Ana içeriğe atla

playpark

 

KİŞİSEL VERİLERİN KORUNMASI KANUNU (K.V.K.K.) HAKKINDA BİLİNMESİ GEREKENLER

27.06.2018 - 10:29

Artık günümüzde; gerek kurumlar, gerekse özel kuruluşlar her gün yüzlerce hatta binlerce kişinin kişisel bilgilerine ulaşabilmekte, elde edilen bilgiler de, günümüzün ileri teknolojisi ile ve bilişim sektöründeki  hızlı gelişmelerin etkisiyle, kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bunun neticesinde ise kişisel verilerin korunması ihtiyacı doğmuş ve kişisel verilerin yasalar nezdinde korunması zaruri hale gelmiştir.
Bu doğrultuda hazırlanan ve 24 Mart 2016 tarihinde kabul edilen, 7 Nisan 2016 tarihinde de 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (K.V.K.K) kapsamında yer alan ve bilinmesi gereken bazı önemli hususların altını çizmek faydalı olacaktır.

KANUNUN AMACI NEDİR?
Kanunun amacı, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.”
Kanun ile son yıllarda önem kazanan kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması hedeflenmiştir.

KANUNUN KAPSAMI NEDİR?
Kişisel Verilerin Korunması Kanunu;  kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Yani kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulama alanı bulacaktır.

KANUNUN GETİRDİĞİ YÜKÜMLÜLÜKLER NELERDİR?
K.V.K.K; yayım tarihi olan 07.04.2016 tarihinden önce işlenmiş olan kişisel verilerin, bu tarihten itibaren iki sene içinde veri sorumlularınca, kanun hükümlerine uygun hale getirilmesi, kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin ise derhal silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğünü getirmiştir.
Bunun yanında, “Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde, bu kanuna uygun kabul edilir.” hükmü de yer almıştır.
Kanun ile 2 yıl süreyle kişisel verilerin korunması uyum süreci öngörülmüş ve bu uyum süreci de 07.04.2018 tarihinde sona ermiştir.

KANUN KAPSAMINDA KORUNAN KİŞİSEL VERİ NEDİR?
Kanunda tanımlandığı haliyle kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgidir.”
Kişisel veriler kanunda, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanmıştır. Günümüzde söz konusu veriler elden ele dolaşmak suretiyle gerek özel gerekse kamu sektörlerinde kullanılmakta, bu durum da kişisel verilerin istismar edilme riskini beraberinde getirmektedir. 
Bu doğrultuda, doğabilecek olası riskleri bertaraf etmek adına şirketlerin ve kurumların bu konuda önlem almaları uygun olacaktır.

