• Burhaniye Abdullahağa Cad, No:106 Beylerbeyi, Üsküdar, İstanbul
  • Bizi Arayın
    +90 (216) 700-1833

  • Bize Yazın
    info@kpveri.com

1. Kişisel Verileri Koruma Kanununun amacı nedir?

2. Kişisel Verileri Koruma Kanunu ne zaman yürürlüğe girdi?

24 Mart 2016 tarihinde Türkiye Büyük Millet Meclisi Genel Kurulu’nda kabul edilerek 7 Nisan 2016 tarihinde Resmî Gazete’de yayınlandı ve bu tarih itibariyle yürürlüğe girdi. Kanun, 7 Nisan 2016’dan önce kişilerin rızaları alınarak toplanan kişisel veriler için iki yıllık bir geçiş sürecini öngörmektedir. 7 Nisan 2018 tarihinde geçiş süreci sona ererek tüm işlenen kişisel verilerin Kanuna tam uygun hale gelmesi gerekmektedir.

3. Kişisel Verileri Koruma Kanununa uyum için belirlenmiş son bir tarih var mı?

7 Nisan 2018’e kadar tüm işlenen kişisel verilerin Kanuna tam uygun hale gelmesi gerekmektedir.

4. Türkiye’ye özgü bir yasa mı? Dünyada örnekleri mevcut mu?

Avrupa Birliği’nde ve diğer birçok ülkede kişisel verilerin nasıl korunacağını belirleyen hukuki düzenlemeler yer almaktadır . Türkiye’de yürürlüğe giren Kişisel Verileri Koruma Kanun’u bunlara eş bir düzenlemedir. Türkiye, kişisel verilere yönelik bir yasa hazırlamakta oldukça geç kalmıştır ve Avrupa Birliği’nin 95/46/AT sayılı Yönergesi bu bakımdan temel oluşturmuştur. Avrupa Birliği’nde veri korumaya ilişkin detaylı düzenlemelerin yer aldığı Genel Veri Koruma Tüzüğü (GDPR) ise 24 Mayıs 2016 tarihinde yayınlanarak yürürlüğe girmiştir ve Kanun’a tam uyumluluk için Mayıs 2018 tarihi belirlenmiştir.

5. Şirket olarak yurtdışında faaliyet gösteriyoruz ve/veya yurtdışında müşterilerimiz var. Uymak zorunda olduğumuz benzer bir kanun var mı?

Birçok ülke hukuki düzenlemeler yoluyla kişisel verileri koruma altına almaktadır. Özellikle de Avrupa Birliği’ne ve AB vatandaşlarına yönelik faaliyetler yürütmekteyseniz veya bu ülkelerde faaliyet göstermekteyseniz GDPR-Genel Veri Koruma Tüzüğü’ne uyum sağlamanız gerekmektedir.

6. Kişisel Verileri Koruma Kanunun kapsamı nedir?

Kanun, kişisel verileri işleyen bütün gerçek ve tüzel kişileri kapsamına almaktadır

7. Kişisel veri nedir?

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Örneğin, isim, soyisim, T.C. Kimlik Numarası, Pasaport Numarası, e-posta adresi, telefon numarası,IP adresi vb. bilgilerin yanı sıra özgeçmiş, fotoğraflar, harcama tercihleri, medeni durum, grup üyelikleri,hobiler gibi kişiyle ilgili bilgiler de kişisel veridir. Bir bilginin sizin kişisel veriniz kabul edilebilmesi için o bilginin sizinle bağının kurulabilmesi, yani sizinle ilgili olduğunun tespit ediliyor olması gerekir.

8. Özel nitelikli kişisel veri nedir?

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak sayılmaktadır.

9. Tüzel kişilere ait veriler kişisel veri midir?

Tüzel kişilere ilişkin bilgiler, gerçek kişilerle ilişkilendirilmedikleri sürece kişisel veri kapsamına girmemektedir.

10. Veri işleme ne demektir?

Veriler üzerinde gerçekleştirilen her türlü işleme denir. Kişisel verilerin; elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi sınıflandırılması veya kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak kabul edilmektedir. Bu tanımdan yola çıkarak veri işleme faaliyetleri için kısaca kişisel bilgiler ile ilgili yapılacak her türlü işlem denilebilir. Örneğin bir kişinin adının, soyadının, veya email adresinin belirli bir websitesi kaydı yapılırken veya otel rezervasyonu sırasında alınması ve saklanması bir veri işleme faaliyetidir.

11. Veri kayıt sistemi ne demektir?

Veri kayıt sistemi, elektronik veya fiziki ortamlarda oluşturulan ve kişisel verilerin içinde depolanarak belirli kriterlere göre işlendiği sistemdir. Örneğin, bilgisayarınızda kişisel verileri kaydettiğiniz Excel dosyası veya bir hastanenin hasta bilgilerini kaydettiği veri tabanı; veri kayıt sistemlerine örnek olarak gösterilebilir.

12. Veri sorumlusu kimdir?

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Örneğin, kişisel verilerinizi toplayan ve belirlediği amaçlar doğrultusunda kişisel verilerinizi işleyen bir internet sitesi veri sorumlusudur. Aynı şekilde çalışanların kişisel verilerini toplayan işveren de veri sorumlusudur.

13. Veri işleyen kimdir?

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Örneğin, muhasebe hizmeti alınan muhasebe şirketleri veya bulut bilişim hizmet sağlayıcıları birer veri işleyendir.

14. Aynı anda hem veri sorumlusu hem de veri işleyen olunabilir mi?

Veri sorumlusu ve veri işleyen sıfatlarının aynı gerçek veya tüzel kişide nitelendirilmesi mümkündür. Veri sorumlusu aynı zamanda veri işleyen konumunda olabilir.

15. İlgili kişi kimdir?

Kişisel verisi işlenen gerçek kişidir.

16. İşleme amacı ne demektir?

Kişisel verilerin hangi sebeple işleneceğini ortaya koymak için veri sorumlusu tarafından saptanan amaçtır. Belirli, açık ve meşru nitelikte olması gerekir.

17. Kişisel verilerin işlenmesinde uyulacak genel ilkeler nelerdir?

Kişisel verilerin; hukuka ve dürüstlük kurallarına uygun olarak ve belirli, açık ve meşru amaçlar için işlenmesi; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, doğru ve gerektiğinde güncel olması ve ilgili mevzuatta belirlenen veya işlendikleri amacın öngördüğü süre kadar saklanması gereklidir.

18. Kişisel veriler hangi koşullarda işlenebilir?

Kişisel veriler, kanunda belirtilen istisnalar dışında, ilgili kişinin açık rızası alınarak işlenebilir. (Bakınız: soru 19-Açık rıza ne demektir? )

19. Açık rıza ne demektir?

Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelmektedir. Örneğin, bir internet sitesi tarafından, sitedeki diğer üyelerle iletişim kurabilmemizi sağlamak amacıyla (belirli bir konuya ilişkin), verilerin paylaşımı sırasında bu amaca ve işlemeye dair bilgilendirmede bulunularak (bilgilendirmeye dayanan) ve herhangi bir aldatma, korkutma, baskı unsuru (örneğin, verilerini paylaşmayan site üyelerinden üyelik aidatı alınacağı kaydı) olmaksızın alınan bir rıza (özgür iradeyle açıklanan rıza) açık rıza olarak değerlendirilecektir.

20. Hangi aşamada açık rıza almalıyım?

Kişisel verilerin işlenmesinden önce veya en geç işlenmesi sırasında açık rıza almanız gerekmektedir.

21. Kişisel verileri işleme amacım değişirse tekrar rıza almalı mıyım?

İlgili kişi tarafından verilen açık rıza yalnızca ilk işleme öncesinde belirtilen amaçlar için verilmiş sayılmaktadır. Yeni amaçlar kapsamında gerçekleştirilecek işlemeler için açık rızanın tekrardan alınması gerekmektedir.

