kişisel verilerin korunması

KİŞİSEL VERİLERİN KORUNMASI: VERİ GİZLİLİĞİ VE VERİ KORUMANIN ÖNEMİ

Dijital teknolojinin hayatımızda yaygın bir güç haline geldiği günümüz dünyasında, kişisel verilerin korunması ve gizlilik çok önemli bir boyut kazanmıştır. Türkiye, birçok diğer ülke gibi, kişisel verileri korumanın zorluklarıyla mücadele ederken aynı zamanda yenilik ve ekonomik büyümeyi teşvik etme konusunda çaba göstermektedir.

Kişisel verilerin korunması ve gizlilik sürecini düzenleyen Genel Veri Koruma Tüzüğü (GDPR), Mayıs 2018’de Avrupa Birliği’nde (AB) yürürlüğe giren bir düzenlemedir. Tüzük, AB vatandaşlarının kişisel verilerini işleyen ve bulunduğu yere bakılmaksızın tüm şirketler için geçerlidir. GDPR, AB vatandaşlarının gizliliğinin korunmasını sağlamayı ve kişisel verileri üzerinde daha profesyonel bir kontrol sağlamayı amaçlamaktadır.

Türkiye AB üyesi değildir, ancak kendi veri koruma kanunu olan Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016’da yürürlüğe girmiştir. KVKK, GDPR’ye çok benzemekte olup AB’nin Veri Koruma Direktifi’ne dayanmaktadır. KVKK’ya göre, kişisel veriler ancak veri sahibinin açık rızasıyla, sözleşmenin yerine getirilmesi için gerekliyse veya işlemeye meşru bir ilgi varsa işlenebilir. Kanun, Türkiye’de yerleşik olan veya Türkiye’de kişisel verileri işleyen tüm veri denetleyicileri ve işleyicileri için geçerlidir.

KİŞİSEL VERİLERİN KORUNMASI KANUNU MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. Hukuka ve dürüstlük kurallarına uygun olma.
  2. Doğru ve gerektiğinde güncel olma.
  3. Belirli, açık ve meşru amaçlar için işlenme.
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

KİŞİSEL VERİ KORUMA İLKELERİ NELERDİR?

Kişisel veri, herhangi bir gerçek kişiye ilişkin tanımlanmış veya tanımlanabilir bilgi olarak tanımlanır. Biyometrik veriler, sağlık bilgileri ve dinî veya siyasî inançlar gibi hassas kişisel veriler de dahil olmak üzere tüm verileri kapsar. Kanun, amaç sınırlandırması, veri minimizasyonu, doğruluk, depolama sınırlandırması, gizlilik ve kişisel verilerin güvenliği gibi veri işleme ilkeleri belirler.

Kişisel verilerin korunması ve gizlilik ilkeleri, özellikle kişisel verilerin işlenmesi ve kullanımıyla ilgili olarak uyulması gereken temel prensiplerdir. Aşağıdaki ilkeler, genel veri koruma düzenlemeleri ve dünya genelinde kabul edilen gizlilik standartlarına dayanmaktadır:

  1. Hukuka ve dürüstlük ilkesi: Kişisel verilerin işlenmesi, yasal bir dayanağa ve dürüstlük ilkesine uygun olarak yapılmalıdır.
  2. Amaç sınırlaması ilkesi: Kişisel veriler, belirli, açık ve meşru amaçlar için toplanmalı ve kullanılmalıdır. Toplanan verilerin amaç dışı kullanımı yapılmamalıdır.
  3. Veri azaltma ilkesi: Kişisel veriler, gerekli ve yeterli olacak şekilde toplanmalı ve işlenmelidir. İşlenen verilerin sınırlı olması ve gereksiz verilerin toplanmaması önemlidir.
  4. Doğruluk ilkesi: Kişisel verilerin doğru ve güncel olması sağlanmalıdır. Yanlış, eksik veya yanıltıcı veriler kullanılmamalıdır.
  5. Saklama sınırlandırması ilkesi: Kişisel veriler, gerekli olan süre boyunca saklanmalıdır. Süre dolduğunda, veriler silinmeli veya anonim hale getirilmelidir.
  6. Gizlilik ilkesi: Kişisel verilerin korunması ve gizlilik için veri güvenliğinin sağlanması gerekir. Verilerin yetkisiz erişimden, kayıp, hırsızlık, hasar, imha veya değiştirilmesinden korunmalıdır.
  7. Veri sorumluluğu ilkesi: Veri sorumlusu, kişisel verilerin işlenmesi ve korunması konusunda sorumlu ve hesap verebilir olmalıdır.

