KVKK ile özel hayatın gizliliği ve kişisel verilerin korunması amaçlanmıştır.
Ayrıca gerçek ve tüzel kişi veri sorumlularının KVKK kapsamındaki yükümlülükleri de tarif ederek veri güvenliğini karşılıklı korunur hale getirmiştir.
Bu yazımda bu konuyu ele alarak birkaç soru cevapla merak ettiklerinizi hep birlikte tekrar incelemiş olacağız
1- KİŞİSEL VERİ NEDİR?
Kişisel veri "Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgidir"
Kişisel veri kavramının 3 ana unsuru olduğu görülür fakat bilinmelidir ki bu unsurlar ilgili kanunların kapsamını belirlemek içindir.
Bu 3 temel unsur verinin; gerçek kişiye ait olması, Kişiyi belirli yada belirlenebilir kılma ve her türlü bilgiyi içerme.
Kanun tüzel kişilerin sahip oldukları verileri kişisel veri olarak kabul etmez. Kişisel veriden bahsedebilmek için gerçek kişiye ait olması gerekir.
2- HANGİ BİLGİLER KİŞİSEL VERİDİR?
Kimlik bilgileri
İletişim Bilgileri
Adres
Hobiler
Tutulan Takım
e-Posta Adresi
İş Başvuru formları
Performans değerlendirme raporları
Mülakat görüşme tutanakları
Müşteri şikayet formu
Özgeçmiş
Kredi kartı yada banka ekstresi
Parmak izi
Sağlık Bilgileri
Grup üyelikleri
Aslında bu lise bu şekilde uzayıp gider peki bu durumda işin uygulama kısmında olanlar hangi verinin kişisel veri hangisinin olmadığını nasıl belirleyecek?
Öncelikle en önemlisi Veri GERÇEK KİŞİ ye ait olmalı, Veri Kişiyi belirli ya da belirlenebilir kılmalı ve her şeyden önce veri kişinin kimliğini açıkça ortaya koyan her bilgi kişisel veridir.
3- KİŞİSEL VERİ HANGİ ŞARTLARDA İŞLENİR?
Kişisel veriler her hangi bir şekilde ve her hangi bir ad altında yada herhangi bir işlem ardına sığınılarak İlgili kişinin açık rızası olmadan işlenemez. Açık rıza metni ancak kanunlarda verinin işlenebileceği açıkca öngörülmüşse başkaca şarta gerek kalmadan işlenebilir. Bu şartlar 6698 sayılı kanunda sınırlı sayıda sayılmıştır ve yorum yoluyla da genişletilmesi mümkün değildir.
Bir kişisel veri ancak İlgili kişinin açık rızasının varlığı ve Kanunlarda açıkça öngörülmesi şartıyla işlenebilir. Bunun dışında kişisel verilerin işlenmesi yasal olmayacaktır.
4- HANGİ İŞ YERLERİ KANUN KAPSAMINDADIR?
Kanunda hangi iş yerlerinin kapsamda olduğu açık bir şekilde anlatılmıştır. Aslında burada teknik olarak buna iş yeri değil veri sorumlusu kavramı kullanılmaktadır.
Çünkü bu kanun kapsamına girmek için iş yeri olmak gerekmez önemli olan bir şekilde kişisel veriyi elde edip veri işleyen sıfatına sahip olmaktır.
Buna göre kişisel verileri her hangi bir yolla işleyen gerçek ve tüzel kişiler kanun kapsamındadır.
Uygulamada bir kafa karışıklığı neticesinde KVKK kanununun gereklilikleri VERBİS le karıştırılmaktadır.
VERBİS e kayıt yükümlülüğü olmayanlar KVKK kanununda uyulması gereken kurallardan muaf tutulmamıştır.
TÜRKİYE' de bulunan ve kişisel veri işleyen HERKES ve HER KURULUŞ kanun kapsamındadır.
5- AÇIK RIZA NEDİR?
a- Açık rıza bilgilendirmeye dayanan özgür irade açıklamasıdır. Açık rızanın 3 temeli vardır.
Bunlar ; Belirli bir konuyla ilgili olması,
Örneğin; Elde edilen verileri işlemek için verilen rızanın geçerli olabilmesi için rızanın belirli bir konuya ilişkin ve belirlenen konuyla sınırlandırılması gerekir. Buna göre genel bir iradeyle ifade edilmiş açıklama ile "kişisel verilerimin işlenmesini kabul ediyorum" şeklinde ucu açık, belirlenmemiş rıza metinleri tek başına kanun karşısında açık rıza olarak kabul edilmez.
b- Rızanın bilgilendirmeye dayanarak yapılması,
Kişiye yapılması gereken bilgilendirme mutlaka veri işlemeden önce yapılmalıdır.
Kişisel verinin hangi amaçla kullanılacağı açıkça belirtilmeli ve kişinin anlayamayacağı terimlerden veya yapılan yazılı bilgilendirme okumakta güçlük çekileceği şekilde küçük puntolarla yazılmamalıdır.
c- Özgür iradeyle açıklanması
Kişinin kendi irade beyanı olan rıza metni, kişinin veri paylaşımını bilinçli ve kendi kararına dayalı olması halinde geçerlilik kazanır.
Örnek olarak kişiye rıza göstermeme imkanının verilmediği ve rıza göstermenin kişi açısından olumsuzluk doğuracağı hallerde rızanın özgür iradeye dayandığı kabul edilmez.
Açık rızanın alınması bir ürün veya bir hizmetin ifası yada o hizmetten yararlanması için ön şart olarak ileri sürülmemelidir.
6- VERİ SORUMLUSU KAVRAMI NEDİR?
