Kişisel Verilerin Korunması Kanunu (KVKK)
7 Nisan 2016 tarihinde yayınlanmıştır. Anayasanın 20.maddesine eklenen fıkraya göre: "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler; ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir."
Kişisel Veri: kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Özel Nitelikli Kişisel Veri: Öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Veri Sorumlusu: Veri sorumluluğu kişilerden veri alınmasıyla birlikte oluşur. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiye veri sorumlusu denir. Özel sektör ve kamu kuruluşlarının kanunda ayrımı yoktur, hepsi veri sorumlusu olarak kabul edilir.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
İlgili Kişi: Kanunda, kişisel verisi işlenen gerçek kişiyi ifade eder.
Açık Rıza Alınması: Açık rıza, kişisel veri işleme şartlarından biridir. Kanuna dayanmayan veri alınması durumlarında ilgili kişinin açık rızası alınmalıdır. Fatura kesmek için; TC No bilgisinin alınması kanuna dayanan veri alımına örnektir.
İlgili Kişinin Hakları
- Kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmiş ise bununla ilgi bilgi edinme.
- Kişisel verilerinin silinmesini veya yok edilmesini isteme.
- Hatalı işlenen kişisel verilerinin düzeltilmesini isteme.
- Kişisel verilerinin aktarıldığı üçüncü kişileri bilme.
- Yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi sonucu kişinin aleyhine bir durum ortaya çıkmasına itiraz etme.
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
Veri Sorumlusunun Yükümleri
- Kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
- Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, kanunda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müşterek olarak sorumludur.
- Kendi kurum veya kuruluşunda, kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
- Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük, görevden ayrılmadan sonra da devam eder.
- İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurumuna bildirir (en fazla 72 saat içinde). Kurul, gerekmesi halinde bu durumu kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
- Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişileri aydınlatma yükümlülüğü.
Kişisel Verilerin İşlenmesi için Şartlar
- Kanunlarda açıkça öngörülmesi.
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmesin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- Verinin, ilgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatler için veri işlenmesinin zorunlu olması.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanununun 16. maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolması gerekmektedir. VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları kamuya açık bir kayıt sistemidir.
6698 SAYILI KANUNUN GEÇİCİ 1. MADDESİNE(*) GÖRE İLAN EDİLEN VERBİS'E KAYIT TARİHLERİ
Veri Sorumluları | Kayıt yükümlülüğü başlangıç tarihi | Kayıt son tarihi |
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları | 01.10.2018 | 31.12.2021 |
Yurtdışında yerleşik veri sorumluları | 01.10.2018 | 30.06.2020 |
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları | 01.01.2019 | 31.12.2021 |
Kamu kurum ve kuruluşu veri sorumluları | 01.04.2019 | 31.12.2021 |
(*) GEÇİCİ MADDE 1-(2) Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır. |
Hangi Veri Sorumluları VERBİS’e Kayıt Olmakla Yükümlü?
Kanunun 16. maddesine göre, kişisel verileri işleyen gerçek ve tüzel kişilerin kişisel veri işlemeye başlamadan önce Sicile kaydolmaları gerekmektedir. Bu kapsamda, Türkiye’de yerleşik gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının Türkiye’de kişisel veri işlemeleri halinde genel kural olarak VERBİS’e kayıt olmaları gerekmektedir. Bununla birlikte Kanunun 16. maddesine göre Kurulca istisna getirilmiş olan veri sorumluları için VERBİS’e kayıt yükümlülüğü bulunmamaktadır.
Hangi Veri Sorumluları VERBİS'e Kayıt Yükümlülüğünden İstisnadır?
Kurulca bazı veri sorumluları için sicile kayıt yükümlülüğüne istisna getirilmiştir. Buna göre;
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
- Noterler.
- 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
- Siyasi partiler.
- Avukatlar.
- Gümrük müşavirleri.
- Arabulucular.
- Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar.
VERBİS’e Kayıt Olmamanın Cezası ve Yaptırımları
- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket eden veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişiler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verilecek.
- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşların da görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacak.
Kaynakça: verbis.kvkk.gov.tr