Bu ilkeler, kişisel verilerin işlenmesi ve korunması konusunda rehberlik sağlamaktadır ve uygun gizlilik uygulamalarının benimsenmesi için önemlidir.

veri gizliliği politikası

TÜRKİYE’DE KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK

Türkiye’de özel verilerinizi korumak için dikkat etmeniz gereken bir kaç husus vardır. İlk olarak, KVKK kapsamındaki haklarınızın farkında olmanız gerekiyor. Bu haklar arasında kişisel verilerinize erişim hakkı, yanlış verilerin düzeltilmesini talep etme hakkı, verilerinizin işlenmesine itiraz etme hakkı ve verilerinizin silinmesini talep etme hakkı bulunmaktadır. Ayrıca kişisel verilerinizi işleyen herhangi bir şirketin KVKK uyumlu olduğundan ve verilerinizi korumak için uygun güvenlik önlemlerini uyguladığından emin olmalısınız.

Kişisel verilerinizi korumak için aşağıdaki adımları izleyebilirsiniz:

  • Kişisel verilerinizi sadece belirli amaçlar için paylaşın: Kişisel verilerinizi sadece belirli amaçlar için paylaşın ve işlenmelerine izin verin. Verilerinizin başka amaçlarla kullanılmaması için tedbirler alın.
  • Kişisel verilerinizi güvenli bir şekilde saklayın: Kişisel verilerinizi güvenli bir şekilde saklayın. Verilerinizin yetkisiz erişimden, kayıp, hırsızlık, hasar, imha veya değiştirilmesinden koruyan uygun güvenlik önlemleri alın.
  • İşlem yapan kurumların uygunluklarını kontrol edin: Kişisel verilerinizi işlemeye yetkili kurumların uygunluklarını kontrol edin. Verilerinizin KVKK kurallarına uygun bir şekilde işlenmesini sağlayan ve güvenliğini sağlayan kurumlarla çalışın.
  • Veri sahipleri haklarınızı kullanın: KVKK, veri sahiplerinin belirli haklarını koruma altına almaktadır. Bu hakları kullanarak, kişisel verilerinizi kontrol altında tutun ve gerektiğinde silinmesi veya düzeltilmesi için talepte bulunun.
  • KVKK uyumlu bir politika izleyin: Kişisel verilerinizi korumak için KVKK’ya uyumlu bir politika izleyin. Bu politikanın işleyişi hakkında çalışanlarınızı eğitin ve gerekli kontrolleri yapın.

Bu adımları takip ederek, kişisel verilerinizi koruma altına alabilir ve kişisel verilerin korunması ve gizlilik düzenlemelerine uygun bir şekilde işleme sürecini kontrol edebilirsiniz.

KİŞİSEL VERİLERİN GİZLİLİĞİNİN İHLALİ

Kişisel veri koruma ve gizliliği birçok durumda ihlal edilebilir. Örneğin, bir şirket, veri sahibinin onayını almadan kişisel veri toplarsa veya verileri korumak için uygun güvenlik önlemlerini uygulamazsa KVKK’ya aykırı olabilir. Diğer ihlal durumları arasında, kişisel verilerin onay alınmadan üçüncü taraflarla paylaşılması, bir veri sahibinin erişim veya silme talebine yanıt verilmemesi ve kişisel verilerin gereğinden fazla saklanması yer almaktadır.

Kişisel veri koruma ve gizlilik, birçok farklı durumda ihlal edilebilir. Bazı örnekler şunlardır:

  • Veri ihlali: Kişisel verilerin yetkisiz erişim, değiştirme veya yok etme gibi yollarla ele geçirilmesi veya ifşa edilmesi.
  • Hileli faaliyetler: Kişisel verilerin aldatıcı veya hileli faaliyetlerle elde edilmesi, örneğin dolandırıcılık veya sahtekarlık gibi.
  • İşlem amaçlarına aykırı kullanım: Kişisel verilerin belirli bir amaç için toplanmasına izin verilmiş olmasına rağmen, bu amaç dışında kullanılması.
  • Veri güvenliği açıkları: Kişisel verilerin işlenmesi ve saklanmasında kullanılan sistemlerin veya yöntemlerin yetersiz olması veya veri güvenliği açıklarının bulunması.
  • Veri kaybı: Kişisel verilerin yanlışlıkla silinmesi, yok edilmesi veya kaybolması.
  • Bilgilendirme ve onay eksikliği: Kişisel verilerin nasıl toplandığı, işlendiği ve kullanıldığı hakkında yeterli bilgi sağlanmadan veya veri sahibinin onayı alınmadan kişisel verilerin işlenmesi.

