KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA DOĞRU BİLİNEN YANLIŞLAR 26 Mayıs 2020

Kişisel Verileri Koruma Kurumu; hazırlamış olduğu  “6998 sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar” adlı kitapçığı 12.05.2020 tarihinde internet sayfasında yayınlamıştır. İlgili kitapçık vasıtasıyla birçok önemli husus aydınlatılmıştır. İlgili bu yazımızda yayınlanan kitapçıktakş önemli noktaları ve konuları bir araya getirdik ve sizlerle paylaşmak istedik.

Kurum tarafından detaylıca cevaplandırılmış bazı sorulara başlıklar altında dikkatinizi çekmek isteriz.

1) KİŞİSEL VERİLER VE VERİ İŞLEME FAALİYETİ

a) Anonim hale getirilmiş bir veri kişisel veri midir?
Anonim hale getirilmiş veriler kişisel veri niteliğini kaybetmektedir. Kanunda “anonim hale getirme”; kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanmıştır. Anonim hale getirilmiş veri, artık herhangi bir kişiyle ilişkili değildir ve o kişiyi belirli veya belirlenebilir kılmaz. Dolayısıyla anonim hale getirilmiş bir veri artık kişisel veri değildir.

b) Bir veri kayıt sistemi aracılığıyla işlenen kişisel veriler Kanun kapsamında mıdır?
Bir veri kayıt sistemine bağlı olarak işlenen kişisel veriler, 6698 sayılı Kanun kapsamındadır. Kanunda “veri kayıt sistemi”; kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi şeklinde tanımlanmıştır. Dolayısıyla kişisel veriler; fihrist, numara, ad - soyad, alfabe, kategori, sıralama gibi belirli kriterlere göre işleniyorsa Kanun kapsamında olacaktır.

c) Bilgisayarda bazı kişisel veriler sadece depolama amacıyla dosya halinde tutulmakta ise, bu durumda kişisel veri işlenmiş sayılır mı?
Sadece depolama amacıyla dosya halinde bilgisayarda kişisel verilerin tutulması da kişisel veri işleme kapsamındadır. Zira, 6698 sayılı Kanunun 3. maddesinde kişisel verilerin işlenmesi; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır.

d) Kişisel veriler ilgili kişinin kendisi tarafından alenileştirilmiş ise veri sorumlusu bu kişisel verileri herhangi bir amaçla işleyebilir mi?
Veri sorumlusunca, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerinin işlenebilmesi için, verilerin ait olduğu kişi tarafından hangi amaçla alenileştirildiğini (alenileştirme iradesini) değerlendirmek gerekir. İlgili kişinin kendisi tarafından kişisel verilerinin alenileştirilmesi, bu verilerin isteyen herkes tarafından alenileştirme amacından farklı bir amaçla işlenebileceği anlamına gelmemektedir.

2) VERİ SORUMLULARI

a) Veri sorumlusu, Kanun ile verilen görevleri yerine getirmek üzere atanan bir gerçek kişi midir?

Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Buna göre veri sorumlusu ifadesi ile, kişisel veri işleme faaliyetini gerçekleştiren bir görevli, çalışan, yönetici veya bu faaliyetten sorumlu olan bir gerçek kişi kastedilmemektedir.

b) Bir şirket, veri sorumlusu olarak kimi belirlemelidir?

Bir tüzel kişinin (örneğin şirket) bir “veri sorumlusu” belirlemesi gibi bir durum söz konusu değildir. Zira tüzel kişilikte veri sorumlusu, tüzel kişiliğin bizzat kendisidir. Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır.

c) Bir gerçek veya tüzel kişi hem veri sorumlusu hem de veri işleyen olabilir mi?

Bir gerçek veya tüzel kişi hem veri sorumlusu hem de veri işleyen olabilir. Veri sorumlusu ve veri işleyen sıfatı, veri işleme faaliyetinin niteliğine göre ilgili tarafı tanımlamaktadır. Örneğin, bir çağrı merkezi şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından veri işleyen olarak kabul edilecektir.

3) AÇIK RIZA ALINMASI

a) Kişisel veriler sadece ilgili kişilerden açık rıza alınması halinde mi işlenebilir?

Açık rıza, Kanundaki kişisel veri işleme şartlarından biri olmakla birlikte veri işleme faaliyetine hukukilik kazandıran tek unsur değildir. Kanunun 5. ve 6. maddelerinde kişisel veri işleme faaliyeti için açık rıza dışında da şartlar öngörülmüş olup bu şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.

b) Açık rıza dışındaki kişisel veri işleme şartlarından birine dayalı olarak kişisel veri işlenmesi halinde ayrıca ilgili kişiden açık rıza da almak mümkün müdür?