KİŞİSEL VERİLERİ HANGİ KOŞULLARDA VE HUKUKA UYGUN OLARAK KULLANABİLİRİZ?
Gerçek kişilerden herhangi bir sebeple ve herhangi bir şekilde alınan kişisel verileri kaydetmek, saklamak, değiştirmek, açıklamak, aktarmak gibi tüm işlemler   “kişisel veri işlemek”  olarak tanımlanmaktadır.
Yani bir gerçek kişinin kişisel bilgisini öğrendiğimiz andan, bilgiyi tamamen yok ettiğimiz ana kadar yapılan tüm işlemler Kanun’a göre “kişisel veriyi işlemek” anlamına gelmektedir. 
 Bu işlemlerin hukuka uygun olması için de aşağıdaki hususlara dikkat edilmesi gerekmektedir:
– Kişisel verileri işlenen kişinin açık rızasının/onayının bulunması ki bu açık rıza kişinin bilgilendirilmesine dayanmalı ve onaylayıcı bir hareket içermelidir. Yani, kişisel verilerin 3. kişilere aktarılabilmesi için, ilgili kişinin açık rızasının bulunması veya kanunlarda gösterilen ve aşağıda açıklanan istisnalara dayanılması gerekmektedir.
Kişisel veri işlemenin kanunda öngörülmüş olması, yani yetkinin kanun tarafından verilmiş olması, kanuni yükümlülüğün yerine getirilmesi veya bir hakkın kullanılması için zorunlu olması durumlarında, kanunda öngörülen veya işlenmesi zorunlu olan kişisel veriler, açık rıza olmadan da işlenebilmektedir.
Ancak, işlenen kişisel verilere yetkisiz kişilerin erişmesini engelleyecek tüm güvenlik tedbirlerinin alınması gerekmektedir. Tedbirlere rağmen verilerin yetkisiz kişilerin eline geçmesi durumunda ise, durumun, verisi ele geçirilen kişilere ve Kişisel Verileri Koruma Kurulu’na bildirilmesi de zorunlu tutulmuştur.
– Yine bir sözleşmenin kurulması veya sözleşmedeki yükümlülüklerin yerine getirilmesi için gereken bilgiler de sözleşmenin diğer tarafına ait olmaları şartıyla rıza olmadan işlenebilir. Buna göre örneğin; bir müşterinize kargo yoluyla göndereceğiniz ürün için, müşteriden teslimat bilgilerini alır ve yalnızca bu teslimat için kullanırsanız, teslimat bilgisini işlediğiniz bu süreç için müşterinizin açık rızasını almanıza gerek yoktur.
– Rızasını açıklayamayacak kişilere ait kişisel verilerin zorunlu durumlarda işlenmesi veya kişiye zarar vermediği sürece işlemenin veriyi işleyen kişinin menfaatleri için kullanılmasının zorunlu olması hallerinde de kişisel veriler açık rızaya gerek olmadan işlenebilmektedir.
-Kişisel verilerin yurtdışına aktarılabilmesi için ise daha da ağır şartlar öngörülmektedir. Yine kişinin açık rızasının alınması yurtdışına aktarımın hukuka uygun olmasını sağlayacaktır. Ancak eğer kanuni istisnalara dayanılarak veriler yurt dışına aktarılacaksa, aktarım yapılacak ülkelerin Kişisel Verileri Koruma Kurulu tarafından belirlenecek güvenli ülkeler arasında yer alması ya da yurt dışındaki veri aktarılacak kişilerin Kişisel Verileri Koruma Kurulu tarafından uygun bulunacak şekilde yeterli korumayı taahhüt etmesi gerekmektedir.
– Kanun’a göre, verisi işlenen kişilerin; kendisine ait veri işlenip işlenmediğini, işlenmişse şartlarını, amacını ve amaca uygun kullanılıp kullanılmadığını, verilerin aktarıldığı kişileri öğrenme; eksik veya yanlış kişisel verilerin düzeltilmesini, işlenme sebebi ortadan kalkan verilerin silinmesini veya yok edilmesini, bu işlemlerin aktarılan kişilere de bildirilmesini ve işleme sebebiyle zarara uğradıysa bu zararın karşılanmasını isteme, verilerin otomatik sistemlerle işlenmesi sonucu ortaya çıkan olumsuz sonuçlara itiraz etme hakları da bulunmaktadır. 
Tüm bunların yanında;  kişisel veri işleme amaç ve yöntemlerini belirleyen gerçek veya tüzel kişiler olarak belirlenen kişisel veri sorumlularının, Kişisel Verilerin Korunması Kurumu bünyesinde oluşturulacak olan Veri Sorumluları Sicili’ne veri işleme faaliyetleri hakkında bilgi verilerek kayıt olması zorunlu tutulmuştur.