Bu gibi durumlarda kişisel verilerin korunması ve gizlilik ihlal edilebilir ve bu durumlar kanuni yaptırımlar gerektirebilir. Bu nedenle, kişisel verilerin işlenmesi ve korunması konusunda dikkatli olunması önemlidir.

KİŞİSEL VERİLERİN RIZA DIŞI PAYLAŞILMASINDA YASAL SÜREÇ

Kişisel veriler, veri sahibinin onayı olmadan paylaşıldığında etkilenen birey Türkiye’deki KVKK Kurumuna şikayette bulunabilir. Kurum, KVKK düzenlemelerine aykırı hareket eden şirketleri araştırmak ve cezalandırmak için yetkiye sahiptir. İhlalin ciddiyetine bağlı olarak, şirketlere para cezası uygulanabilir, kişisel verilerin işlenmesine son verilmesi emredilebilir veya hatta cezai yaptırımlarla karşı karşıya kalabilirler. Veri sahipleri, KVKK’ya aykırı olan şirketlere karşı tazminat talebiyle dava açarak ihlalin neden olduğu herhangi bir zarar için tazminat talep edebilirler.

Kişisel verilerin rıza dışı paylaşılması durumunda, yasal süreç şu şekilde işler:

  • Şikayet: Veri sahibi, kişisel verilerinin rıza dışı paylaşıldığını fark ederse, öncelikle şikayetçi olmalıdır. Şikayet, veri sorumlusuna yazılı olarak veya KVKK kuruluşuna veya diğer yetkili mercilere yapılabilir.
  • Soruşturma: Veri sorumlusu, şikayet üzerine, söz konusu kişisel verilerin rıza dışı olarak paylaşıldığını kabul ederse, bir soruşturma başlatılır. Soruşturma, KVKK kuruluşları veya diğer yetkili merciler tarafından yürütülür.
  • Yaptırım: Soruşturma sonucunda, rıza dışı paylaşımın gerçekleştiği tespit edilirse, yaptırımlar uygulanabilir. Bu yaptırımlar arasında, para cezaları, veri sorumlusunun faaliyetlerinin geçici veya kalıcı olarak durdurulması, veri sorumlusunun yetkilendirme belgesinin iptal edilmesi ve diğer yasal yaptırımlar yer alabilir.
  • Tazminat: Veri sahibi, kişisel verilerinin rıza dışı paylaşılmasından dolayı zarar görmüşse, tazminat talep edebilir. Bu tazminat, veri sorumlusundan veya mahkeme kararıyla tespit edilen diğer sorumlulardan talep edilebilir.

Sonuç olarak, kişisel verilerin rıza dışı paylaşılması ciddi bir ihlaldir ve yasal süreçlerle ele alınır. Veri sorumluları, KVKK’nın gerektirdiği şekilde verileri işlemeli ve veri sahiplerinin rızasını almadan verileri paylaşmamalıdır. Aksi takdirde, yasal yaptırımlarla karşı karşıya kalabilirler.

KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK İÇİN ŞİRKETLERİN YÜKÜMLÜLÜKLERİ

Kişisel Verilerin Korunması Kanunu, Türkiye’deki kişisel verileri işleyen şirketler üzerinde önemli sorumluluklar yükler. Bu küçük start-up’lardan büyük çok uluslu şirketlere kadar tüm işletmeleri kapsar. Şirketler, uygun şifreleme ve erişim kontrolleri de dahil olmak üzere kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak için teknik ve organizasyonel önlemler almak zorundadır.

Türkiye’de şirketler, Kişisel Verilerin Korunması Kanunu’na uygun veri gizliliği politikası uygulamak zorundadır. Kanun, veri denetleyicileri ve işleyicileri üzerinde önemli yükümlülükler getirir, bunlar kişisel verilerin işlenmesi için bireylerden açıkça onay almaları, kişisel verilerin doğruluğunu ve güvenliğini sağlamaları ve bireyleri veri işleme amaçları ve yöntemleri konusunda bilgilendirmeleri gerektiğini içerir.

Şirketlerin yükümlülüklerine dair uygulamalara ilişkin ayrıntılı bilgi için Şirketler Hukuku sayfamızı inceleyebilirsiniz.

