admin2025-01-14T00:21:57+00:00
Kişisel Veri Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanununda kişisel veri “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Kişisel verinin üç ana unsuru vardır. Öncelikle Kişisel Veri gerçek kişiye ait olmalıdır. Bu nedenle tüzel kişilerin verileri kişisel veri olarak kabul edilmez. Kişisel veriden söz edebilmek için öncelikle veri gerçek bir kişiye ait olmalıdır. İkinci unsur ise veri ile birlikte kişinin belirli ya da belirlenebilir olmasıdır. Veri ile birlikte kişi doğrudan belirlenebilmeli, doğrudan belirlenmiyorsa bile bir şekilde o kişiyle ilişkilendirilebilmesi gerekmektedir. Üçüncü unsur ise verinin her türlü bilgiyi içermesidir. Bu bilgiler sınırlı sayıda değildir. Kişi ile ilgili her türlü bilgi kişisel veriye girer.
Bu noktada 6698 sayılı Kişisel Verilerin Korunması Kanunu’na erişmek isteyebilirsiniz.
Kişisel Veriler Hangi Şartlarda İşlenebilir?
Kişisel verilerin işlenmesi, tamamen veya kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Bir kişisel verinin işlenebilmesi için bazı şartları taşıması gerekmektedir. Eğer bu şartları taşımıyorsa işlenen veriler yasal olmayacaktır. Kişisel verilerin işlenebilmesi için ilgili kişinin açık rızasının varlığı, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya vücut bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması, korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gerekmektedir. Fakat bu şartların hepsinin bir arada olmasına gerek yoktur. Bu şartlar 6698 sayılı Kanunda sınırlı sayıda sayılmıştır ve yorum yoluyla genişletilemez.
Veri İşleme İstisnaları
Tam İstisna Halleri : Bazı durumlarda kanundaki hükümler uygulanmayacaktır.
- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleri ile ilgili faaliyetler kapsamında işlenmesi
- Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz mercileri tarafından işlenmesi
- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi
- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
Yukarıda sayılan durumların bulunması halinde kanunda öngörülen şartlara uyulması gerekmez.
Kısmi İstisna Halleri : Kısmi istisna hallerinde ise 6698 sayılı Kanunda yer alan bazı hükümler uygulanmayacaktır.
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik mali çıkarlarının korunması için gerekli olması
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
Yukarıdaki durumların varlığı halinde 6698 sayılı Kanunun 10, 11 ve 16. Maddesi uygulanmayacaktır.
Veri Sorumlusu Kimdir?
Öncelikle kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler kanun kapsamında veri sorumlusudurlar.
Kişisel veri işleyen herkes gerçek ya da tüzel kişi olsun kanun kapsamına girecektir. Sicile kayıt yaptırmak zorunda olanlar ise ayrı olarak düzenlenmiştir. Verbis’e kayıt yaptırmak zorunda olanlar “Yıllık çalışan sayısı 50 ve üstünde olan veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek veya tüzel kişiler” ile “Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler”dir. Bu sınırlama zorunlu Verbis kaydı ile ilgilidir. Sicile kayıt yaptırmak zorunda olsa da olamasa da herkes veri sorumlusu olarak kanun kapsamındadır.
Özel Nitelikli Kişisel Veri
Özel nitelikli kişisel veri başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikteki verilerdir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inancı, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler, biyometrik ve genetik verileri.
Özel nitelikli kişisel veriler, ilgilinin açık rızası alınmadan işlenemez. Kanunlarda açıkça öngörülmüşse rıza alınmadan da işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası alınmaksızın işlenebilir.
İlgili Kişi Kimdir?
İlgili kişi kişisel verisi işlenen gerçek kişidir. Kanun kapsamında yalnızca gerçek kişilerin bilgilerinin korunması öngörülmüş olup tüzel kişilerin bilgileri Kanun kapsamının dışında bırakılmıştır.
Açık Rıza Nedir?
