Kişisel Verilerin Korunması Semineri Notları

Türkiye Barolar Birliği ve Kişisel Verileri Koruma Kurumu iş birliği ile düzenlenen seminer sırasında tuttuğumuz notları düzenleyip Kişisel Verilerin Korunması Hukuku ile ilgilenen meslektaşlarımızın da yararlanması amacı ile yayınlama zorunluluğu hissettik. Umarım meslektaşlarımızın yararına olur.

Aşağıda maddeler halinde ve önerme olarak yazacağımız konferans notları tebliğlerden anladığımız ve not alabildiğimiz hususlardır, hatalar veyahut yanlışlıklar konferans sırasında not tutulurken doğmuş olabilir.

Kişisel Verileri Koruma Kurumu Konferans Salonu

02 Aralık 2019 / 10:00

KVKK Başkanı Prof. Dr. Faruk BİLİR

• Kişisel Verilerin Korunması Kurumu, Adalet Bakanlığı ile ilişkili, tüzel kişiliği olan bir üst kuruldur.
• Kişisel Verilerin Korunması Kanunu’nda tüzel kişiler korunmamaktadır.
• Kanunun zaman bakımından uygulanmasında yürürlülük tarihi esastır. İstisnai bazı düzenlemelerde ise 2 senelik geçiş hükmü ihdas edilmiştir.
• Kanun veri işlemesi sırasında temel hak ve özgürlükleri güvence altına almayı amaçlamaktadır.
• Herhangi bir veri işleme şartı varsa kurulca açık rıza aranmamaktadır.
• Açık rıza ile hiçbir veri işleme şartı birleşemez.
• Herhangi bir veri işleme şartı yoksa en son açık rızaya gidilmelidir.
• Veri işleme sürecinin akıbeti aydınlatmaya bağlıdır.
• Kişisel Verilerin Korunması Kurumu’nun aydınlatma metninin nasıl olması gerektiğine ilişkin bir tebliği var. Bu tebliğe uygunluk aranmakta.
• Açık rıza tek veri işleme şartı değildir.
• Kişisel Verilerin Korunması Kanunu, kuruma güvenli ülke listesi yayımlama yetkisi vermiştir fakat kurum henüz güvenli ülke listesi ilan etmemiştir.
• Yurt dışına veri aktarımının üç yolu vardır:
  • Güvenli Ülke
  • Açık Rıza
  • Taahhüt
• KVKK’nın henüz uygun gördüğü bir taahhüt başvurusu yok.
• Kişisel Verileri koruma Kurumu’na yapılan veri ihlal bildirimi kurulu tarafından görüşülerek karara bağlanır.
• Kurulu uygun olduğunu düşündüğü ihlallere ilişkin olarak ilke karar alabilir.
• En çok izinsiz SMS, arama ve e-mail gönderilmesi yönünde başvurular var.
• Kişisel verilerin korunmasının özü kişinin korunmasıdır.
• 6698 sayılı Kişisel Verilerin Korunması Kanunu 07 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Demet KEKLİKKIRAN / Daire Başkanı

• Ölmüş kişilerin verileri kişisel veri olarak değerlendirilemez.
• Kanun kapsamında:
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
  • Kişisel Veri: Kimliği belirli ya da belirlenebilir gerçek kişiyi tanımlamaya yarayan her türlü veri kişisel veridir.
  • Özel Nitelikli Kişisel Veri:
    • Irk
    • Cinsel Hayat
    • Sağlık Bilgileri
    • Genetik Veriler
    • Ceza Mahkumiyeti
    • Siyasi Düşünce
  • Genel İlkeler:
    • Hukuka ve dürüstlük kurallarına uygun olma.
    • Doğru ve gerektiğinde güncel olma.
    • Belirli, açık ve meşru amaçlar için işleme.
    • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
    • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.

Tuğba YİĞİT / Daire Başkan Yardımcısı

• Kişisel veri işleme şartlarının hepsi aynı statüdedir.
• Kişisel Veri İşleme Şartları:
  • Açık Rıza
  • Alenileştirme
  • Kanunlarda Açıkça Öngörülmesi
  • Bir Hakkın Tesisi, Kullanılması veya Korunması
  • Bir Sözleşmenin Kurulması veya İfası
  • Veri Sorumlusunun Meşru Menfaati
  • Veri Sorumlusunun Hukuki Yükümlülüğü
  • Fiili İmkânsızlık
• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
• Açık rıza şekle tabi değildir.
• Battaniye rıza kabul edilemez.
• Zımni rıza kabul edilemez.
• İspatı veri sorumlusuna aittir.
• Hizmet açık rıza şartına bağlanamaz.
• Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
• Yurt İçinde Aktarım:
  • İlgili kişinin açık rızasının varlığı.
  • Kanunun 5. maddesinin 2. Fıkrasında belirtilen şartların bulunması.
  • Yeterli önlemler alınmak kaydıyla, Kanunun 6. maddesinin 3. fıkrasında sayılan şartların bulunması.
• Veri sorumlusu sıfatına sahip bir tüzel kişiliğin bünyesinde gerçekleşen veri aktarım, üçüncü kişiye yapılan aktarım olarak değerlendirilemez.