Aşağıda şirketlerin KVKK kapsamındaki sorumlulukları ve yükümlülükleri yer almaktadır:

  • Aydınlatma yükümlülüğü:

Şirketler, kişisel verilerin toplanması, işlenmesi ve kullanımı hakkında veri sahiplerini açık ve anlaşılır bir şekilde bilgilendirmelidir. Şirketler, veri işleme faaliyetleri hakkında amaçları, işlenen veri türleri ve verilerin paylaşıldığı kişi veya kurumlar gibi ayrıntılı bilgileri bireylere açık ve öz bir şekilde sağlamalıdırlar. Bu bilgi, net ve öz bir şekilde sağlanmalı ve kolayca erişilebilir olmalıdır.

  • Rıza yükümlülüğü:

Şirketler, kişisel verilerin toplanması, işlenmesi ve kullanımı için veri sahiplerinden açık bir şekilde rıza almalıdır.

  • Veri güvenliğini sağlama yükümlülüğü:

Şirketler, kişisel verilerin gizliliği, bütünlüğü ve erişilebilirliğini sağlamak için uygun şifreleme ve erişim kontrolleri de dahil olmak üzere teknik ve organizasyonel önlemler uygulamalıdırlar.

  • Veri sorumlusu yükümlülüğü:

Şirketler, kişisel verilerin işlenmesinden sorumlu olan kişi veya kuruluşlar olarak, veri sorumlusu yükümlülüklerini yerine getirmelidir.

  • Veri sahiplerinin hakları:

Şirketler, veri sahiplerinin KVKK kapsamındaki haklarını korumak için uygun önlemleri almalıdır. Bu haklar arasında kişisel verilerin silinmesi, düzeltilmesi, eksik verilerin tamamlanması, veri işleme faaliyetlerinin durdurulması ve kişisel verilerin aktarımı gibi haklar yer almaktadır.

  • Veri işleme sözleşmeleri:

Şirketler, kişisel verileri işleme hizmeti veren diğer kişi veya kuruluşlarla yaptıkları sözleşmelerde, KVKK gerekliliklerine uygun hükümler yer almalıdır.

  • Veri ihlali bildirme yükümlülüğü:

Şirketler, kişisel verilerin yetkisiz erişim, değiştirme veya yok etme gibi yollarla ele geçirilmesi veya ifşa edilmesi durumunda, veri sahiplerine ve KVKK kurumlarına bildirim yapma yükümlülüğüne sahiptir.

Kanun, veri denetleyicileri ve işleyicileri üzerinde önemli yükümlülükler getirir ve kişisel verilerin işlenmesi için bireylerin açık onayını almayı, kişisel verilerin doğruluğunu ve güvenliğini sağlamayı ve bireylere veri işleme amaçları ve yöntemleri hakkında bilgi verilmesini gerektirir.

VERİ GİZLİLİĞİ POLİTİKASI OLUŞTURMA VE VERİ SORUMLUSU GÖREVLENDİRME

Şirketler, gizlilik düzenlemelerine uyumu sağlamak ve veri ihlallerini yönetmekten sorumlu bir veri sorumlusu atamak zorundadır. Veri sorumlusu atamakla birlikte, şirketler tüm kişisel veri işleme faaliyetlerini kaydeden bir veri kayıt sistemi de oluşturmalıdır. Bu kayıt defteri düzenli olarak güncellenmeli ve kurulun talebi üzerine sunulabilir olmalıdır.

KVKK, şirketlerin veri gizliliği politikalarını düzenli olarak denetler ve uyumsuzluk durumunda idari para cezaları ve diğer yaptırımlar uygulayabilir. Bu nedenle Türkiye’deki şirketler kişisel verilerin güvenliği ve gizliliği konusunu ciddiye almalı ve kişisel verileri korumak için sağlam politika ve prosedürler uygulamalıdır.

Verilerin koruması için politika oluşturma ve veri sorumlusu görevlendirme, şirketlerin kişisel verilerin korunması ve gizliliği konusunda KVKK gerekliliklerine uygun olarak hareket etmelerini sağlar. Bu süreçte aşağıdaki adımlar izlenebilir:

