KİŞİSEL VERİLER
Burada yer alan e-bilgi notu ile ‘kişisel veriler’ hakkında kısa soru ve cevaplar doğrultusunda genel bilgiler bulabilirsiniz.
Özellikle yasal güncellemeler ışığında hukuki düzenlemelerin sürekli değişebileceğinin ve yasal mevzuatın güncelliğinin takip edilmesinin gerektiğinin ayrıca altını çizmek isteriz.
–Kişisel veri nedir?
Kişisel Verilere dair tanımlar başlıca 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun ‘Tanımlar’ başlıklı 3. Maddesinin (d) fıkrasında ve Veri Sorumluları Sicili Hakkında Yönetmelik’in ‘Tanımlar’ başlıklı 4. Maddesinin (ğ) fıkrasında yer almaktadır, kanuna göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.
Bu şekilde geniş bir tanım ile özellikle dikkat çekilmesi gereken husus ‘bir gerçek kişiye bizi ulaştıran her bilgi kişisel veri’ olarak kabul edilebilecektir.
-Kişisel verilerin işlenmesi ne demektir?
Yine 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun ‘Tanımlar’ başlıklı 3. Maddesinin (e) fıkrasında kişisel verilerin işlenmesi tanımlanmıştır. İlgili madde aşağıdaki gibidir;
‘… e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, …’
Burada kişisel verilerin işlenmesinde kastedilen husus, özellikle ‘otomatik olarak veya olmayan yollarla elde edilen’ kişisel verilerin çeşitli işlemlere tabi tutulması anlaşılmaktadır.
Ayrıca işlenme hakkında kanunda ve ilgili yönetmeliklerde, verilerin kayıt edilmeleri, depolanmaları veya muhafaza edilmeleri, değiştirilmeleri veya düzenlenmeleri, açıklanmaları, paylaşılmaları, aktarılmaları ve elde edilmeleri gibi aslında veriye dair her türlü işlemler bahsedilmiştir.
-Kişisel verilerin şirketler hukuku yönünden önemi nedir?
Kişisel verilere dair mevcut olan yasal düzenlemelere uygunluk şirketler açısından bir çok yönden önemli olmaktadır.
Şirketlerin kuruluş ve devamı faaliyetlerinde, günlük işleyişleri sırasında çalışan veya müşterileri ile olan işlemlerinde veya ticari faaliyetleri açısından önemli satın alma, satış, hizmet sunumu gibi süreçlerinde kişisel verilere dair bir çok veri takibi yapılması gerekmektedir. Bu kişisel verilerin kategorize edilip, işlenmelerinde uyulması gerekecek düzenlemeler şirketler hukuku açısından da önemli olmaktadır.
Özellikle yabancı sermayeli veya yurt dışında şubesi olan veya yurt içi ile birlikte özellikle yurt dışı ile interaktif bir şekilde ticari faaliyette bulunan şirketler yönünden de ayrıca kişisel verilerin korunmasına dair yasal yükümlülüklere uyumluluk önem arz eder.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 9. Maddesinde kişisel verilerin yurt dışına aktarılmasına dair ayrıca düzenleme yer almaktadır. İlgili madde aşağıdadır;
Kişisel verilerin yurt dışına aktarılması
MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,
değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Kanunda belirtilen bu düzenlemeler kişisel verilerin yurt dışına aktarılmasında uyulması gereken usul ve şartları, hangi koşullar ile yurt dışına kişisel veri aktarımı söz konusu olabileceği hakkındadır.
-Kişisel veriler nasıl işlenilir?
Kişisel verilerin, Kişisel Verilerin Korunması Kanunu’nun 5. Maddesinde düzenlenen işlenme şartlarına uygun olarak ancak işlenmeleri söz konusu olabilir.
Kanunun bu maddesine göre, öncelikle kişisel veriler ilgilinin açık rızası olarak işlenebilecektir. İlgili kişinin açık rızası olmadığı hallerde ise kanunda belirtilen diğer istisnai hallerden birinin varlığı aranacak yani diğer şartlardan herhangi birinin olması ile ilgilinin açık rızasının alınması veya olması gerekmeyecektir.
