MERKEZ0(212) 433 83 00
ANTALYA0(242) 248 26 06
BURSA0(224) 240 09 07
KAYSERİ0(352) 220 50 40

2019-192-Kişisel Verilerin Korunması Kapsamında Yapılması Gerekenler

Tarih              : 25.12.2019

Sayı                : 2019-192

Konu              : Kişisel Verilerin Korunması Kapsamında Yapılması Gerekenler

 

1- GİRİŞ

 
6698 sayılı kişisel verilerin korunması hakkındaki yasa; kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir.
 
Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. Kişisel verilerin korunması ile verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır.
 
Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder.
 
Kişisel veriyi toplayan ve işleyen işletmeler /kişiler yasanın getirdiği bir dizi sorumluluk ve yükümlülüklere sahiptir. Kasıtlı ya da kasıtsız şekilde verilerin yetkisiz kişilerin eline geçmesi durumunda, hapis cezası dahil birçok maddi ceza ve yaptırımlara neden olabilecektir.
 
Kişisel verilerin korunmasına yönelik süreç, veri sorumlularının belirlenmesi ve veri sorumluları siciline kayıt ile başlamaktadır.
 
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.
 
Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
 
Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur. Dolayısıyla veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir.
 
Bu kapsamda öncelikle ilerleyen bölümlerde detaylı olarak yer verilecek olup, belirli şartları taşıyanların 31.12.2019 tarihine kadar (süre uzatılmaması halinde) veri sorumlularının belirlenmesi ve VERBİS’e kayıtlarının yapılması gerekmekte olup, bu kayıtların bizzat firmalar tarafından kendilerinin yapmaları mümkündür.
 
Söz konusu kayıt işlemleri için; Kişisel Verileri Korumu Kurumu’nun VERBİS-Veri Sorumluları Sicil Bilgi Sistemi  üzerinden (https://verbis.kvkk.gov.tr/DataResponsible/Register) Yurtiçinde Yerleşik Tüzel/Gerçek Kişi – Yurtdışında Yerleşik Tüzel/Gerçek Kişi – Kamu Kurumu gibi seçeneklerden birisi seçilmek suretiyle, sistem üzerinden gelecek “Başvuru Formu”nun doldurularak onaylanması, ayrıca doldurulan  Başvuru Formunun ıslak imzalı ve kaşeli veya mühürlü şekilde Kişisel Verileri Koruma Kurumu Başkanlığına (Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Balgat / Çankaya / ANKARA) posta yoluyla gönderilmesi gerekmektedir.
 
Sistem üzerinden oluşturulan formla beraber kullanıcı kodu ve parolası alındıktan sonra, alınan bu şifrelerle VERBİS sistemi üzerinden veri sorumluları siciline kayıt olunabilmektedir.
 
Kişisel verilerin korunmasına yönelik getirilen düzenlemeler veri sorumlularının VERBİS sistemine kaydıyla başlamakta; müşteri ve çalışan bilgilerine yasal yollarla ulaşılması, ulaşılan bilgilerin korunması, internet sitesinin güvenlik önlemleri, kağıt veya benzeri ortamında alınan bilgilerin saklanması, imhası, alınan bilgilerin paylaşılması, açık rıza alınması, kişisel verilerin istem dışı paylaşılması durumlarında olayın Kuruma bildirilmesi zorunluluğu vb. birçok konularda getirilen usul ve esaslara uyulması bakımından sorumluluklar ve müeyyideler getiren uzun süreçli bir uygulama olacaktır.
 
Bu nedenle kapsam dahilinde olan firmaların öncelikle veri sorumlularını atayarak 31.12.2019 tarihine kadar (sürenin uzatılmaması halinde) VERBİS sicil kayıtlarını yapmaları, ilerleyen süreçte ihtiyaç duyuldukça hukuksal danışmanlık almalarının yanında, internet sitesi ve bilgisayar donanımlarının güvenliği vb. konular başta olmak üzere diğer teknik altyapı ve donanımı oluşturmaları yararlı olacaktır.
 
Konunun daha iyi anlaşılabilmesi amacıyla aşağıda detaylı açıklamalara yer verilmiştir.