  • Kişisel verilerin tespiti: Şirketler, işledikleri kişisel verileri tespit etmeli ve hangi amaçla işlediklerini belirlemelidir.
  • Veri işleme amaçlarının belirlenmesi: Şirketler, kişisel verileri hangi amaçlarla işlediklerini belirlemeli ve bu amaçlar doğrultusunda veri işleme faaliyetlerini sınırlandırmalıdır.
  • Veri sahiplerinin haklarının belirlenmesi: Şirketler, KVKK kapsamındaki veri sahibi haklarını belirlemeli ve bu haklara uygun olarak hareket etmelidir.
  • Veri güvenliği önlemlerinin alınması: Şirketler, kişisel verilerin güvenliğini sağlamak için uygun teknik ve organizasyonel önlemleri almalıdır.
  • Verilerin korunması için politika oluşturma: Şirketler, kişisel verilerin korunması ve gizliliği konusunda KVKK gerekliliklerine uygun olarak bir veri koruma politikası oluşturmalıdır. Bu politika, şirketlerin nasıl kişisel verileri işleyeceklerini, kimlerle paylaşacaklarını ve nasıl koruyacaklarını belirtmelidir.
  • Veri sorumlusu görevlendirme: Şirketler, KVKK kapsamındaki veri sorumlusu yükümlülüklerini yerine getirmek üzere bir veri sorumlusu görevlendirmelidir. Veri sorumlusu, kişisel verilerin işlenmesinden sorumlu kişi veya kuruluştur ve KVKK kapsamındaki yükümlülükleri yerine getirmekle sorumludur.
  • Personel eğitimi: Şirketler, KVKK kapsamındaki yükümlülükleri yerine getirebilmeleri için personellerini bu konuda eğitmeli ve farkındalıklarını artırmalıdır.

Bu adımlar, şirketlerin KVKK kapsamındaki yükümlülüklerini yerine getirebilmeleri için önemlidir. Ayrıca, şirketlerin bu süreçte uygun danışmanlık hizmetleri almaları da faydalı olabilir.

veri gizliliği ihlali

VERİ GİZLİLİĞİ İHLALİNİN CEZASI

KVKK’ya göre veri gizliliği ihlali, kişisel verilerin hukuka aykırı olarak işlenmesi, yok edilmesi, değiştirilmesi veya yetkisiz şekilde açıklanması anlamına gelir. Veri gizliliği ihlalleri, KVKK uyarınca veri sorumlusuna, veri işleyenlere veya veri işleyen adına hareket edenlere idari ve hukuki yaptırımlar getirilebilir.

KVKK’da veri gizliliği ihlali durumunda öngörülen cezai yaptırımlar, veri sorumlusunun ya da veri işleyenin ihlal nedeniyle ortaya çıkan zararı karşılaması, idari para cezası, hapis cezası veya her ikisini de içerebilir. Ayrıca, veri ihlalleri kişisel verilerin hukuka aykırı olarak işlenmesi nedeniyle ortaya çıkan zararların tazmini davalarına da konu olabilir.

KVKK’nın ilgili maddelerine göre, veri sorumlusu veya veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliği için gerekli teknik ve idari tedbirleri almamaları halinde, veri ihlallerinden kaynaklanan zararları tazmin etmekle yükümlüdürler.

KVKK’ya göre, veri sorumlusu veya veri işleyenin, hukuka aykırı olarak veri işlemesi veya veri güvenliğini sağlamaması halinde, veri sorumlusuna, aşağıdaki gibi idari para cezaları uygulanabilir:

  • Veri sorumlusu, 50.000 TL’den 1.000.000 TL’ye kadar idari para cezası alabilir.
  • Veri işleyen, 20.000 TL’den 500.000 TL’ye kadar idari para cezası alabilir.

Bu cezaların yanı sıra, veri sorumlusu veya veri işleyenlere hapis cezası da verilebilir. Örneğin, hukuka aykırı kişisel veri işleme veya kişisel verileri yetkisiz şekilde ele geçirme suçları için, veri sorumlusu veya veri işleyen, 2 yıldan 5 yıla kadar hapis cezası alabilir.

Sonuç olarak, özel verilerin koruması ve gizlilik Türkiye’de önemli konular olup; Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunması için kapsamlı bir yasal çerçeve sunar. Ancak yasanın etkin bir şekilde uygulanması için hala önemli zorluklar vardır ve yasanın hükümlerine uyulmasını sağlamak için daha fazla farkındalık ve eğitim gereklidir. Ayrıca, kişisel verilerin yeterli bir şekilde korunmasını sağlamak ve ilerlemeyi engellemeden milli güvenlik ve ekonomik gelişme gibi diğer çıkarlarla bir denge kurulması gerekmektedir.

Diğer faaliyet alanlarımızı buradan inceleyebilir ve hukuki destek talepleriniz için info@cbhukuk.com üzerinden iletişime geçebilirsiniz.

YASAL UYARI: Web sitemizde yer alan makale ve içeriklerin telif hakkı Av. Orbay Çokgör’e aittir ve tüm makaleler elektronik imzalı zaman damgalı olarak hak sahipliğinin tescil edilmesi amacıyla yayınlanmaktadır. Sitemizdeki makalelerin, kaynak link vermeden kopyalanarak veya özetlenerek başka web sitelerinde yayınlanması durumunda, hukuki ve cezai işlem yapılacaktır.