Tuğba KENDİR TUNALI / Daire Başkanı

• Herkes veri sorumlusuna başvurarak kendisiyle ilgili:
  • Kişisel verilerin işlenip işlenmediğini öğrenme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesi, yok edilmesi veya düzeltilmesini isteme, haklarına sahiptir.
• Ayrıca ilgi sahibi kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme hakkı vardır.

Not: İlgili kişinin işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle ilgili kişinin aleyhine bir durumun ortaya çıkmasına itiraz etme hakkı vardır.

• Ölmüş kişiler açısından kişisel verilerin korunabilmesi mümkün değildir. Bu durumun istisnası ölen kişinin bilgilerinden herhangi biri bir gerçek kişinin kimliğini tanımlayabilir nitelikteyse bu bilgi kişisel veridir ve Kişisel Verilerin Korunması Kanunu kapsamında korunur.
• Veri sorumlusu kendisine yapılan başvuruya en kısa sürede ve en geç 30 günlük süre içerisinde cevap vermelidir.
• İlgili kişinin talepleri, veri sorumlusunca ücretsiz olarak sonuçlandırılır. Yazılı olarak verilecek cevaplarda 10 sayfanın üzerindeki her sayfa için 1,00₺ ücret alınabilir.
• Veri sorumlusuna başvuru yolu tüketilmeden kurula şikâyet yoluna gidilemez.
• Kurula Şikâyet: Kurul tarafından 60 gün içerisinde cevap verilmezse başvuru reddedilmiş sayılır.
• Yapılan inceleme neticesinde alınan kurul kararları ilgililere tebliğ edilir.
• Veri sorumlusu kararın tebliğinden itibaren en geç 30 gün içerisinde gereğini yerine getirmelidir.
• Kurul tarafından ihlal iddiasının öğrenilmesi durumunda görev alanına giren konularda re’sen inceleme yapılır.
• Belirli bir konuyu ihtiva etmeyen ve yargı mercilerinin görevine giren konularla ilgili başvurular incelenmeksizin iade edilir.

Seçil KOYUNCU / Daire Başkan Yardımcısı

• Veri Sorumlusu:
  • Kişisel bilgilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır.
• Veri sorumlusu ihlali öğrendiği tarihten itibaren gecikmeksizin en geç 72 saat içerisinde kurula bildirimde bulunmalıdır.
• İhlalin İlan Edilmesinde KVKK Kriterleri:
  • İlgilisine bildirim durumu
  • İhlalin boyutu
  • İhlalden etkilenen kişi sayısı
  • Verilerin niteliği
  • Veri sorumlusunca ilan edilip edilmediği
• Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000,00₺ – 1.000,000,00₺ arasında idari para cezası verilir.
• İlgili Kişiye Bildirim Yapılmasının Gerekmediği Durumlar:
  • Gerekli tedbirlerin alınması.
  • Bildirimde bulunmanın gereksiz külfet oluşturması.

Mustafa ERBİLLİ / Daire Başkanı

• Aydınlatma Yükümlülüğü:
  • Veri Sorumlusu/Temsilcinin Kimliği
  • Kişisel Verilerin İşleme Amaçları
  • Kimlere ve Hangi Amaçla Aktarılacağı
  • Elde Etme Yöntemi ve Hukuki Sebep
• Veri sorumlusu/yetkilendirdiği kişi; kişisel verilerin elde edilmesi sırasında ilgili kişilere kanunun 10. maddesinde sayılan hususlarda bilgi vermekle yükümlüdür.
• Veri Sorumluları Siciline Kayıt Yükümlülüğü:
  • Kurul gözetiminde ve kamuya açık sicil tutulmalı.
  • Kişisel veri işleyen gerçek ve tüzel kişiler kayıt olmalı.
• VERBİS:
  • Sicile başvuru ve ilgili işlemlerde kullanılan,
  • İnternet üzerinden işlenebilen,
  • Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemidir.
• Türkiye’de yerleşik tüzel/gerçek kişiler VERBİS’ten irtibat kişisi atamalıdır.
• Yurt dışında yerleşik tüzel/gerçek kişiler veri sorumlusu temsilcisi atamalıdır.
• Kamu kurumlarının VERBİS kaydının yapılabilmesi için, kamu kurumları tarafından yetkili üst yönetici atanıp, kuruma bildirilmelidir.
• Avukatlar VERBİS’e kayıt yükümlülüğünden ayrı tutulmuşlardır.
• KVKK’ya Uyum İçin Yapılması Gerekenler:
  • Kişisel verileri koruma konusunda görevlendirme.
  • Veri analizi.
  • Kişisel veri işleme envanteri.
  • Kişisel veri saklama ve imha politikası hazırlama.
  • Çalışanlara eğitim verilmesi ve farkındalık oluşturma.