6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Kapsamında Kişisel Verilerin İşlenmesi ve Şartları-2

Posta tarihi: 22 Mayıs 2020

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Kapsamında Kişisel Verilerin İşlenmesi ve Şartları-2

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Kapsamında Kişisel Verilerin İşlenmesi ve Şartları-2

Bir önceki yazımızda 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında Kanunun amacı ve kişisel veri kavramının tanımı ile neleri kapsadığını ele almıştık. 6698 sayılı KVKK ile düzenlenen bir başka husus da “kişisel verilerin işlenmesi” olup bu başlık; veri kayıt sistemi, otomatik olarak veri işlenmesi gibi kavramları da beraberinde getirmektedir.

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Bu tanımdan da görülmektedir ki kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler kanun kapsamında kabul edilmektedir.

Otomatik olarak veri işlenmesi; bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir.

Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak elektronik ya da fiziki ortamda işlendiği kayıt sistemini ifade etmektedir. Örneğin, herhangi bir kritere bağlı olmaksızın gelişigüzel bir şekilde sadece kişilerin ad ve soyadlarının bir kağıtta yer alması hali Kanun kapsamına girmez.

Kişisel verilerin işlenebilmesi için birtakım şartların yerine getirilmesi gerekmektedir. Bu şartlar Kanunun 5. maddesinde sayılmış olup, buna göre aşağıdaki hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesi mümkündür.

  1. İlgili kişinin açık rızasının varlığı (Bu durumda veri sorumlusu tarafından veri işleme faaliyetinin gerçekleştirilmesinde öncelikle diğer veri işleme şartlarından birine dayanılıp dayanılamayacağı değerlendirilmeli, bunlardan hiçbirisi yoksa ilgili kişinin açık rızasının alınması yoluna gidilmelidir.),
  2. Kanunlarda açıkça öngörülmesi,
  3. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  4. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması (Örneğin, bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarasının alınması veya bir bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi, sözleşme gereği satıcının, malı teslim borcunu yerine getirmesi için alıcının adresini kaydetmesi ya da işverenin maaş ödemesini gerçekleştirmek amacıyla çalışanların banka bilgilerini elinde bulundurması gibi),
  5. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  6. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması (Örneğin, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması gibi),
  8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

6698 sayılı KVKK ile kişisel verilerin işlenmesine bazı hallerde “tam” ve “kısmi” olmak üzere birtakım istinaslar da getirilmiştir ve bu istisnai durumlar karşısında kanun kapsamında yer alan gerçek ve tüzel kişiler yönünden kişisel verilerin işlenmesi için kanun hükümlerinin uygulanması gerekmeyecektir.

Kişisel verilerin işlenmesi sürecinde uyulması gereken ilkeler ise Kanun’da a. Hukuka ve dürüstlük kurallarına uygun olma, b. Doğru ve gerektiğinde güncel olma, c. Belirli, açık ve meşru amaçlar için işlenme, ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme olarak sıralanmıştır.

 

Kişisel Verilerin Aktarılması Nedir?

6698 sayılı KVKK , kişisel verilerin aktarılmasını “yurtiçi” ve “yurtdışı” olmak üzere Kanunun 8. ve 9. Maddeleri ile düzenlemiştir.

Kanunda, kişisel verilerin ilgilinin açık rızası olmak şartıyla gerek yurtiçinde gerekse yurtdışında üçüncü kişilere aktarılabileceği öngörülmektedir. Bununla birlikte, kişisel veriler açısından yine hem yurtiçi hem de yurtdışı aktarımları bakımından Kanunun 5. maddesinin 2. fıkrasında sayılan işleme şartlarından en az birinin bulunması; özel nitelikli kişisel veriler açısından ise yeterli önlemler alınmak kaydıyla Kanunun 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin bulunması halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin aktarılması mümkündür.

Verilerin yurtdışına aktarılmasında yukarıda yer verilen bilgilerin yanı sıra ayrıca verinin aktarılacağı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması şartı gerekmektedir.

 

 Aydınlatma Yükümlülüğü ve Kapsamı Nedir?

Kişisel veri işleme faaliyeti kapsamında kişisel verinin elde edilmesi sırasında veri sorumlusu tarafından ilgili kişilerin aydınlatılması gerekmektedir. Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin onayına tabi değildir. Bununla birlikte aydınlatma yükümlülüğü yerine getirilirken ilgili kişiye verilecek bilgiler, eğer Veri Sorumluları Siciline kayıt yükümlülüğü varsa, Veri Sorumluları Siciline açıklanan bilgilerle uyumlu olmalıdır. Kayıt yükümlüğü yoksa Kanunun 10. ve 11. maddeleri kapsamında aydınlatma yükümlülüğü yerine getirilmelidir. Aydınlatma yükümlülüğünün yerine getirilmesi konusunda ise bir şekil şartı bulunmamaktadır.

 

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Nedir?

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi Kanunun 7.maddesinde ele alınmakta ve ayrıca Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile düzenlenmektedir.

Söz konusu düzenlemelere göre kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin silinmesi, verileri “ilgili kullanıcılar” için erişilmez kılarken; kişisel verilerin yok edilmesi veriye hiç kimsenin erişememesini ifade etmektedir. Kişisel verilerin anonim hale getirilmesi ise kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Kişisel verileri silmeyen veya anonim hâle getirmeyenler hakkında 5237 sayılı Türk Ceza Kanunu madde 138 “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.” düzenlemesi mevcut olduğundan kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi, aktarılması ve işlenmesi konularında uzman bir kişiden danışmanlık hizmeti alınması tavsiye edilmektedir.

Danışmanlık ve avukatlık hizmetlerimizden yararlanmak ve randevu almak için bizimle iletişime geçebilirsiniz.

Bu gönderiyi paylaş