


Diamond Vision kurumunuzu KVKK uyumlu hale getirmek için güvenilir partnerinizdir
KİŞİSEL VERİLERİN KORUNMASI NE DEMEKTİR ?
ÜLKEMİZDE KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUKUKİ DÜZENLEMELER NELERDİR?
ANAYASAL BİR HAK OLARAK KİŞİSEL VERİLERİN KORUNMASINI İSTEME HAKKININ KAPSAMI NEDİR?
KİŞİSEL VERİLERİN KORUNMASI KONUSUNDA KANUNİ BİR DÜZENLEMEYE NEDEN İHTİYAÇ DUYULMUŞTUR?
KİŞİSEL VERİLERİN KORUNMASI HAKKININ DAYANAĞI NEDİR? BU HAK, SINIRSIZ BİR HAK MIDIR?
KİŞİSEL VERİLERİN KORUNMASI KANUNU NE ZAMAN YÜRÜRLÜĞE GİRMİŞTİR?
KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN AMACI NEDİR?
KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN KAPSAMI NEDİR?
KANUNUN KAPSAMINA DAHİL OLMAYAN HALLER NELERDİR?
KANUNUN KAPSAMINA DAHİL OLMAYAN HALLER NELERDİR?
VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ NELERDİR ?
Veri sorumlusunun kişisel verilerin işlenmesi sırasında, yukarıda açıklanmış olan; ‘’hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme’’ ilkelerine uyma yükümlülüğü söz konusudur.
Veri sorumluları ile veri işleyenler öğrenmiş oldukları kişisel verileri kanuna aykırı olarak başkasına açıklayamayacak ve işleme amacı dışında kullanamayacaktır. Bu yükümlülükleri görevden ayrılmalarından sonra da devam edecektir. Söz konusu yükümlülüğün amacı, kişisel verilerin yalnızca işlendikleri belirli amaçla bağlantılı ve sınırlı olarak kullanılmalarını sağlamak ve de hukuka aykırı hareket edilmesini engellemektir.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirecektir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntem ile ilan edecektir.
Veri sorumlusunun kişisel veriler işlenirken, işleme faaliyetinin kanunda belirtilmiş olan işleme şartlarına uygun olmasını sağlama yükümlülüğü bulunmaktadır. Yukarıda da belirtildiği üzere, kişisel verilerin işlenmesinde kural olarak açık rıza aranmaktadır. Bazı istisna hallerin varlığı halinde söz konusu rıza olmaksızın veri işleme meşru olacaktır. Veri sorumlusunun bu noktada bu şartları sağlama yükümlülüğünden bahsedilebilecektir.
Veri sorumlusunun kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen ya da ilgili kişinin talebi üzerine silmesi, yok etmesi veya anonimleştirmesi zorunlu tutulmuştur.
Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliğini, Kişisel verilerin hangi amaçla işleneceğini, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini, Kişisel veri toplamanın yöntemi ve hukuki sebebi, İlgili kişinin haklarını bildirmekle yükümlü kılınmıştır.
Aydınlatma yükümlülüğü ile veri sorumlusunun ilgili kişinin bilgisi olmaksızın kişisel verilerinin işlenmesinin önüne geçilmesi ve taraflar arasındaki anlaşmazlıkların doğmasının engellenmesi amaçlanmıştır.
Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, söz konusu tedbirlerin alınması hususunda veri sorumlusu ile bu kişiler müştereken sorumlu olacaklardır. Söz konusu yükümlülük KVKK’nın 12. maddesinde ‘Veri Güvenliğine İlişkin Yükümlülükler’ başlığının altında düzenlenmiş olup korunmak istenen değer, ilgili kişinin kişisel verilerinin güvenliğidir.
KVKK’nın 12. maddesinin devamında veri sorumlusu, kendi kurum veya kuruluşunda Kanun’a uygun hareket edilmesini sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmakla yükümlü kılınmıştır.
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Kişisel Verileri Koruma Kurulunun gözetiminde tutulan Veri Sorumluları Siciline (‘’Sicil’’) kaydolmak zorundadır. Ancak, kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma gibi hallerde Kurul tarafından bu zorunluluğa istisna getirilebilecektir. Söz konusu objektif kriterleri belirleme yetkisi Kurula aittir.
Sicile başvuruda; veri sorumlusu ve varsa temsilcisinin kimlik bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcılar, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler ve kişisel verilerin işlendikleri amaç için gerekli olan azami süre yer almalıdır.
Kişisel verileri işlenen kişi, Kişisel Verilerin Korunması Kanununun uygulanmasıyla ilgili taleplerini veri sorumlusuna iletebilecektir. Veri sorumlusuna söz konusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içerisinde ücretsiz olarak sonuçlandırma yükümlülüğü getirilmiştir. Eğer bu işlem maliyet gerektiriyor ise Kurulun belirleyeceği tarifeye göre ücret alınabilecektir. Veri sorumlusu bu talebi kabul ya da reddedebilir. Reddetmesi halinde gerekçesini açıklaması gerekmektedir ve cevabı ilgili kişiye yazılı olarak veya elektronik ortamda bildirecektir. Talebin kabul edilmesi halinde veri sorumlusunun gereğini yerine getirmesi gerekmektedir.
CEZALAR VE KABAHATLER
KVKK’nın ‘’Suçlar’’ başlıklı 17. maddesi uyarınca TCK’nın 135 ila 140.’ıncı maddelerine atıfta bulunulmuştur. Bu maddelere göre suç teşkil eden ve cezaları aşağıdaki şekilde öngörülmüştür:
Kişisel verilerin kaydedilmesi – 1 yıldan 3 yıla
Özel nitelikli kişisel verilerin kaydedilmesi – 1.5 yıldan 4.5 yıla
Verileri hukuka aykırı olarak verme veya ele geçirme – 2 yıldan 4 yıla
Verileri yok etmeme – 1 yıldan 2 yıla
kadar hapis cezası verilir.
KVKK’nın ‘’ Kabahatler’’ başlıklı 18. maddesi uyarınca aşağıdaki yaptırımlar öngörülmüştür:
Aydınlatma yükümlülüğüne aykırılık halinde 5.000 ila 100.000 TL,
Veri güvenliğine ilişkin yükümlülüklere aykırılık halinde 15.000 ila 1.000.000 TL,
Kurul tarafından verilen kararları yerine getirmeme halinde 25.000 ila 1.000.000 TL,
Sicile kayıt ve bildirim yükümlülüğüne aykırı hareket etme halinde 20.000 ila 1.000.000 TL idari para cezası.
KVKK’nın 18. madde gerekçesinde, yukarıda belirtilmiş olan idari yaptırımların veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişilerine uygulanacağı belirtilmiştir.