 
2- KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN KAPSAMI

 
Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
 
Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır.
 
Kişisel veriyi toplayan ve işleyen işletmeler /kişiler yasanın getirdiği bir dizi sorumluluk ve yükümlülüklere sahiptir. Kasıtlı ya da kasıtsız şekilde verilerin yetkisiz kişilerin eline geçmesi hapis cezası dahil birçok maddi ceza ve yaptırımlara neden olabilecektir.


 
3- VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

 
3.1. Aydınlatma Yükümlülüğü

 
Kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır.
 
Buna göre veri sorumlusu, Kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:
 
  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • maddede sayılan diğer hakları.
 
Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu veya faaliyetin Kanundaki diğer bir şart kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Yani, ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.

 
 
3.2.  Veri Güvenliğine İlişkin Yükümlülükler
 
Kanunun veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu;
 
  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak
ile yükümlüdür.
 
Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak ise Kurulun yetki ve görevleri arasında yer almaktadır. Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir.
 
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır. Buna göre, örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.
Kanunda, veri güvenliğine ilişkin olarak ayrıca veri sorumlusuna denetim yükümlülüğü getirilmiştir. Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Dolayısıyla, veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir.
 
Öte yandan, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
 
Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
 
Veri güvenliğine ilişkin alınacak önlemlerin her bir veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun olması gerekmektedir. Bu nedenle, veri güvenliğine ilişkin tek bir model öngörülememektedir. Uygun önlemlerin belirlenmesinde şirketin büyüklüğü veya cirosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önemlidir.
 
 
3.3. Veri Sorumluları Siciline (VERBİS) Kayıt Yükümlülüğü
 
Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri sorumlularının, Kurulun gözetiminde Başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kaydolmaları zorunludur. Dolayısıyla veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir.
 
Sicile ilişkin usul ve esaslar ise Veri Sorumluları Sicili Hakkında Yönetmelikte belirlenmiştir.
 
 
3.3.1. Veri Sorumluları Siciline (VERBİS) Kayıt İstisnaları
 
Kural olarak, tüm veri sorumlularının Veri Sorumluları Siciline kaydolmaları gerekmektedir. Söz konusu kayıt işleminin, veri işleme faaliyetlerine başlamadan önce tamamlanması gerekir.

Bununla birlikte, Kanunun 28. maddesinin 2. fıkrasında sayılan hallerde, Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. madde hükümleri uygulanmayacaktır.
 
Ayrıca, Kanunda Kurula, sicile kayıt zorunluluğuna istisna getirme yetkisi verilmiştir. Söz konusu istisnanın uygulanmasında; işlenen kişisel verinin niteliği, sayısı, veri işlemenin Kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmaktadır.
 
Sicile kayıt olma konusundaki yükümlülük; kişisel verilerin işlenmesi faaliyetleri bakımından açıklık sağlanması ve veri sorumlarının mevzuata uyumlu hareket etmeleri konusunda daha güvenli bir ortam oluşturulması amacını taşımaktadır.
 
 
3.3.2. Veri Sorumluları Siciline (VERBİS) Kayıt Bildiriminin Kapsamı
 
Veri Sorumluları Siciline kayıt olmak için başvuru, aşağıdaki bilgileri içeren bir bildirim ile yapılacaktır. Söz konusu bilgiler şunlardır:
 
  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine ilişkin alınan tedbirler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
 
Yukarıda listelenen bilgilerde herhangi bir değişiklik olması halinde, söz konusu değişikliklerin derhal Kuruma bildirilmesi gerekmektedir. Böylelikle, Sicilin güncelliğinin sağlanması hedeflenmiştir.
 
 
3.3.3. Veri Sorumluları Siciline (VERBİS) Kayıt Süresi
 
Her işletme aşağıda yer alan tabloda bulunduğu sınıfa ve sürelere göre veri sorumlularını atayarak, VERBİS sistemi üzerinden Kurul’a bildirmek zorundadır.
 