Bunlar yine ilgili kanunun 5. maddesinde düzenlenmiş olup, tekrarla ve kısaca şöyledir; yasalarda açıkça öngörülmüş olması halinde, fiili imkânsızlık hallerinde ilgilisi rızasını açıklayamayacak durumda bulunması veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde veya veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması halinde veya ilgili kişinin kendisi tarafından alenileştirilmiş olması halinde veya bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veya ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde.
-Kişisel veriler mevzuatına göre veri sorumlusu gerçek veya tüzel kişiler açısından sorumluluk nasıldır?
Kişisel Verilerin Korunması Kanunu’nun 3. Maddesinin (ı) fıkrasında ‘…Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,…’ ifade eder şeklinde tanımlanmıştır. Yine bu tanım Veri Sorumluları Sicili Hakkında Yönetmelik’in 4. Maddesininde de yer almaktadır.
Bu noktada, tüzel kişilerde veri sorumlusunun kim olacağına dikkat çekmek isteriz, çünkü tüzel kişilerde veri sorumlusu görevlendirilen bir gerçek kişi değil tüzel kişiliğin bizzat kendisi olacaktır.
Şirketlerde veri sorumlusu olarak, çalışan, yönetici, şirket sahibi, yönetim kurulu başkanı, yönetim kurulu üyeleri veya avukatı gibi şirketi temsil eden kişiler veya dışarıdan hizmet alınan kişiler değil, şirketin bizzat kendisidir. Ancak uygulamada şirket, Kişisel Verilerin Korunması Kanunun uygulanmasıyla ilgili iş ve işlemleri yerine getirme konusunda bu kişileri görevlendirebilmektedir. Bu görevlendirme o kişinin veri sorumlusu olduğu anlamına gelmeyecektir.
-Kişisel veriler düzenlemelerine göre envanter nedir ve envanter hazırlanması nasıl olmalıdır?
Veri Sorumluları Sicili Hakkında Yönetmelik ‘Tanımlar’ başlıklı 4. Maddesinin (h) fıkrasında ‘…Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,…’ şeklinde belirtilmiştir.
Kişisel Verileri Koruma Kurumu tarafından düzenlenen Kişisel Veri İşleme Envanteri Hazırlama Rehberi’nde yine belirtildiği üzere de, envanter hazırlama aşamaları yasada yer alan tanıma uygun adım adım takip edilmesi faydalı olacaktır.
Tüm bunlar ışığında; envanter hazırlanmasına dair aşağıda sırasıyla kontrol listesi ve yapılması gereken hususlar aşağıda belirtilmiştir.
- Öncelikle süreç veya faaliyet bazında kişisel verilerin tespiti
- Tespit edilen kişisel verilerin niteliklerinin belirlenmesi
- İşlenen kişisel verinin hukuki sebebinin tespiti
- Kişisel veri işleme amaçlarının tespiti
- Veri konusu kişi grubunun belirlenmesi
- İşlenen kişisel verilerin saklama süresinin belirlenmesi
- İşlenen kişisel verilerin aktarıldığı alıcı/alıcı gruplarının belirlenmesi
- Yabancı ülkelere aktarılan kişisel verilerin belirlenmesi
- İşlenen kişisel veriler için alınan teknik ve idari tedbirlerin belirlenmesi
Bu adımlarla ilerlenmesi, kanunda ve yönetmelikte yer alan düzenlemelere uygun sınıflandırılmış olmasının yanı sıra, daha işlevsel ve kanuna uygun denetime elverişli envanterlerin hazırlanması açısından da faydalı olacaktır.
Link’te yer alan bilgilendirme video yayınında, özellikle kişisel verileri koruma kanununda ve yönetmeliklerde yer alan tanımlar ve düzenlemelerden bahsedilmiştir.
Bilgilendirme videosunda;
– Kişisel veri nedir?
-Kişisel verilerin işlenmesi ne demektir?
-Kişisel verilerin şirketler hukuku yönünden önemi nedir?
-Kişisel veriler nasıl işlenilir?
-Kişisel veriler mevzuatına göre veri sorumlusu gerçek veya tüzel kişiler açısından sorumluluk nasıldır?
-Kişisel veriler düzenlemelerine göre envanter nedir ve envanter hazırlanması nasıl olmalıdır?
Sorularına cevaplar yer almaktadır.