6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girdi. KVKK'nın amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

KVKK'nın kapsamı ise , kişisel verileri işlenen gerçek ve tüzel kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler olarak belirlenmiştir.

Kişisel Veri

Kişisel veri, KVKK kapsamında 'kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi' olarak tanımlanmıştır. Bu tanıma göre, kişisel veri çok geniş yorumlanmış ve kişiye ait her veri koruma altına alınmıştır. Bunun sonucu olarak kaydedilen güvenlik kamera görüntüleri, dinamik ip adresleri, gerçek kişiye ait evin satış değeri veya bir çocuğun yaptığı resim bile kişisel veri kapsamına girmektedir

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi veri sorumlusuna aittir

Veri işleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. . Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır.

Veri Sorumlusu ile Veri İşleyen arasındaki farkları anlattığımız makale için tıklayınız.

Veri Sorumlusunun Yükümlülükleri

Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlularına bir çok yükümlülük getirilmiştir. Veri sorumlusu, kanunda yer alan her bir yükümlülüğü yerine getirmek zorundadır.

  1. Aydınlatma Yükümlülüğü (Konu hakkındaki makalemiz için buraya tıklayınız)

6698 sayılı Kişisel Verilerin Korunması Kanunu'un 10. maddesi uyarınca , veri sorumlusu, kişisel verileri işlenen kişilere karşı aydınlatma yükümlülüğünü , aydınlatma yükümlülüğünün yerine getirilmesine ilişkin tüm esas ve usullere uygun olarak yerine getirmek zorundadır. Aynı zamanda ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.

Aydınlatma Yükümlülüğüne ilişkin makalemiz için tıklayınız.

  1. Veri Güvenliğine İlişkin Yükümlülükler ( Konu hakkındaki makalemiz için buraya tıklayınız.)

Veri sorumlusu, Kişisel Verilerin Korunması Kanunu'nun veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu;

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

ile yükümlüdür.

Bu yükümlülükleri yerine getirmek için veri sorumlusu, gerekli teknik ve idari tedbirleri almak zorundadır. Bununla birlikte veri sorumlusuna denetim yükümlülüğü de getirilmiştir. Veri güvenliğine ilişkin alınacak teknik ve idari önlemler , veri sorumlusunun yapısına ve faaliyetlerine göre farklılık gösterebilir. Bu sebeple belirli tedbirler öngörülmemiştir. Yükümlülük kapsamında veri sorumlusu, veri işleme nitelik ve özelliklerine uygun olan tedbirleri belirlemek ve önlem almak zorundadır.

Bildirim Yükümlülüğü

Veri sorumlusunun diğer bir yükümlülüğü de işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurula bildirmektir.

  1. Veri Sorumluları Siciline Kayıt Yükümlülüğü

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 16. Maddesi uyarınca Veri sorumluları , veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Veri Sorumluları Sicili (VERBİS) veri sorumlularının veri işleme faaliyetleri , verilerin hangi amaçla işleneceği, verilerin aktarılıp aktarılmadığı gibi bilgileri beyan ettikleri bir kayıt sistemidir. Kayıt işlemi,

  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri
  • Kişisel verilerin hangi amaçla işleneceği.
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler.
  • Kişisel veri güvenliğine ilişkin alınan tedbirler.
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

unsurlarının, VERBİS sisteminin yönlendirmesiyle sistem üzerine işlenmesi aracılığı ile yapılır.

Kişisel Veri Envanteri Hazırlama Yükümlülüğü

Veri Sorumluları Siciline Kayıt olmak zorunda olan her veri sorumlusu, kişisel veri envanteri hazırlamak ve istendiği takdirde Kurula ibraz etmek zorundadırlar. Kişisel veri envanteri , veri sorumluları sicili ile aynı konuları düzenlemesine karşın veri sorumluları sicilinden daha ayrıntılı bir rapor şeklinde hazırlanmalıdır. Envanter hazırlanırken dikkat edilecek hususlardan biri de tüm veri akışının her aşamasının incelenmesidir. Bu sebeple Kişisel Verileri Koruma Kurulu'nun yayınladığı rehberde envanter hazırlamak üzere görevlendirilecek bu kişi veya kişilerin, kişisel verilerin korunması ile ilgili mevzuat ve uygulamalar konusunda yetkin, kişisel veri işleme süreçleri ve bu süreçlere bağlı olarak işlenen kişisel veriler hakkında detaylı bilgi sahibi olan hukuk, bilgi işlem ve insan kaynakları gibi birimlerde görev yapan kişi veya kişilerden seçilmesi önerilmektedir.

Kişisel Veri Envanteri Hazırlama Yükümlülüğü hakkındaki makalemize ulaşmak için buraya tıklayınız.

  1. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü (Konu hakkındaki makalemiz için buraya tıklayınız)

Kişisel Verilerin Korunması Kanunu'nun 13. maddesi uyarınca ilgili kişi, bu kanununun uygulanması ile ilgili taleplerini veri sorumlusuna iletebilir. İlgili kişi, kişisel verisi işlenen gerçek kişiyi ifade etmektedir. Veri sorumlusu, ilgili kişi tarafından yapılan başvuruyu en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırmak zorundadır.

  1. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

İlgili kanun uyarınca, Kişisel Verilerin Korunması Kurumu, oluşturduğu Kurul ile şikayet üzerine veya resen görev alanına giren konularda inceleme yapmakla yetkilidir . Yaptığı inceleme sonucunda ise bir ihlalin varlığını tespit ederse , hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar verir ve bu kararı ilgililere tebliğ eder . Bu halde veri sorumlusu, tebliğ tarihinden itibaren gecikmeksizin ve en geç 30 gün içinde yerine getirmek zorundadır.

VERİ AKTARIMI

Verilerin Yurtiçinde Aktarımı (Konu hakkındaki makalemiz için buraya tıklayınız)

Kişisel verilerin yurt içinde aktarımı, kişisel verilerin işlenme şartları ile benzer şartları taşımaktadır. Kişisel verisi işlenen ilgili kişinin açık rızasının varlığı aranır. Ancak verilerin işlenmesi için verilen açık rıza ile birlikte yurt içinde aktarım yapılabilmesi için de rıza verilmiş olmalıdır. Açık rızanın aranmayacağı ayrıksı haller kanunda sayılmıştır.

Verilerin Yurtdışına Aktarımı (Konu hakkındaki makalemiz için buraya tıklayınız)

Kişisel Verileri Koruma Kanunu'nun 9. maddesine göre yurtdışına veri aktarımı;

  • İlgili kişinin açık rızasının bulunması,
  • Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanunda belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar)
  • Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığında (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması

durumlarında gerçekleştirilebilir.

Kişisel verilerin yurt dışına aktarılabilmesi, ilgilinin açık rızasının bulunmasına bağlanmıştır. Bununla birlikte kanun, kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunmasını, bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Ayrıca ilgili maddede yeterli korumanın bulunduğu ülkelerin Kurul tarafından belirlenerek ilan edileceği de yeterli koruma bulunabilecek ülkelerin şartları ile birlikte belirtilmiştir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.