İlgili kişinin verisinin işlenebilmesi için rızasının alınması gereklidir. Alınacak rızanın belli şartları olmak zorundadır. Öncelikle rıza belirli bir konuya ilişkin olmalıdır. Konunun sınırlandırılması gerekmektedir. Kişinin baştan verdiği açık uçlu, genel ve sınırlı olmayan rızalar geçersizdir. Kişinin verdiği rıza bilgilendirmeye dayalı olmalıdır. Bilgilendirmede verinin ne amaçla işleneceği kişinin anlayacağı şekilde belirtilmeli ve okunaklı olmalıdır. Aynı zamanda kişi irade açıklamasını yaparken bilinçli olmalı ve herhangi bir şeyin etkisi altında kalmamalıdır. Ancak bu şartlar oluştuğunda irade açıklaması geçerlilik kazanacaktır.
Açık rıza geri alınabilir fakat geri alma geçmişe yönelik değil ileriye yönelik sonuç doğurur.
Veri Sorumlusu Kimdir?
Veri sorumlusu, işlenecek verilerin hangi amaçla, hangi şekilde işleneceğini nedenlerini, türlerini belirleyen gerçek veya tüzel kişilerdir. Veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler veri sorumlusudur. Tüzel kişilerin veri sorumlusu olması halinde tüzel kişiliğin organları sorumlu olacaktır.
Veri İşleyen Kimdir?
Veri işleyen, veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun organizasyonu dışında bulunan gerçek veya tüzel kişilerdir.
KİŞİSEL VERİLERİN AKTARILMASI NEDİR?
Kişisel veriler veri sorumluları tarafından işlenir. Kişisel verilerin işlenmesinin birçok farklı sebebi olabilir. Tüketici alışkanlıklarının belirlenmesi, ticari amaçlar, kişilerle iletişime geçilmesi gibi sebepler sayılabilir. Kişisel verilerin aktarılması Kişisel Verilerin Korunması Kanunun 8. Maddesinde düzenlenmiştir. Kişisel veriler yurtiçinde ve yurtdışında olmak üzere iki farklı şekilde aktarılabilir.
Kişisel Verilerin Yurtiçinde Aktarılması
Kişisel veriler, ilgili kişinin açık rızası olmadan aktarılamaz. Kişisel verilerin aktarılmasında genel kural açık rızadır. Ancak bazı şartların olması halinde veriler, açık rıza olmadan aktarılabilir. Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde açık rıza olmadan veriler aktarılabilir.
İkinci olarak ise özel nitelikli kişisel verilerin işlenme şartları başlıklı Kişisel Verileri Koruma Kanunu’nun 6. Maddesinin 3. Fıkrasında sayılan kişinin sağlığına ve cinsel yaşamıyla ilgili kişisel veriler dışında kanunlarda yer verilen hallerde, sağlığa ve cinsel yaşama ilişkin verilerde ise halk sağlığının korunması, tıbbi hastalıkların teşhisi , tedavisi ve bakım hizmetlerinin idaresi ile koruyucu hekimlik ve sağlık servislerinin idaresi ve finansmanının planlaması amacıyla kişinin açık rızası olmasa dahi kişisel veriler aktarılabilecektir.
Kişisel Verilerin Yurt Dışına Aktarılması
Kişisel Verileri Koruma Kanunun 9. Maddesinde kişisel verilerin yurtdışına aktarılması düzenlenmiştir. Genel kural kişinin açık rızasının bulunmasıdır. Tıpkı yurtiçinde olduğu gibi yurt dışına aktarılma da aynı istisnalara tabidir. Fakat bu istisnalara ek olarak veri aktarılacak olan yurtdışındaki ülkelerin bazı şartları taşıması gereklidir. Bunlar:
- O ülkede yeterli korumanın bulunması
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gereklidir.
***
Kişisel Verilerin Korunması Kanunu oldukça kapsamlı olmakla birlikte veri sorumlularının herhangi bir cezai yaptırımla karşılaşmaması için uyum sürecinin uzman avukatlar tarafından titizlikle yönetilmesini tavsiye ederiz.
Bir yanıt yazın