Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişilere ait her türlü bilgi olarak kanunda tanımlanmıştır. Bu bilgiler kişilerin adı, soyadı, doğum yeri gibi veriler ile kısıtlı değildir aynı zamanda kişiler için bazı bilgiler de vardır ki bu bilgiler onların kişiliğini belirlenebilir kılabilir. Bunlar özel nitelikli kişisel verilerdir ve kanunda sınırlı olarak sayılmıştır.
- Etnik köken, ırk, felsefi inanç, kişinin dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri, kişinin sağlığı veya cinsel hayatıyla ilgili verileri, biyometrik ve genetik verileri kanunda sayılan özel nitelikli kişisel verilerdir.
Kişisel verilerin işlenmesi nasıl yapılmaktadır?
Kişisel veriler üzerinde gerçekleştirilen verilerin kaydedilmesi, depolanması, saklanması, değiştirilmesi, sınıflandırılması, açıklanması ya da kullanılmasının engellenmesi gibi kişisel veriye ilişkin her türlü faaliyet kişisel verilerin işlenmesidir.
Kişisel verilerin işlenmesine ilişkin bir takım şartlar öngörülmüştür. Bunların başında açık rıza gelmektedir ve üç temel unsuru bulunmaktadır. Açık rıza; belirli bir konuya ait, bilgilendirmeye dayanan ve kişilerin özgür iradeleriyle açıklanmış olmalıdır. Yazılı olarak alınması zorunlu değildir, elektronik ortamlardan da alınabilir. Toplumsal ve ticari hayatın aksamaması ve zarar görmemesi için kişilerin açık rızalarının alınması zorunluluğuna kanunda istisnalar tanınmıştır:
- Fiili imkansızlıklar, verinin işlenmesinin kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifası için gerekli olması, veri sorumlusunun hukuki yükümlülüğünün bulunması, bir hakkın tesisi, kullanılması veya korunması için gerekli olması ve meşru menfaat tanınan istisnalardır.
Ancak açık rıza alınmasına tanınmış istisnalar olsa da veriler her koşulda hukuka uygun işlenmek zorundadır. Bu sebeple verilerin işlenmesine ilişkin kanunda ilkeler sayılmıştır:
- Hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık, meşru amaçlar işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme bu ilkelerdir.
Kişilerin özel nitelikli verileri olduğunu söylemiştik. Özel nitelikli kişisel veriler ancak kişinin açık rızasının varlığı halinde işlenebilmektedir. Eğer açık rıza yok ise kişilerin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
Kişisel verilerin paylaşılması konusunda da bazı kurallar yer almaktadır. Kişisel verilerin yurtiçideki üçüncü kişiler ile paylaşılması için kişisel verilerin işlenmesine ilişkin genel şartlardan biri gereklidir. Kişisel verilerin yurtdışında üçüncü kişisel ile paylaşılması durumu ise biraz daha karışıktır. İlgili kişinin açık rızası olması halinde aşağıdaki şartlar aramadan kişisel veriler yurtdışına aktarılabilir.
Kişisel verilerin 3. Kişilere aktarılmasında aranan şartların varlığı mevcut ise;
Kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya kişisel verinin aktarılacağı yabancı ülkede yeterli koruma bulunmaması halinde o ülkedeki veri sorumlularının yazılı taahhütte bulunması ve Kurul’un aktarıma izin vermesi durumunda açık rıza aranmaz.
Veri sorumlusu, veri işleyen ve ilgili kişi kavramları kanunda sık sık geçmektedir. Bu kavramları tanımlayalım:
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve bu işleme amaçlarının vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Veri sorumlu hem gerçek hem de tüzel kişi olabilmektedir. Veri sorumlusunun yükümlülükleri vardır. İlgili kişiyi; aydınlatma yükümlülüğü, veri sorumluları siciline kaydolma, ilgili kişiler tarafından yapılan başvuruların cevaplanması, kurul kararlarının yerine getirilmesi yükümlülüğü ve veri güvenliğine ilişkin görevleri olarak belirtilmiştir.
Veri işleyen kavramına geldiğimizde, veri sorumlusunun verdiği yetkiye dayanarak onun adına gerçek veya tüzel kişiyi ifade eder. Veri sorumlusu ve veri işleyen dikkat edilmesi gereken farklı kavramlardır. Veri işleyenin faaliyetleri genellikle verilerin işlenmesiyle ilgili teknik işler ile sınırlıdır.
İlgili kişi ise, verileri işlenen verilerin sahibi gerçek kişilerdir. Veri sahibi olan gerçek kişilerin de bazı hakları vardır. Bilgi edinme, zararın giderilmesini, eksik veya yanlışlığın düzeltilmesi isteme, verilerin aktarıldığı 3. Kişileri öğrenme, 3.kişilere bildirim yapılması silinme, anonimleştirme veya yok edilmeyi talep etme bu kişilerin haklarıdır. Bu haklarını kullanmayan kişiler karşı tarafı yaptırıma tabii tutabilmektedir.
Kanunda kişisel veriler ile ilgili yaptırımlar yer almaktadır. Yapılan hatanın suç olarak kabul edilmesi halinde en az bir en fazla dört yıl olmak üzere hapis cezaları öngörülmüştür. Kabahat olarak kabul edilmesi durumunda da 1.000 ila 1.000.000 TL arasında idari para cezaları uygulanmaktadır.
Kişisel verilerin işlenmesi ile ilgili, merkezi Ankara’da olan Kişisel Veriler Kurum’u bulunmaktadır. Bu kurum Başbakanlık ile ilişkilidir. İdari ve mali özerkliğe sahip kamu tüzel kişisidir.
KAYNAKÇA
https://www.kvkk.gov.tr/Icerik/2051/Ozel-Nitelikli-Kisisel-Veriler
https://www.kvkk.gov.tr/Icerik/2032/Veri-Sorumlusu-Kimdir
https://www.kvkk.gov.tr/Icerik/2034/Ilgili-Kisi-Kimdir
https://www.kvkk.gov.tr/Icerik/2048/Kisisel-Verilerin-Islenmesi
http://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf
0 Yorum