22. Açık rıza aranmaksızın kişisel verilerin işlenebileceği istisnai durumlar var mıdır?

Bu durumlar Kişisel Verileri Koruma Kanunu’nda açıkça düzenlenmektedir: Kanunlarda açıkça öngörülmesi; Rızasını açıklayamayacak durumdaki kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; İlgili kişinin kendisi tarafından alenileştirilmiş olması; Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması; İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde kişisel veriler açık rıza alınmadan da işlenebilir.

23. Açık rıza alınmazsa sonuçları ne olur?

Kişisel verilerin açık rıza alınmaksızın işlenmesi halinde, Türk Ceza Kanunu gereği kişisel verilerin kaydedilmesi suçu, KVKK gereği ilgili kişinin uğradığı zararın tazmini gibi sonuçlar söz konusu olacaktır. Şirketin uğrayacağı prestij kaybı ise bu eylemin sonuçlarından bir başkası olacaktır.

24. Başka firmaları veri işleme konusunda yetkilendirebilir miyim?

Veri sorumlusu konumunda iseniz başka firmaları veri işleme konusunda yetkilendirmeniz mümkündür ancak bu yetkilendirme, veri sorumlusu sorumluluğunun başka firmalara devredilmesi şeklinde  yorumlanamaz, bu durumda kişisel verilerin korunmasından veri sorumlusu ve veri işleyen müştereken sorumludur.

25. Özel nitelikli kişisel verileri işlerken nelere dikkat etmeliyim? Bu veriler bakımından da açık rızanın istisnaları bulunuyor mu?

Özel nitelikli kişisel veriler açık rıza olmaksızın işlenemez. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası olmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

26. Özel nitelikli kişisel veriler bakımından öngörülen ek yükümlülükler var mıdır?

Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. Bu önlemler henüz ilan edilmemiştir.

27. Kanunun kapsamı dışında kalan kişisel veri işleme faaliyetleri nelerdir?

Üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında veri işlenmesi; Anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla yapılan veri işleme faaliyetleri; Sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında yapılan veri işleme faaliyetleri; Milli savunma, milli güvenlik, kamu güvenliği, kamu düzeni veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında yapılan veri işleme faaliyetleri; Soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından yapılacak veri işleme faaliyetleri ise   bu Kanunun kapsamı dışındadır.

28. Kişisel verileri aktarmak ne demektir?

Kişisel verilerin veri sorumlusu ve/veya veri işleyen tarafından 3. kişilere aktarılmasını ifade etmektedir. 3. Kişiler; yurtiçi veya yurtdışında yer alan iştirakler, iş ortakları, tedarikçiler, servis sağlayıcılar, altyapı sağlayıcılar vb. tüm gerçek veya tüzel kişileri kapsamaktadır.

29. Yurt içinde kişisel veri aktarımı hangi koşullarda gerçekleşebilir?

Kişisel veriler, ilgili kişinin açık rızası olmadan üçüncü kişilere aktarılamaz. Açık rıza aranmaksızın kişisel verilerin işlenebileceği istisnai durumlar, veri aktarımı için de aynıdır.(Bakınız soru 22)

30. Yurt dışında kişisel veri aktarımı hangi koşullarda gerçekleşebilir?

Kişisel veriler, ilgili kişinin açık rızası olmadan üçüncü kişilere aktarılamaz. Açık rıza aranmaksızın kişisel verilerin işlenebileceği istisnai durumlar, veri aktarımı için de aynıdır. .(Bakınız soru 22) Bununla birlikte, yurt dışına veri aktarımı söz konusu olduğunda, kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması halinde veya böyle bir korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla, açık rıza aranmaksızın aktarım mümkün olabilecektir.