Açık rıza dışındaki kişisel veri işleme şartlarından birine dayalı olarak kişisel veri işlenmesi halinde ilgili kişiden ayrıca açık rıza alınmamalıdır. Açık rıza haricindeki diğer işleme şartlarından herhangi biri mevcut olmasına rağmen ilgili kişiden açık rıza alma yoluna gidilmesi ilgili kişilerin yanıltılması olarak değerlendirilebilir. Bu durumda da Kanunun 4. maddesindeki temel ilkelerden “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılıktan bahsedebiliriz.

c) Açık rızanın alınması herhangi bir şekle tabi midir?

Kanunda açık rızanın alınması hususunda herhangi bir şekil şartı öngörülmemiştir. Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır. Dolayısıyla, açık rıza sözlü, yazılı, elektronik ortam vb. yöntemlerle alınabilir. Açık rızanın alındığı konusundaki ispat yükümlülüğü de veri sorumlusuna aittir.

d) Açık rıza metinlerinin ne kadar süre saklanması gerekmektedir?

İlgili mevzuatta bu konu hakkında herhangi bir süre ya da şekil şartı öngörülmemiştir. Açık rızanın hukuka uygun şekilde alınıp alınmadığının ispatı veri sorumlusuna ait olduğu için, açık rıza metninin herhangi bir mağduriyete sebep olmayacak şekilde ve sürede saklanması veri sorumlusu için önemlidir. Dolayısıyla da açık rıza metinlerini ne kadar süre saklanacağını veri sorumlusu makul bir süre olmak koşuluyla kendisi belirlemelidir.

c) Müşterilere yönelik aydınlatma metni ile açık rıza metni aynı başlık altında sunulabilir mi?

Kanunun 5. ve 6. maddesinde sayılan açık rıza şartı haricindeki işleme şartlarından herhangi birine dayalı olarak kişisel veri işleniyorsa sadece aydınlatma yükümlülüğü yerine getirilmeli, ilgili kişilere ayrıca açık rıza metni sunulmamalıdır.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5. maddesine göre “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi” gerekmektedir.

4) AYDINLATMA YÜKÜMLÜLÜĞÜ

a) “Kanunlarda açıkça öngörülmesi” şartına dayalı olarak kişisel veri işleniyorsa yine de aydınlatma yükümlülüğü yerine getirilmeli mi?

Kişisel veriler hangi işleme şartına dayanarak işlenirse işlensin, yine de aydınlatma yükümlülüğü yerine getirilmelidir. “Kanunlarda açıkça öngörülmesi”, Kanunun 5. maddesinde sayılan kişisel veri işleme şartlarından birisidir. Aydınlatma yükümlülüğü ise Kanunun 10. maddesinde açıklanan ve işleme şartı ne olursa olsun tüm kişisel veri işleme faaliyetleri kapsamında yerine getirilmesi gereken bir yükümlülüktür.

b) Aydınlatma metinlerinde saklama sürelerini belirtmek gerekir mi?

Aydınlatma metinlerinde saklama süresinin belirtilmesi zorunlu olmamakla birlikte, isteğe bağlı olarak belirtilebilir. Kanunun 10. maddesine göre veri sorumlusu, aydınlatma yükümlülüğü kapsamında ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11. maddede sayılan ilgili kişi hakları konusunda bilgi vermekle yükümlüdür.

c) Katmanlı aydınlatma nedir, aydınlatma yükümlülüğü kapsamında “katmanlı aydınlatma” nasıl yapılmalıdır?

Katmanlı bilgilendirme, kişisel verilerin elde edilmesi sırasında ilgili kişiye kişisel verilerinin elde    edildiği konusunda kısa, anlaşılabilir, açık, sade bir yöntemle bilgilendirme yapılması ve Kanunun 10. Maddesinde yer alan aydınlatmaya ilişkin diğer hususlar hakkında bilgi edinilmesi için, ilgili kişinin bu kısa bilgilendirmeden sonra erişerek ulaşabileceği bir ortama yönlendirilmesi olarak tanımlanabilmektedir. Örneğin, çağrı merkezi hizmeti kapsamında çağrı merkezini arayan kişilere, bu arama esnasında işlenen verilerle ilgili bilgilendirmeyi dinlemek için bir tuşa basılmasının istenmesi, belirtilen tuşa basıldığında aydınlatma metninin dinlenmesi de katmanlı aydınlatma olarak değerlendirilebilir.

5) ÖZEL NİTELİKLİ KİŞİSEL VERİLER

a) Kişisel sağlık verileri, Kanunun 5. Maddesinde sayılan işleme şartlarına göre işlenebilir mi?