Veri sorumlusu kişisel verilerin işleme amaçlarını, şeklini belirleyen veri kayıt sisteminin kurulmasından ve uygulamasından sorumlu gerçek veya tüzel kişilerdir.
Veri sorumlusunun tespitinde kişisel verilerin işlenmesi için, işleme amacı, işlenecek kişisel verilerin türleri, amaçlar, verinin paylaşıp paylaşılamayacağı gibi hususlara kimin karar verdiği dikkate alınır.
Burada insanlarımızın takıldıkları en büyük nokta şu ki tüzel kişilikte çalışan insanlar veri sorumlusunun kendisi olacağını sanmaktadır. Burada bilinmelidir ki ; veri işleme faaliyetinden sorumlu olan bir tüzel kişilik ise burada veri sorumlusu tüzel kişiliğin kendisidir.
7- VERİ İŞLEYEN SIFATI NEDİR?
Veri işleyen veri sorumlusu gerçek yada tüzel kişi adına kişisel verileri kendisine verilen talimatlar doğrultusunda işleyen gerçek yada tüzel kişilerdir.
Veri işleyen mutlaka veri sorumlusunun bünyesi dışında olmalıdır. Yeni şirket çalışanları veya şirketin kişisel veri işleyen gerçek kişiler veri işleyen olarak nitelendirilemez.
8- AYDINLATMA YÜKÜMLÜLÜĞÜ NEDİR?
Aydınlatma yükümlülüğü veri sahibinin belirli konularda bilgilendirilmesidir.
Veri sahibi veri sorumlusu tarafından Aydınlatma metninde aşağıdaki temel konularda bilgilendirilmiş olur;
Veri sorumlusunun ve varsa temsilcisinin kimliği
Veri işleme amacı ve işlenen verilerin kimlerle ve hangi amaçla aktarılabileceği,
Veri toplamanın şekli ve hukuki sebepleri,
Ayrıca aydınlatma metinlerinde aşağıda sayılan ilgili kişi haklarına da yer verilmesi gerekmektedir. İlgili kişinin hakları;
Kişisel veri işlenip işlenmediği hakkında bilgi alma,
Kişisel verileri işlenmişse bununla ilgili bilgi talep etme,
Kişisel verilerin işlenme amacını ve bu amaca uygun kullanılıp kullanılmadığı konusunda bilgi alma,
Yurt içinde veya yurt dışında kişisel verilerin aktarılıp aktarılmadığını ve bu üçüncü kişileri bilme gibi çeşitli bilgi edinme haklarına yollarına yer verilmesi gerekir.
İlgili kişinin verisinin işlenmesi için açık rızasının aranmadığı durumla karşılaşılsa bile yine de bu kişilere karşı aydınlatma yükümlülüğü devam etmektedir. Yani aydınlatma metni sunulmak zorundadır.
9- İDARİ PARA CEZALARI
6698 Sayılı Kişisel Verilerin Korunması Kanunun ön gördüğü idari para cezalarının yüksek olduğu görülmektedir.
Bu cezaların alt ve üst seviyeleri bir çok iş yeri yada kuruluş için yıkıcı düzeyde olabilir.
2021 yılında kanunda öngörülen idari para cezaları;
Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.834,00TL den 196.686,00TL ye kadar,
Veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyenler hakkında 29.503,00TL. den 1.966.862,00TL ye kadar,
Kurul tarafından verilen kararları yerine getirmeyenler hakkında 49.172,00TL den 1.966.862,00TL ye kadar,
Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler için 39.337,00TL den 1.966.862,00TL ye kadar.
Bu cezalarla ilgili bilinmesi gereken önemli bir durumda idari para cezalarının yalnızca gerçek kişilere ve özel hukuk tüzel kişilere uygulanabileceğidir.
10 - İZİNSİZ SMS GÖNDERİLMESİ
İlgili veri sahibinin açıkça rızası alınmadan yada 6698 sayılı kanunda öngörülen diğer veri işleme şartlarından birisi mevcut olmadan veri sahibine reklam amaçlı sms gönderilemez.
11- İZİNSİZ ARAMA
Veri işleme şartlarının birisi mevcut olmadan, veri sahibinin telefon numarasından aranması mümkün değildir.
12- KAMERA KAYITLARI İÇİN AYDINLATMA YÜKÜMLÜLÜĞÜ
Günümüzde neredeyse her yerde kamera olduğunu söylemek mümkünüdür. Güvenlik amacıyla takılan bu kameralara bir çok yerde rastlamaktayız.
Kişilerin görüntüleri kişisel veriye girdiğinden bina girişlerinde görünür yerlere asılacak uyarılarla, iş yerinden kamera kaydı yapılarak kişisel veri işlendiği mutlaka belirtilmeli ve bu konuda açık bilgilendirme için ziyaretçi bir bilgilendirme metnine yönlendirilmelidir.
Bu yönlendirme uyarının hemen yanına asılacak ilgili bilgilendirme metniyle yapılabileceği gibi, uyarı metninin üstüne yerleştirilecek bir kare kodla kod okutulduğundan ilgili metine internet sitesi aracılığıyla da online olarak ulaşılabilir. Böylece iş yerinize gelen ziyaretçileriniz için aydınlatma yükümlülüğü yerine getirilmiş olur.
Sizlere kısaca bir kaç soru cevapla konuyu özetlemek ve azda olsa farkındalık yaratabilmek için konuyu özetlemiş bulunmaktayım.
Bu konu bizler için hafife alınacak yada sonraya bırakılacak bir konu olmadığı açıkça kanunlarda ilgili maddelerle ifade edilmektedir.
Bu konuda mutlaka bilgi edinilmesi ve derhal iş yerlerimizde gerekli düzenlemeleri yapmamızın açıkça kanuni bir zorunluluk olduğu aşikardır.