31. Yurt içi ve yurt dışına kişisel veri aktarımı koşulları arasındaki farklılıklar nedir?

Yurt içi ve yurt dışına kişisel veri aktarımı arasında öngörülen koşullar bakımından farklılıklar bulunmaktadır. Her iki aktarım için de ilgili kişinin açık rızası, Kanunda öngörülen istisnai hallerden birinin varlığı veya diğer kanunlarda yer alan hükümlerin varlığı halinde aktarım mümkündür.   Bununla birlikte yurt dışına kişisel veri aktarımında, kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması halinde veya böyle bir korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla, açık rıza aranmaksızın aktarım mümkün olabilecektir.

32. Yeterli koruma bulunan ülke ne demektir?

Yeterli koruma bulunan ülke, Kurul tarafından ilan edilecek olan ve kişisel verilerin korunması anlamında mevzuatı uygun görülen ülkeleri ifade eden bir kavramdır.

33. Aktarım yapacağım ülke, yeterli koruma bulunan ülke değilse ne yapmalıyım?

Türkiye’deki ve ilgili yabancı ülkedeki veri sorumluları, yeterli korumayı yazılı olarak taahhüt etmeli ve ayrıca Kuruldan da izin alınmalıdır.

34. Bulut (cloud) bilişim hizmet sağlayıcı kullanıyorsam verileri yurt dışına aktarmış olur muyum?

Veri sorumlusu, kişisel verilerin işlenmesiyle alakalı olarak Kanunda belirtilen ilke, usul ve esaslara uygun hareket etmekle; aydınlatma ve veri güvenliğine ilişkin sorumluluklarını yerine getirmekle; veri sorumluları siciline kayıt olmakla ve ilgili kişilerin kişisel verilerine ilişkin haklarından kaynaklanacak taleplerini yerine getirmekle yükümlüdür.

35. Veri sorumlusunun yükümlülükleri nelerdir?

Veri sorumlusu, kişisel verilerin işlenmesiyle alakalı olarak Kanunda belirtilen ilke, usul ve esaslara uygun hareket etmekle; aydınlatma ve veri güvenliğine ilişkin sorumluluklarını yerine getirmekle; veri sorumluları siciline kayıt olmakla ve ilgili kişilerin kişisel verilerine ilişkin haklarından kaynaklanacak taleplerini yerine getirmekle yükümlüdür.

36. Veri Sorumlusunun aydınlatma yükümlülüğü nedir?

Kanun, aydınlatma yükümlülüğü adı altında bazı görevler öngörmektedir. Veri sorumlusu veya veri sorumlusunun yetkilendirdiği kişi, kişisel verileri toplama sırasında ilgili kişiye; veri sorumlusu olarak kendi ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçlarla işleneceği, işlenen kişisel verilerin kimlere hangi amaçlarla aktarılacağı, kişisel veri toplamanın yöntemi ve hukuki sebebi; ilgili kişinin Kişisel Verileri Koruma Kanunu kapsamında sahip olduğu haklar konusunda bilgi verip aydınlatmakla yükümlüdür.

37. Veri Sorumlusu olarak aydınlatma yükümlülüğümü nasıl yerine getirmeliyim?

Kişisel verilerin işlenmesinden önce veya işlenmesi esnasında İlgili Kişiye bildirim yaparak aydınlatma yükümlülüğü yerine getirilebilir. Bu bildirimler kısa mesaj, elektronik posta veya internet sitesinde ilan gibi çeşitli yollarla olabilir.