K.V.K.K’NIN UYUM SÜRECİNDE İZLEYECEĞİMİZ YOL HARİTASI NE OLMALIDIR?
1.Öncelikle, sisteme kayıt olabilmek için VERİ HARİTASI çıkarılmalıdır.
2.Hukuka uygunluk denetimi yapılması ve KİŞİSEL VERİ VE HASSAS VERİ AYIRIMI yapılmalıdır.
3.Kişisel bilgilerin SAKLANMASI VE İMHA PROSEDÜRÜNÜN oluşturulması gerekmektedir.
4.K.V.K.K’ya uygun olacak şekilde SÖZLEŞMESEL ALT YAPILARIN OLUŞTURULMASI gerekmekte ve özellikle sözleşmelerde gizlilik maddeleri revize edilmelidir.
5.Kişileri bilgilendirmek üzere METİNLER HAZIRLANMASI gerekmektedir.
6.Kişisel verilen korunması ve yetkisiz kişilerin erişimini engelleyecek tüm GÜVENLİK TEDBİRLERİNİN ALINMASI gerekmektedir.
7.Kişisel Verilerin korunması için gereken İDARİ ve TEKNİK ALTYAPININ OLUŞTURULMASI gerekmektedir.

İŞVEREN-İŞÇİ AÇISINDAN  K.V.K.K.’YA UYGUNLUK NASIL OLMALIDIR ? İŞVEREN İŞÇİNİN KİŞİSEL VERİLERİNİ İŞLERKEN NELERE DİKKAT ETMELİDİR?
Bu kapsamda doğrudan işçi hakkında olan ya da böyle olmamakla birlikte işçiye ilişkin bir fikir edinilmesini sağlayan bütün bilgiler işçinin kişisel verisi sayılır. Örneğin;
İşçinin adı ve soyadı, adresi, maaş bilgisi, özlük dosyasında yer alan diğer bilgileri, işçinin adli sicil kaydı, sağlık raporu, işçinin fotoğrafı, video görüntüsü, işçiye tahsis edilen aracın konum bilgisi, İşçinin ses kaydı, e-mail yazışmaları, işçinin parmak izi, bir yöneticinin çalışanının performansı hakkında tuttuğu notlar vb. bilgiler işçiye ait kişisel verileridir.
İşçinin kişisel verilerinin işlenmesi hususunda TBK’nın buna ilişkin m. 419 hükmü şu şekildedir:
“İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Özel kanun hükümleri saklıdır.”
Bunun yanı sıra İş Kanunu’nun “işçinin özlük dosyası” başlıklı 75. maddesinde de işçinin kişisel verilerin işlenmesi düzenlenmektedir. İlgili hükme göre de:
“İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.”
6698 sayılı K.V.K.K. kapsamında ise:  
“Veri işlemede genel ilkelere uyulması, açık rıza veya kanunda sayılan diğer kişisel veri işleme şartlarından en az birinin mevcut olması ve verilerin elde edildiği esnada Kanun’a uygun bilgilendirme yapılması “ gerekmektedir.

İŞVERENLER TARAFINDAN GENEL OLARAK UYGULANAN DENETLEME YÖNTEMLERİ KANUN’A UYGUN MUDUR?
İşverenler tarafından sıklıkla tatbik edilen denetleme yöntemleri nelerdir?

1.E-posta yazışmalarının ve telefon görüşmelerinin kontrol edilmesi:
İşveren, işçiye görmekte olduğu iş için tahsis ettiği kurumsal e-posta adresini ve telefonu belirli şartlar dahilinde kontrol etme hakkına sahiptir. Bunun için mutlaka işçi önceden detaylı bir şekilde bilgilendirmeli, işçiye  iş için tahsis edilen e-posta adresinin ve telefon hattının özel amaçlarla kullanılmaması, bunların şirket yetkilileri tarafından denetlenebileceği yönündeki uyarılar yapılmalıdır.

2.İşyerine kamera yerleştirilmesi:
İşverenin işyerine güvenlik amacıyla ya da diğer bir meşru amaca dayanarak kamera yerleştirmesi de mümkündür. Ancak bu uygulama için de mutlaka işçinin önceden bilgilendirilmesi zorunlu olup gizli kamera kaydı kural olarak hukuka aykırı ve yasaktır. 
Ayrıca söz konusu uygulamanın kapsadığı alanın orantılı bir biçimde belirlenmesi zorunludur. İşçinin rızası alınmış olsa dahi mahremiyet hakkına ölçüsüz müdahale teşkil edecek ve meşru bir amaca dayandırılamayacak şekilde lavabo gibi alanlara kamera yerleştirilmemelidir. Aksi halde işveren, TCK m. 135’de tanımlı “kişisel verileri kaydetme” suçunun yaptırımı olan 1 yıldan 3 yıla kadar hapis cezası ile karşılaşabilecektir.

