Gelişen teknoloji ve sanayinin gereklerine uygun olarak Kişisel Verilerin Kullanımının Korunması zorunlu hale gelmiştir. Kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak amacıyla Kişisel Verileri Koruma Kurumu kurulmuştur. Kişisel Verilerin Korunması Kanunu’na uyulmaması halinde ilgili veri sorumluları yüksek miktarda idari para cezası ve hapis cezasıyla karşılaşılabilir. Bazen bir internet sitesinde kayıt yaptığımızda bazen de bir dernek üyeliğinde ve hatta bilişimin hayatımıza olan etkisiyle karşılaştığımız birçok alanda kişisel verilerimizi aktardığımız oluyor. Ne yazık ki çoğu vatandaşımızın bu konuda bilgi sahibi olmaması sebebiyle ilgili kişiler gerekli önlemleri alamıyor veya veri ihlaline maruz kalıyor. Kendi küçük dünyamızda yaşarken verilerimizin aktarılması nedeniyle dolandırıcılığa maruz kalabileceğimiz gibi bizim adımıza da dolandırıcılık yapılabiliyor. Gelin biraz bu konu hakkında bilgilenelim ve bu bilgileri günlük hayatımıza da uygulayalım;

1. Kişisel Veriler Nelerdir?

Aile bilgileri, pasaport numarası, siyasi düşünce, grup üyeliği, sendika üyeliği, eğitim bilgileri, kimlik bilgileri, alışveriş alışkanlıkları, ikametgah adresi, IP adresi, özgeçmiş, doğum tarihi, kişinin cinsel tercihi, parmak izi, retina taraması vb. şeyler kişisel verilerdir.

2. Özel Nitelikli Kişisel Veriler Nelerdir?

Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.

3. Kişisel Verilerin İşlenmesinde Uyulması Gereken İlkeler Nelerdir?

Kişisel veriler; hukuka ve dürüstlük kurallarına uygun olmalı, doğru ve gerektiğinde güncel olmalı, belirli, açık ve meşru amaçlar için işlenmiş olmalı, işlendikleri amaçla bağlantılı sınırlı ve ölçülü olmalı, ilgili mevzuatta öngörülen veya işledikleri amaç için gerekli olan süre kadar muhafaza edilebilmelidir.

4. Veri Sorumlusu Kimdir?

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri sorumluları Kişisel Verilerin Korunması Kanunu gereğince çok dikkatli olmalıdır, aksi takdirde çok ciddi para cezalarıyla veya hapis cezalarıyla karşılaşabilir.

Kişisel Verileri Koruma Kurulunun 28/05/2020 Tarihli ve 2020/429 Sayılı Kararı : “Bankaya olan borcuna ilişkin bilgilerin, icra işlemlerini yürüten avukat tarafından kendisi gibi kamu sosyal tesisinde konaklamakta olan iş arkadaşlarına ve ağabeyine SMS aracılığıyla gönderilmesi üzerine, ilgili avukatlık bürosuna başvuran ancak bir cevap alamayan ilgili kişinin şikayetinin incelenmesi neticesinde; Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu numaralarla paylaşılmasının; ayrıca ilgili kişinin T.C. kimlik numarası kullanılmak suretiyle GSM aboneliklerinin ve borçlarının sorgulanmasının Kanun hükümlerine aykırılık teşkil ettiği, bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmediği ve genel ilkelere aykırı hareket ettiği dikkate alındığında, veri sorumlusunca yürütülen veri işleme faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca hakkında 125.000 TL idari para cezası ile cezalandırılacağı” yer almaktadır.

5. Kişisel Veri Envanteri Nedir?

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir.

6. KVKK Uyarınca Suçlar ve Kabahatler Nelerdir?

Bu yükümlülükler yerine getirilmediği takdirde karşılaşılacak yaptırımlar ;

• Kişisel verileri hukuka aykırı biçimde kaydetmek 1-3 yıl arası hapis cezası ,
• Nitelikli verileri hukuka aykırı biçimde kaydetmek 1yıl 6 ay – 4 yıl 6 ay hapis cezası,
• Verileri başkasına vermek, yaymak, ele geçirmek 2 yıl-4 yıl hapis cezası,
• Verileri yok etmemek 1-2 yıl hapis cezası ile cezalandırılır.
• Aydınlatma yükümlülüğünü yerine getirmeyenler 5.000 TL- 100.000 TL