38. Veri Sorumlusu olarak veri güvenliği yükümlülüğümü nasıl yerine getirmeliyim?

Veri sorumlusu, verileri muhafaza etmek, verilere hukuka aykırı olarak erişilmesini ve verilerin hukuka aykırı olarak işlenmesini önlemek için her türlü idari ve teknik tedbiri almak ve bunların uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak/yaptırmak ile yükümlüdür. Örneklendirecek olursak; – Veri sorumlusu öncelikle kişisel verilerin hukuka aykırı işlenmesini engellemek durumundadır. Örneğin açık rızasının gerektiği hallerde bu açık rızanın varlığını tespit etmek veri sorumlusunun görevidir. – Veri sorumlusu, işlenen kişisel verilerin Kanuna aykırı şekilde erişilmesini önlemekten sorumludur. Bu yükümlülük, uygun fiziksel ve siber güvenlik önlemlerinin alınması anlamına gelmektedir. – Veri sorumlusu, kişisel verilerin muhafazasından sorumludur. Örnek olarak; veri tabanının çalışması, bakımı, onarımı ve kişisel verilen bu veri tabanında hukuka uygun olarak saklanması, veri sorumlusu sorumluluğundadır. Veri sorumlusu, yukarıda sayılan görevlerin her birini yapmak için gerekli bütün önlemleri almak için her türlü teknik ve idari işlemi yapmak zorunda kılınmıştır.

39. İdari ve teknik tedbirler ne demektir?

Veri güvenliğini sağlamak amacıyla, kurumun organizasyon yapısı ve iş yapış süreçlerinden teknolojik altyapıya varana kadar alınabilecek bir dizi önlemi ifade etmektedir. Kişisel verilere erişim yetkisine sahip kişilerin belirlenip sınırlandırılması bir idari önlemken, bu erişimin teknik araçlarla kontrol altında tutulması ve yetkisiz erişimin önlenmesi teknik önlemlere örnek olarak gösterilebilir.

40. Veri işleyen de veri güvenliğinden sorumlu mudur?

Veri işleyen ve veri sorumlusu, veri güvenliğini sağlayacak teknik ve idari tedbirlerin alınması hususunda müştereken sorumludur.

41. Kişisel verilerin hukuka aykırı olarak işlenmesi veya bu verilere hukuka aykırı olarak erişilmesi durumunda sorumlu kimdir?

Veri Sorumlusunun bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmesi gerekmektedir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

42. Kişisel veriler kanuni olmayan yollar ile başkalarının eline geçerse ne yapılması gerekiyor?

Veri Sorumlusunun bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmesi gerekmektedir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

43. Veri Sorumlusu, şirket içi denetim yaptırmalı mıdır?

Veri sorumlusu, KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

44. Veri Sorumluları Sicili’ne nasıl kayıt olabilirim?

Veri sorumluları, Veri Sorumluları Sicili Hakkında Yönetmelik’te sayılan bilgileri VERBİS isimli bilişim sistemine yüklemek suretiyle kayıt yaptırabilirler.

45. Veri Sorumluları Sicili’ne kayıt için hangi bilgileri hazır etmeliyim?

Sicile yapılacak kayıt başvurusu aşağıdaki bilgileri içermelidir:   a) Veri sorumlusu ve varsa veri sorumlusu temsilcisinin kimlik ve adres bilgileri kapsamında; Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler, b) Kişisel verilerin hangi amaçla işleneceği, c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, d) Yabancı ülkelere aktarımı öngörülen kişisel veriler, e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler, f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

46. Veri Sorumluları Sicili’ne ne zaman kayıt olmalıyım?

Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır.

47. Veri sorumluları sicile kayıt için bir ücret ödeyecek miyim?

Veri sorumluları, Sicile ilk kayıt sırasında ve Sicilde kayıtlı olarak kaldıkları sürece her yıl sicil ücreti ödemekle yükümlüdür. Sicil ücreti henüz Kurul tarafından ilan edilmemiştir.