 

VERİ SORUMLULARI VERBİS KAYIT ZORUNLULUĞU

KAYIT YÜKÜMLÜLÜĞÜ BAŞLANGIÇ TARİHİ

KAYIT SÜRESİ

KAYIT SÜRESİ SONU

 
 

Yıllık çalışan sayısı 50’den veya yıllık mali bilanço 25 milyon TL’den fazla olan gerçek ve tüzel kişi

1.10.2018

12 ay

31.12.2019

 
 

Yurt dışında yerleşik gerçek ve tüzel kişi

1.10.2018

12 ay

31.12.2019

 

Yıllık çalışan sayısı 50’den veya yıllık mali bilanço 25 milyon TL’den az olmakla birlikte ana faaliyeti özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi

1.01.2019

15 ay

31.03.2020

 
 

Kamu Kurum ve Kuruluşları

1.04.2019

15 ay

30.06.2020

 
 
 

3.4. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplandırılması Yükümlüğü
 
Veri sorumluları, ilgili kişiler tarafından yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle kendisine iletilen Kanunun uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, veri sorumlusu, Kurulca belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteyebilir.
 
Kurulca belirlenen tarifeye Veri Sorumlularına Başvuru Usul ve Esasları Hakkında Tebliğde yer verilmiştir.
 
Veri sorumlusu, talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.
 
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

 
3.5. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
 
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.



4- AÇIK RIZA ALIRKEN DİKKAT EDİLECEK HUSUSLAR

 
Açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza”dır.
 
Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır.
 
Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir.
 
Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:
 
  • Belirli bir konuya ilişkin olması,
  • Rızanın bilgilendirmeye dayanması,
  • Özgür iradeyle açıklanması.
Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Örneğin; “her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi belirli bir konu ve faaliyeti işaret etmeyen rıza beyanları battaniye rıza kapsamında değerlendirilebilecek durumlardır.
 
Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir.
 
Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.


 
5- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

 
Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
 
İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde kişisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerindendir. Bunun için ilgili kişinin başvurusu şart değildir. Bununla birlikte, veri sorumlusunun ihmali durumunda ilgili kişinin kişisel verilerinin yok edilmesini veya silinmesini talep etme hakkı bulunmaktadır.
 
Öte yandan, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
 
Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmeliğe ulaşmak için tıklayınız.
 
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
 
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
 
Ayrıca, Yönetmeliğe dayanarak söz konusu işlemlerin nasıl yapılacağı hakkında uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması bakımından çeşitli konu başlıklarına dikkat çekmek amacıyla Kurul tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi (“Rehber”) hazırlanmıştır.


6- KİŞİSEL VERİLERİN AKTARILMASI

 
6.1. Yurt İçi Aktarım
 
Kanunda belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin, 8. madde hükmü uyarınca ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabileceği hükme bağlanmıştır. Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içinde aktarılması bakımından aynı şartları aramaktadır. Bu maddede ayrıca ilgili kişinin açık rızası aranmaksızın, kişisel verilerin üçüncü kişilere aktarılabileceği şartlar belirtilmiştir.
 
Diğer taraftan, kişisel verilerin yurtiçinde hukuka uygun şekilde işlenmesi bunların doğrudan aktarılabileceği anlamına gelmemektedir. Yani, aktarma için de Kanunun 5. ve 6. maddesindeki şartların ayrıca aranması gerekmektedir.
 
Bu kapsamda, kişisel verilerin aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:
 
  • İlgili kişinin açık rızasının alınması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
 
Özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için ise; aşağıdaki hallerden birinin bulunması gerekmektedir.
 
  • İlgili kişinin açık rızasının alınması halinde,
  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde, 
 
Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, “veri sorumlusu” ve “veri işleyen” hem gerçek hem de tüzel kişi olabilmektedir.
 
Kişisel veriler üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerine göre ya veri sorumlusu ya da veri işleyendir. Bu bağlamda, söz konusu iki kategorideki kişiler arasında gerçekleştirilecek her türlü veri aktarımı için de Kanunun 8. maddesinde yer alan düzenlemelere uyulması gerekmektedir.
 
 
6.2. Yurt Dışı Aktarım
 
Kanunun 9. maddesine göre yurtdışına veri aktarımı;
 
  • İlgili kişinin açık rızasının bulunması,
  • Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanunda belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar)
  • Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığında (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması
durumlarında gerçekleştirilebilir.
 
Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür.
 
İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurtdışına aktarılması mümkündür. Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.
 

A) Yeterli korumanın bulunması halinde

 
Kişisel veriler;
 
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
halinde yurtdışına aktarılabilmektedir.

 
Özel nitelikli kişisel veriler ise,
 
  • Kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde, sağlık ve cinsel hayat dışındaki kişisel veriler kanunda açıkça öngörülmesi halinde yurtdışına aktarılabilecektir.
 
Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurtdışına aktarılabilecektir.
 
Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilecektir.


 
B) Yeterli korumaya sahip olmayan ülkelere veri aktarımı için;
 
  • Kanunun 5 veya 6. Maddesinde sayılan şartlardan en az birinin gerçekleşmesi,
  • Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri,
  • Kurulun izninin bulunması
gerekmektedir.


 
7- KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA FİRMALARIN YAPMASI GEREKENLER VE UYGULANABİLECEK MÜEYYİDELER
 
  • VERBİS sistemine kayıt için “veri haritası” çıkarılmalı (işletmede kullanılan kişisel verilerle ilgili “durum tespiti” yapılmalı),
  • Kişisel veri işleme amaçları belirlenmeli ve hukuka uygunluğunun denetimi yapılmalı,
  • Kişisel verileri saklama ve imha politikası hazırlanmalı, veri imha kayıt formu oluşturulmalı,
  • Açık Rıza ve Aydınlatma Metni oluşturulmalı,
  • Kişisel Verilerin Korunması Kanunu ile ilgili çalışanlara bilgilendirme metinleri hazırlanmalı, eğitimler verilmeli,
  • İş sözleşmeleri, ticari sözleşmeler, gizlilik sözleşmeleri vb. tüm sözleşmelerde KVKK kapsamında düzenlemeler yapılmalı,
  • İş ve işlemlerle ilgili süreçler ele alınarak KVKK ile uyumlu hale getirilmeli,
  • Kişisel verilerin korunması ile ilgili gereken idari ve teknik altyapı kurulmalı,
  • Veri ihlali durumunda yapılacaklar belirlenmeli, eylem planı çıkarılmalı,
  • Bilgi Talep Formu oluşturulmalı ve bilgi talebi olması durumunda işletmenin izleyeceği yol ve sorumlu kişi belirlenmeli,


Belirlenen usul ve esaslara uyulmaması halinde uygulanacak müeyyideler aşağıya çıkarılmıştır.

 

KABAHATLER

MÜEYYİDELER

Aydınlatma Yükümlülüğünün İhlali

5.000 TL – 100.000 TL

Veri Güvenliği Yükümlülüğünün İhlali

15.000 TL – 1.000.000 TL

Kişisel Verileri Koruma Kurulu Kararları’na muhalefet

25.000 TL – 1.000.000 TL

Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğüne Aykırılık

20.000 TL – 1.000.000 TL

 
 

 
Saygılarımızla.
 
            BOĞAZİÇİ BAĞIMSIZ DENETİM VE YMM A.Ş.

 
 
 Konuya İlişkin Soru-Cevap ve Rehberler:

- 100 Soruda Kişisel Verilerin Korunması Kanunu TIKLAYINIZ.
- Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular TIKLAYINIZ.
- Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi TIKLAYINIZ.
- Kişisel Veri Güvenliği Rehberi TIKLAYINIZ.
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi TIKLAYINIZ.
- Veri Sorumluları Sicili Rehberi TIKLAYINIZ.
- Veri Sorumlusu ve Veri İşleyen Rehberi TIKLAYINIZ.
- Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi TIKLAYINIZ.

3358 kişi tarafından görüntülenmiştir.

VERGİ SİRKÜLERİ


BOĞAZİÇİ BAĞIMSIZ DENETİM ve YMM A.Ş.


Boğaziçi Bağımsız Denetim ve YMM A.Ş. vergi ve yönetim danışmanlığı hizmetleri veren profesyonel bir organizasyondur.

© Copyright 2016-2024 | Boğaziçi Bağımsız Denetim ve YMM A.Ş.