Kişisel sağlık verileri, Kanunun 5. maddesinde sayılan işleme şartlarına göre işlenemez. Kişisel sağlık verileri, Kanunun 6. maddesinde sınırlı sayma yöntemiyle belirlenen özel nitelikli kişisel verilerdendir. Dolayısıyla, kişisel sağlık verilerinin işlenebilmesi için, özel nitelikli kişisel verilerin işlenme şartlarının belirlendiği bu madde hükmü dikkate alınmalıdır.

b) Kişisel sağlık verileri veri sorumlularınca meşru menfaat kapsamında işlenebilir mi?

Kişisel sağlık verileri, veri sorumlusunun meşru menfaati kapsamında işlenemez. Sağlık verilerinin işlenebilmesi için kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanını planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleniyor olması veya ilgili kişinin açık rızasının alınması gerekmektedir. Diğer bir deyişle açık rıza haricinde, sadece belirtilen amaçlarla ve belirtilen kişi veya kuruluşlarca işlenebilmesi mümkündür.

6) VERİ AKTARIMI

a) İlgili kişinin açık rızası olsa da yurt dışına veri aktarımında taahhütname gerekir mi?

İlgili kişinin açık rızasının olması durumunda taahhütname imzalanmasına gerek yoktur, yurtdışına aktarım yapılabilir. Açık rıza olmaması durumundaysa, Kanunun 9. maddesi hükümlerine göre aktarım yapılmalıdır.

b) Kurul’un veri işlenmesini veya verinin yurt dışına aktarımını durdurma yetkisi var mı?

Kanunun 15. maddesine göre Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

7) SORUMLULUK HALLERİ VE İHLAL BAŞVURUSU

a) Bir şirket, imzaladığı bir sözleşme kapsamında veri işleyenden hizmet almaktadır. Veri işleyen tarafından bir ihlal gerçekleştirilmesi halinde Kanuna göre sorumluluk kimde olacaktır?

Kanunun 12. maddesine göre; veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Buna göre, veri işleme faaliyeti kapsamında bir ihlal olması halinde, bu ihlalin veri sorumlusu veya veri işleyen tarafından gerçekleştirilip gerçekleştirilmediğine bakılmaksızın, Kanun sorumluluğu veri sorumlusuna yüklemiştir. Dolayısıyla Kanun, ihlalden sorumlu olarak her zaman veri sorumlusunu görmektedir. Ancak veri sorumlusunun, bu ihlalin veri işleyen tarafından gerçekleştirildiğini tespit etmesi durumunda, aralarındaki sözleşme gereği ihlali veri işleyeni ilgilendiren kısmı ile ilgili olarak veri işleyene rücu edebilmesi mümkündür.

b) Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda veri sorumlusu, bu durumu uygun gördüğü bir zaman diliminde Kurula bildirebilir mi?

Kurulun 2019/10 sayılı Kararına göre, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu, veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içerisinde “Kişisel Veri İhlal Bildirim Formu”nu kullanarak ihlali Kurula bildirmelidir.

c) Veri sorumlusuna başvurmadan doğrudan Kurula şikâyet yapılabilir mi?

Veri sorumlusuna başvurmadan doğrudan Kurula şikâyet yapılamamaktadır. Kanunun 13. ve 14. maddeleri gereği, ilgili kişinin Kurula şikâyet yoluna gidebilmesi için öncelikle veri sorumlusuna başvurması gerekmektedir. Buna göre, veri sorumlusuna başvurmak zorunlu, daha sonra Kurula şikâyet yoluna başvurmak ise isteğe bağlıdır. Dolayısıyla veri sorumlusuna başvuru yolu tüketilmeden Kurula şikâyet yoluna gidilemez.

8) İHLAL VE YAPTIRIMLAR

a) Kanun kapsamında yapılan incelemeler neticesinde suç unsuruna rastlanılması halinde nasıl bir yol izlenecektir?

Kanunda bu hususta özel bir düzenleme bulunmamakla birlikte, herhangi bir suç unsuruna rastlanılması halinde Türk Ceza Kanunu gereğince Kurum tarafından yetkili makamlara bildirimde bulunulacaktır.

b) Kanunda belirtilen idari para cezaları her yıl artırılıyor mu?

Söz konusu idari para cezası miktarları her takvim yılı başından itibaren geçerli olmak üzere, ilgili Resmi Gazete’de yayımlanan yeniden değerleme oranında artırılarak uygulanmaktadır.

c) Kurul tarafından düzenlenen idari para cezalarına itiraz edilebilir mi?

Kanunun 18. maddesi gereği Kurul tarafından düzenlenen idari para cezası yaptırım kararlarına karşı yargı yolu açıktır. 5326 sayılı Kabahatler Kanununun 27. maddesine göre idari para cezalarına karşı Sulh Ceza Hâkimliklerine itiraz edilebilir.

Diğer Haberler