48. Kişisel verileri ne kadar süre ile saklamam gerekir?

Kişisel veriler, ilgili mevzuat gereğince belirlenen ve yalnızca işlenme amacının gerektirdiği süre kadar saklanmalıdır. İşlenme amacı kalmadığında kişisel verilerin silinmesi gerekir ancak ilgili kanun ve mevzuatlarda veri saklama yükümlülüğü ile ilgili belirtilen bir süre varsa, bu süreye uygun olarak verinin saklanması gerekmektedir. Örneğin, cep telefonunuzla yaptığınız telefon görüşmeleri ya da attığınız mesajlar sizin kişisel verinizdir. Ancak Elektronik Haberleşme Kanunu hizmet aldığınız şirkete görüşme bilgilerinizi 2 yıl süre ile saklama yükümlülüğü getirmektedir. Bu durumda abonelikten ayrılsanız bile bu bilgilerin silinmesini talep edemezsiniz.

49. Kişisel verileri silme yükümlülüğüm var mıdır?

Anonimleştirme, verinin başka verilerle eşleştirilerek belirli bir kişiyle ilişkilendirilemeyecek hale getirilmesidir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği söylenemez. Kısacası, “kişisel veri” kavramından “kişisel” unsurun ayıklanmasıdır.

50. Anonimleştirmek ne demektir?

Anonimleştirme, verinin başka verilerle eşleştirilerek belirli bir kişiyle ilişkilendirilemeyecek hale getirilmesidir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği söylenemez. Kısacası, “kişisel veri” kavramından “kişisel” unsurun ayıklanmasıdır.

51. Kişisel verileri silmek yerine anonimleştirerek saklamak Kanuna aykırı mıdır?

Kişisel verilerin anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi mümkündür ve Kanun hükümlerinin uygulanmayacağı istisnai hallerden birisidir.

52. Kişisel verilerin silinmemesi suç mudur?

Yok edilmesi gereken kişisel verilerin yok edilmemesi halinde, bu verileri sistem içinde yok etmekle yükümlü olanlara yönelik olarak, TCK m. 138 uyarınca 1-2 yıl hapis cezası söz konusu olabilecektir.

53. İlgili kişinin silme, yok etme veya anonimleştirme taleplerini hangi koşullarda geri çevirebilirim?

İşlenme amacının henüz ortadan kalkmadığı veya kanunen ilgili verileri saklama yükümlülüğünün söz konusu olduğu durumlarda ilgili kişinin silme, yok etme veya anonimleştirme talepleri reddedilebilir. Amaç ortadan kalkmamış olsa da, işlemenin açık rızaya dayandığı durumlarda, rızanın geri çekilmesi durumunda söz konusu taleplerin reddi mümkün olmayacaktır.

54. Kişisel veriler ile ilgili kişilerin hakları nelerdir?

Cevap: İlgili kişini, kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

55. İlgili kişilerin tüm taleplerini kabul etmek zorunda mıyım?

Hayır. Veri sorumlusu, gerekçesini açıklayarak, ilgili kişinin taleplerini reddedebilir. Söz konusu taleplerin reddedilmesi halinde ilgili kişi, cevabı öğrendiği tarihten itibaren 30 (otuz) ve her durumda başvuru tarihinden itibaren 60 (altmış) gün içinde Kurula şikâyette bulunabilir.

56. İlgili kişinin talepleri bakımından şirket içi bir iş akışı belirlemeli miyim?

Başvuruların mümkün olan en kısa sürede ve en verimli biçimde yanıtlanabilmesi ve taleplerin karşılanabilmesi için şirket içi süreçlerin de buna göre oluşturulması gerekmektedir. Veri sorumlusu, ilgili kişinin taleplerini kolaylıkla iletebileceği ve söz konusu taleplerin en kısa sürede Kanunda belirlenen usul ve esaslar çerçevesinde değerlendirilerek cevaplandırılacağı sistemler benimsemelidir.

57. İlgili kişinin talebini nasıl ve hangi süre içerisinde cevaplamalıyım?

İlgili kişinin talebi, niteliğine göre en kısa sürede ve en çok 30 (otuz) gün içinde, yazılı veya elektronik ortamda cevaplanmalıdır.

58. İlgili kişinin taleplerinin gerekçeli olarak cevaplanması ne demektir?