3.İşçiye tahsis edilen aracın konum bilgisinin işlenmesi:
İşverenin işçiye iş ilişkisi için tahsis ettiği araçlara takip cihazı yerleştirmesi ve aracın konumunu denetlemesi de sıklıkla uygulanan bir denetleme yöntemidir. İşverenin denetim yetkisi kapsamında değerlendirilebilecek bu faaliyet için de işçiye mutlaka önceden detaylı bir bilgilendirme yapılmalıdır.
Eğer araç işçinin özel hayatında da kullanabilmesi için tahsis edilmişse, işçiler iş saatleri dışında araçlarında bulunan her türlü takip cihazını kapatabilmelidir. Bu takip cihazlarının amacı araçları izlemek olup, işçilerin davranışlarını veya özel hayatlarını izlemek için kullanılamaz.

4.İşyerine giriş-çıkışı kontrol etmek için parmak izi alınması:
Bir “kişisel veri” olarak değer gören parmak izi bilgileri, aynı zamanda özel hayatın gizliliği hakkına dayandığından, gerek geniş anlamda özel hayatın gizliliğini düzenleyen uluslarası hükümlerde, gerekse kişisel verilerin korunmasını düzenleyen hükümlerle koruma altına alınmaya çalışılmıştır.
Bu noktada işçilerin açık rızası alınmadan, işçilere ait parmak izi verilerini saklama noktasında yeterli teknik donanıma sahip olunmadan yapılacak parmak izli kontrol uygulaması işverenin yönetim ve denetim hakkının sınırları içerisinde değerlendirilemeyecektir. 
İşveren, hukuki ya da ceza-i açıdan herhangi bir yaptırımla karşı karşıya kalmamak adına parmak izli mesai kontrol sistemi uygulamasına geçmeden önce işçileri bilgilendirmeli ,parmak izi gibi işçiye ait kişisel verilerin korunması için gerekli teknik alt yapıyı sağlamalı ve işçinin iş sözleşmesiyle veya iş ilişkisinin devamı sırasında mutlaka muvafakatini almalıdır.

KANUNA AYKIRILIK HALİNDE ŞİKAYET NASIL GERÇEKLEŞİR ?
Kişisel verilerin işlenmesine ilişkin usulsüzlüklerin ve aykırı eylemlerin araştırılmasında, incelenmesinde, tespit edilmesinde ve bu tespitlere ilişkin karar verilmesinde yetkili merci 6698 Sayılı Kanun’un 22. Maddesi uyarınca “Kişisel Verileri Koruma Kurulu” olup kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen görev alanına giren konularda gerekli incelemeyi yapar.
Bu kapsamda bir incelemeye maruz kalınırsa 6698 Sayılı Kanun Madde 15(3) uyarınca Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurul’un  inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkan sağlamak zorunda kalacaktır.

KANUN İLE UYUMLU OLMAYAN İŞLETMELERİ BEKLEYEN RİSK VE YAPTIRIMLAR NELERDİR?
Kişisel verilerin korunması konusu, Avrupa’da ve paralel olarak da Türkiye’de bir temel insan haklarından biri olarak görüldüğünden, bu konudaki kurallara aykırılıklarda giderek artan ağırlıkta yaptırımlarla karşılaşılmaktadır.
Kişisel verilerin korunması mevzuatına aykırı eylemlere karşı müeyyidelerin 1 yıl ile 4 yıl arasında değişen hapis, 5 bin TL ile 1 milyon TL arasında değişen idari para cezaları olduğu göz önüne alındığında; işletmelerin mevzuatla uyumlu hale gelmek için vakit kaybetmeksizin harekete geçmeleri önerilmektedir.

playpark

Yukarı