Kişisel Verilerin Korunması ile İlgili Temel Bilgileri
Öncelikle 6698 sayılı Kişisel Verilerin korunması Kanunu (KVKK) ve kanuna bağlı yönetmeliklerde geçen kavramlara ve taraflara bakalım:
1) Kanunda kişisel veri;
Kanununun 3. maddesinde kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Kanun sadece gerçek kişilerin verilerini korumak suretiyle aslında kişiyi ve kişilik onurunu korumak amacıyla çıkarılmıştır.
2) Kanunda İlgili Kişi;
Bu kişisel veri bir gerçek kişiye aittir. Söz konusu kişisel verilerin sahibinden kanunda “İlgili Kişi” olarak bahsedilmektedir. Kanunun 3. Maddesinin ç) bendinde; İlgili kişinin, Kişisel verisi işlenen gerçek kişiyi ifade ettiği yer almaktadır.
3) Kanunda Açık Rıza;
Kanun 3. Maddesinin a) bendinde Açık rıza, Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, ifade ettiği yer almaktadır. Kanun verisi işlenecek ilgili kişinin açık rızası olmadan verilerinin işlenemeyeceğini ifade etmektedir.
Kanunun 5. Maddesinde ise “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez” dedikten sonra Madde 2’de istisnaları sıralamıştır:
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
4) Kanunda Veri Sorumlusu;
Kanunun 3. Maddesi ı) bendinde veri sorumlusu aşağıdaki gibi tanımlanmıştır:
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, şeklinde tanımlanmıştır.
Kanunun 12. Maddesinde ise veri sorumlusunun verileri hangi kriterlere göre işleyebileceğine yer verilmiştir.
MADDE 12- (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
5) Kanunda Veri İşleyen;
Kanunun 3. Maddesinin ğ) bendinde;
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, şeklinde tanımlanmıştır.
Veri işleyen, kısaca Veri Sorumlusunun, ilgili kişilerin verilerini işlemek üzere yetkilendirdiği gerçek veya tüzel kişilerdir.
Veri işleyen ile veri sorumlusu arasında bir sözleşme akdedilebilir. Bu sözleşme çerçevesinde veri işleyen de müteselsilen sorumlu olur.
6) İrtibat Kişisi;
İrtibat Kişisi, 6698 sayılı Kişisel Verileri Korunması Kanununda yer almamaktadır. Bununla birlikte, Veri Sorumluları Sicili Hakkında Yönetmelik’te yer almaktadır.
VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK 4. Maddede yer almaktadır.
ç) İrtibat kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişiyi ifade etmektedir.
Ayrıca aynı yönetmeliğin 11. Maddesinde İrtibat Kişisinin Görev ve Sorumlulukları sayılmıştır.
7) Veri Sorumlusu Temsilcisi;
Veri Sorumlusu Temsilcisi, 6698 sayılı Kişisel Verileri Korunması Kanununda yer almamaktadır. Bununla birlikte, Veri Sorumluları Sicili Hakkında Yönetmelik’te yer almaktadır.
VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK 4. Maddede yer almaktadır.
Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını bu Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade eder.
Ayrıca aynı yönetmeliğin 11. Maddesinde Veri Sorumlusu temsilcisinin Görev ve Sorumlulukları sayılmıştır.
8) Kanun da Aydınlatma Yükümlülüğü;
Kanunda Veri sorumlusunun aydınlatma yükümlülüğü aşağıdaki yer almış, Veri Sorumlusunun veya yetkilendirdiği kişinin ilgili kişinin açık rızasını almadan önce okutması gerektiği ifade edilen Aydınlatma Metninde sırasıyla yer alacak bilgilere yer verilmiştir.
MADDE 10- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları,
konusunda bilgi vermekle yükümlüdür.
11. Maddede ise ilgili kişinin hakları sıralanmıştır.
9) Kanunda İlgili Kişinin Hakları;
İlgili kişinin hakları
MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
Bu durumda ilgili kişinin veri sorumlusuna başvurabilmesi için bir form (Başvuru Formu) ortaya koyulmalıdır.
10) Kanunda Veri sorumlusuna başvuru
MADDE 13- (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
11) Kanunda Kurula Şikâyet
MADDE 14- (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15- (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.
(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.
(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.
(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.
12) Kanunda Veri Sorumluları Sicili (VERBİS)
MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
b) Kişisel verilerin hangi amaçla işleneceği.
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.