Mevzuatta yer alan düzenlemeler kapsamında talebin neden reddedildiği ve buna dair hukuki gerekçelerin belirtilmesi anlamına gelmektedir.

59. İlgili kişinin taleplerini değerlendirmek için herhangi bir ücret talep edebilir miyim?

İlgili kişinin talebi ücretsiz olarak veya işlemin ayrıca bir maliyet gerektirmesi halinde Kurulun belirleyeceği tarife üzerinden saptanacak bir ücret karşılığında cevaplandırılır.

60. İlgili kişi, talepleri ile şirketime başvurmadan, doğrudan Kurul’a şikâyette bulunabilir mi?

Hayır. Veri sorumlusuna başvuru yoluna gidilmeden Kurula şikâyet yoluna başvurulamaz.

61. Kurul şirketimden bilgi talep edebilir mi?

Kurul, Şirketten bilgi talep edebilir. Veri sorumlusu, devlet sırrı niteliğindeki bilgi ve belgeler hariç, Kurulun inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri 15 (on beş) gün içerisinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

62. Şirketimi kişisel veriler ile ilgili olarak hangi kurum veya kuruluşlar denetleyecek?

Şirketleri denetleme görevi Kişisel Verileri Koruma Kurumu’na verilmiştir.

63. Kanunda öngörülen yükümlülüklere uyulmaması halinde hangi yaptırımlar uygulanacak?

Kanunda öngörülmüş olan idari para cezaları ve Türk Ceza Kanunu’nda düzenlenen bazı hapis cezaları söz konusudur. Hapis Cezaları Kişisel verilerin hukuka aykırı olarak kaydedilmesi durumunda 1-3 yıl Kişisel verilerin hukuka aykırı olarak verilmesi, yayılması, ele geçirilmesi durumunda 2-4 yıl Yok edilmesi gereken verilerin yok edilmemesi halinde 1-2 yıl Özel nitelikli kişisel verilerin hukuka aykırı olarak kaydedilmesi durumunda 1.5 – 4.5 yıl   İdari Para Cezaları İlgili kişiyi aydınlatma yükümlülüğünün yerine getirilmemesi durumunda ₺5.000 – ₺100.000 Sicile kayıt ve bildirim yapılmaması durumunda ₺20.000 – ₺1.000.000 Veri güvenliliği yükümlülüklerine aykırılık durumunda ₺15.000 – ₺1.000.000 Kişisel Verileri Koruma Kurulu kararlarına aykırılık halinde ₺25.000 – ₺1.000.000

64. Şirketimiz zaten uzun süredir veri işliyor. Kanun çıkmadan önce işlenen veriler ne olacak?

Cevap: Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayım tarihinden itibaren iki yıl içerisinde KVKK hükümlerine uygun hale getirilmek zorundadır. Yani Nisan 2018’e kadar geçiş ve uyum sürecini tamamlamalısınız. KVKK hükümlerine aykırı olduğunu tespit ettiğiniz içerikleri ise derhal silmeli, yok etmeli veya anonim hale getirmelisiniz.  KVKK’nın yayımı tarihinden önce hukuka uygun olarak alınmış rızalar ise, bir yıl içinde aksine bir irade beyanında bulunulmadıkça, KVKK’ya uygun kabul edilecektir.

65. Veri işleme süreçlerimi kanuna uygun hale getirmek için ne yapmam gerekiyor?

Cevap: İşlemekte olduğunuz kişisel verilerin yaşam döngülerini, yani şirketinizin kişisel veriyi elde ettiği andan, elinden çıkardığı ana kadar olan süreci ortaya çıkarmanız ve bu döngüyü Kanunun öngördüğü düzenlemelere uyumlu hale getirmeniz gerekmektedir. Şirketinizdeki mevcut işleyişe eklenecek her sürecin de bu kapsamda oluşturulması ve kişisel verilerin korunmasının bir şirket politikası haline getirilmesi elzemdir.

Sorunuzu Yazın!