Kişisel Verileri Koruma Kurulunun 07/05/2020 Tarihli ve 2020/355 Sayılı Kararı: “İl Sağlık Müdürlüğünü muhatap dilekçesi eki Medula Eczane çıktılarını eşinin eczanesinden temin ettiği dikkate alındığında Eczanenin SGK ile yaptığı sözleşme çerçevesinde kullandığı Medula sistemine üçüncü kişilerin erişimini önlemek üzere gerekli güvenlik tedbirlerini almadığı dolayısıyla Eczane hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasına muhalefet etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 60.000 TL idari para cezası uygulanmasına,

İl Sağlık Müdürlüğüne yaptığı başvurusunda ilgili kişiye ait Medula eczane çıktılarına yer veren eczacının eşi hakkında ise ilgili kişiye ait verileri ele geçirerek kullanması sebebiyle Türk Ceza Kanununun 136 ncı maddesinde belirtilen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun oluştuğu kanaatine varıldığından bu kişi hakkında savcılığa ihbaren bildirimde bulunulmasına” karar verilmiştir.

7. Açık Rıza Kavramı Nedir?

Kişisel verileri işlenecek olan ilgili kişinin verilerinin işlenmesi hakkında açık rızası olmalıdır. Açık rızanın yazılı olması ispat açısından önemlidir.  Kişisel Verileri Koruma Kanunu’nda açık rızanın aranmayacağı bazı istisnai hallere yer vermiştir. Bunlar: Kanun’da açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisi veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifası için tarafların kişisel verilerinin işlenmesinin gerekli olması, ilgili kişinin verilerini alenileştirmiş olması, bir hakkın kurulması, kurulması veya korunması için kişisel verinin işlenmesinin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

ÖRNEK: İş Kanunu gereğince çalışana ait özlük bilgilerinin tutulması, Bankacılık Kanunu m. 42 uyarınca bankalar nezdinde tutulan müşteri bilgilerinin işlenmesi,6698 sayılı Kanunun 16.maddesinde düzenlenen Veri Sorumluları Siciline kayıt yükümlülüğü kapsamında veri sorumlularının VERBİS’e bilgi girişi yapması, Gelir Vergisi Kanununun 70. maddesi gereği, gayrimenkulünü kiraya verenlerin, vermek zorunda olduğu yıllık beyanname kapsamında kendisine ait kişisel verilerin Maliye Bakanlığının ilgili birimlerince işlenmesi açık rıza aranmadan kanunen işlenebilecek istisnai durumlardır.

8. Veri Sorumlusunun İlgili Kişiyi Aydınlatma Yükümlülüğü

Veri sorumlusu veya temsilci ilgili kişiye kimliğini göstermek zorundadır. İlgili kişiye verilerin hangi amaçla işleneceği ve işlenen verilerin hangi amaçla kime aktarılabileceğini, kişisel veri toplamanın yöntemini ve hukuki sebebini bildirmek zorundadır.

9. İlgili Kişinin Hakları Nelerdir?

Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; Kişisel verilerin işlenip işlenmediğini öğrenme, bilgi talep etme, işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme, verilerin üçüncü kişilere aktarılıp aktarılmadığını öğrenme, eksik veya yanlış verilerin düzeltilmesini ve bunun aktarılan üçüncü kişilere bildirilmesini, kişisel verilerinin silinmesini veya yok edilmesini, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına sahiptir.

ÖRNEK: Bir e-ticaret sitesinin, alışveriş yapan kişinin ad, soyad ve kargo gönderimi için adres bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadı veya kan grubu bilgisini işlemesi meşru amaç kapsamında değerlendirilemeyecektir.

10. İlgili Kişinin Tazminat Davası açma hakkı var mıdır?

Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakları vardır. Bu kapsamda, ilgili kişiler adli yargı yoluna gidebilirler.

11. Başvuru, Şikayet Yolları Nelerdir?

İlgili kişi, Kişisel Verileri Koruma Kurulu’nun uygulanmasıyla ilgili taleplerini yazılı olarak veri sorumlusuna iletir. İletilen bu talep olumlu veya olumsuz olarak 30 gün içinde cevaplandırılmalıdır. Cevap yazılı olarak veya elektronik posta yoluyla ilgili kişiye iletilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her hâlde başvuru tarihinden itibaren 60 gün içinde Kurula şikâyette bulunabilir. Başvuru yolu kullanılmadan şikayet yoluna gidilemez. Ayrıca Kurulun ;

• Alo 198 Veri Koruma Hattı Bilgi Danışma Merkezi
• 0312 216 50 00
• https://www.kvkk.gov.tr/

İletişim merkezleriyle irtibata geçip bilgi alabilir veya şikayette bulunabilirsiniz.