olan önem düzeyi yüksek veriler
canlı ortamda ise kağıt öğütücü vb. araçlar ile, sanal ortamda ise
silinmesi veya anonim hale getirilmesi gerekmektedir.
18. Kanunda yer alan hükümlere aykırı hareket edenler hakkında ise
5.000 TL’ den 1.000.000 TL’ ye kadar idari para cezası uygulanması
gibi idari yaptırımlar getirilmiştir. Ayrıca cezai yaptırımlar için Türk
Ceza Kanunu’nda (“TCK”) bulunan cezaların uygulanacağı
belirtilmiştir. Bu cezalar, suçun niteliğine göre 1 ila 6 yıl arasında
değişen hapis cezası olarak belirlenmiştir.
Bu çerçevede Kanun’un yürürlüğe girmesinden önceki dönemde de
yürürlükte bulunan ancak kişisel veri tanımının net olarak
yapılmaması sebebiyle aktif olarak uygulama imkanı bulunmayan
TCK’daki kişisel verilere ilişkin suçlar ve yaptırımların ise bu
Kanun’un yürürlüğe girmesiyle birlikte uygulama alanı bulacağı
düşünülmektedir.
Kanuna aykırılık halinde uygulanacak ceza
ve yaptırımlar
19. Özet
Şişli Belediyesi olarak kişisel verileri koruma kurumuna, veri
sorumlusu olarak bir gerçek veya tüzel kişiyi bildirmemiz
gerekmektedir. Kuruma karşı sorumluluk, veri sorumlusunda olmakla
birlikte her birim temin ettiği kişisel verileri belirtilen kanuni
düzenlemeye uygun olarak işleme ve saklama yükümlülüğü
altındadır.
Kanun hakkında soru ve sorunlar için hukuk birimine danışılmalıdır.