Kapsamı nedir?

Bu kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır.

Kişisel veri nedir?

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel verilerin işlenmesi ne demektir?

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Veri sorumlusu kimdir?

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Kişisel verilerin işlenmesinde uyulması zorunlu ilkeler nelerdir?

1.Hukuka ve dürüstlük kurallarına uygun olma

2.Doğru ve gerektiğinde güncel olma

3.Belirli, açık ve meşru amaçlar için işlenme

4.İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

5.İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Kişisel verilerin işlenme şartları nelerdir?

1.Kişisel veriler ancak ilgili kişinin açık rızası ile işlenebilir.

2.İlgili kişinin açık rızası aranmaksızın  kişisel verilerin işlenmesini mümkün kılacak şartlar:

-Kanunlarda açıkça öngörülmesi halinde.

-Fiili imkansızlık nedeni ile rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişilerin kendileri veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu bir durum olması halinde.

-Bir sözleşmenin kurulması veya  ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşme taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumunda.

-Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan durumlarda.

-Kişisel verinin ilgili kişisi tarafından alenileştirilmesi olması halinde.

-Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması halinde.

-İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması durumlarında.

Özel nitelikli kişisel veriler nedir? İşlenme şartları nelerdir?

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.Özel nitelikli kişisel veriler, ilgilisinin açık rızası olmaksızın işlenemez.Özel nitelikli kişisel verilerin işlenmesinde, ayrıca KVK Kurulu tarafından belirlenen yeterli önlemlerin alınması şarttır.

Ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis,tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örn.:doktorlar) veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Kişisel verilerin işlenmesini gerektiren sebepler ortadan kalkınca ne olur?

Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. Bu duruma ilişkin usul ve esaslar yönetmelik ile düzenlenir.

Kişisel verilerin aktarılmasına ilişkin hususlar nelerdir?

Kişisel veriler ancak ilgili kişinin açık rızası olduğu zaman aktarılabilir. Kanun’un 5.maddesinin 2. fırkası uyarınca ilgili kişinin açık rızası olmaksızın işlenebilen kişisel veriler ve yeterli önlemler alınmak şartıyla 6. maddenin 3. fırkası uyarınca kanunda öngörülen hallerde kişinin açık rızası alınmaksızın işlenebilecek özel nitelikli kişisel veriler ilgili kişinin açık rızası aranmaksızın aktarılabilir.

Kişisel verilerin yurtdışına aktarılmasındaki şartlar nelerdir?

Kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılmaz. 5.maddesinin 2. fırkası uyarınca ilgili kişinin açık rızası olmaksızın işlenebilen kişisel veriler ve 6. maddenin 3. fırkası uyarınca kanunda öngörülen hallerde kişinin açık rızası alınmaksızın işlenebilecek özel nitelikli kişisel veriler, kişisel verinin aktarılacağı yabancı ülkede yeterli korumaların bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izninin bulunması halinde ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak kaydıyla, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum ve kuruluşunun görüşü alınarak KVK Kurulun ,izniyle yurt dışına aktarılabilir.

Veri sorumlusunun aydınlatma yükümlülüğünün kapsamı nedir?

Veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorunlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işlendiği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, md. 11’de sayılan ilgili kişinin hakları konusunda bilgi vermekle yükümlüdür.

İlgili kişinin hakları nelerdir?

1.Kişisel verilerin işlenip işlenmediğini öğrenme,

2.Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

3.Kişisel verilerin işlenme amacına ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

4.Yurt içinde veya yırt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

5.Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,

6.Md. 7’de öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

7.Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesinin istendiği ve Md. 7’de öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesinin istendiği hallerde yapılan işlemlerin, kişisel verilerin aktarıldığı 3. kişilere bildirilmesini isteme,

8.İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

9.Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

Veri sorumlusunun yükümlülükleri nelerdir?

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

Kişisel verilerin muhafazasını sağlamak amacıyla her türlü teknik ve idari tedbiri almak.

Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, yukarıda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Veri sorumlusu, kendi kurum veya kuruluşunda, bu kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Veri sorumlusuna başvuru şartları nelerdir?

İlgili kişi, kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletecektir.

Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz güniçindeücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

KVK Kurulu’na şikayet şartları nelerdir?

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

Kurula şikayette bulunma şartlarından en önemlisi başvuru yolunun tüketilmiş olmasıdır. Veri sorumlusuna başvuru yolu tüketilmeden Kurula başvuruda bulunulamaz.

Şikayet üzerine  uygulanacak usul ve esaslar nelerdir?

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.

Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.

Yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

Veri Sorumlusu Sicili nedir?

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.

Veri Sorumluları Sicili kamuya açıktır.

Veri Sorumlusu Sicili başvurusu nasıl yapılır?

Kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:

a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.

b) Kişisel verilerin hangi amaçla işleneceği.

c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.

d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.

e) Kişisel veri güvenliğine ilişkin alınan tedbirler.

f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Suçlar ve kabahatler nelerdir?

Kişisel verilere ilişkin suçlar bakımından ı Türk Ceza Kanunu’nun (TCK) 135 ila 140.madde (kişisel verilerin hukuka aykırı olarak kaydedilmesi ile ilgili olan maddeler) hükümleri uygulanır.

Kanunun 7. maddesine aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler TCK’nın 138.maddesine (verileri yok etmeme suçu) göre cezalandırılır.

Kanun’dan kaynaklı tahakkuk ettirilecek idari para cezaları Kanun’un 18. maddesinde düzenlenmiştir.

KVK Kanun hükümleri hangi hallerde uygulanmaz?

1. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

2. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

3.Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

4. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

Veri sorumlusunun aydınlatma yükümlülüğü,ilgili kişinin haklarını düzenleyen hükümler (zararın giderilmesini talep etme hakkı hariç),Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen hükümler hangi hallerde uygulanmaz?

1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

5. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanunda belirtilen geçiş hükümleri nelerdir?

Kanun yayımı tarihinden itibaren altı ay içinde 21 inci maddede öngörülen usule göre Kurul üyeleri seçilir ve Başkanlık teşkilatı oluşturulur.

Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.

Kanun yayım tarihinden önce işlenmiş olan kişisel veriler ne olacak?

Kanunun yayım tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir.Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.

Kanun ne zaman yürürlüğe girecek?

Aşağıda sayılan maddeler hariç olmak üzere Kanun yayım (07.04.2016) tarihinde yürürlüğe girer.

8., 9., 11., 13., 14.,15., 16., 17. ve 18. maddeleryayımı tarihinden altı ay sonra yürürlüğe girecektir.

 

                                                                                                                                                    Av. Burcu Kuman

                                                                                                       

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir