Öncelikle Kurul’un bu Karar’ında özel nitelikli kişisel verilerin işlenmesinde veri sorumlularını aydınlatacak ve yapılması gerekenler hakkında değerli bilgiler yer aldığını belirtmek isteriz. 

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır. Buna dayanarak Kurul, karar alarak bu konuya ilişkin düzenlemeyi oluşturmuştur. 

Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından şöyle belirlenmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, olarakta ayrıca belirlemeler yer almaktadır. 

Özellikle özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

b) Gizlilik sözleşmelerinin yapılması,

c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. 

Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması, gibi hususlar.

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

5- Özel nitelikli kişisel veriler aktarılacaksa yine

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

Tabi bu önlemlerin yanı sıra Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınması gerektiğini de ayrıca belirtmek isteriz. 

Aksi hallerde Kurul tarafından ihlal tespitleri gündeme geldiğinde bir takım hukuki ve cezai yaptırımlara maruz kalınması söz konusu olunabilecektir. 

Buna ilişkin bir diğer emsal 05/12/2018 Tarihli ve 2018/143 Sayılı Kurul kararında da, Sağlık Verilerinin Kanunun 6 ncı maddesinde yer alan işleme şartlarından birine dayanmadan üçüncü kişilere aktarımı yapan veri sorumlusu hakkında değerlendirmeler yapılmıştır.  

Kararda, doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından her hangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kurum’a yapılan şikâyet başvurusu hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘Kanun’) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir.

Mezkur maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller sayılmıştır. 

Buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği belirtilmiştir. 

Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;

a.      Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b.     Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c.      Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir. 

Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verilmiştir.

Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

Yukarıda yer alan emsal kararlar ile Kişisel Verilerin Korunması Kanununun uygulamada dikkate edilmesi gereken ve kişisel veriler hakkında gerekli düzenlemelerin işyerlerinde yapılmasına ilişkin dikkat çekici noktaları vurguladığını belirtmek isteriz. 

Bilgilendirme videosu aşağıda yer alan hususları içermektedir. 

• Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler nelerdir?
• 6698 sayılı Kişisel Verilerin Korunması Kanununun 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” Şeklinde düzenleme uyarınca emsal Kurul kararında hangi hususlar değerlendirilmiştir?

The post ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE VERİ SORUMLULARINCA ALINMASI GEREKEN ‘YETERLİ ÖNLEMLER’ NELERDİR? appeared first on Kilic Tekin Hukuk ve Danismanlik Burosu.

Genel ilkeler

MADDE 4 – (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenme şartları

MADDE 5– (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Bu maddelerin düzenlenmesinde öngörülen ve uygulanmasında dikkat edilmesi gereken hususlar için Kişisel Verileri Koruma Kurulunun emsal bir kararına değinmek faydalı olur. 

Özellikle veri sorumlusunun kanuni yükümlülüğünü yerine getirmek için kişisel verileri meşru menfaat çerçevesinde kullanma talebine dair Kuruma yapılmış olunan bir başvuru ve bu başvuru sonucunda kurul tarafından verilen karar aşağıdadır.

5015 sayılı Petrol Piyasası Kanunu gereğince, “Dağıtıcı Lisansı” kapsamında petrol piyasasında faaliyet gösteren bir Şirket,

• Enerji Piyasası Düzenleme Kurulu (EPDK) Kararı ile getirilen yükümlülük çerçevesinde, bayi pompa satış hareketlerini, “plaka, akaryakıt türü, miktar, fiyat, zaman (saat, dakika ve saniye)” bilgilerini içerecek şekilde sorgulama imkanı veren ve ilgili Kurumun anlık erişimine açık olan bir otomasyon sistemi kurduğu,
• EPDK’nın anlık erişimine açık tutulan bu verilerden “plaka ve akaryakıt tipi”ne ilişkin verileri, araç sahipleri, akaryakıt bayileri ve akaryakıt dağıtım firmaları için sektörde büyük bir sorun haline gelen “hatalı akaryakıt dolumlarının” önüne geçmek için Şirketleri tarafından geliştirilen “Araç Tanıma Projesi” için kullanmak istedikleri,
• Araç Tanıma Projesinin hayata geçirilmesi ile birlikte, akaryakıt ikmal edecek aracın plaka verileri ile kullandığı yakıt türünün (benzin veya motorin) sistemde otomatik olarak eşleştirilerek kaydedileceği; böylece yanlış akaryakıt alımının otomatik olarak engelleneceği,
• Şirketin ve bayilerin tüketiciye akaryakıt satışı esnasında kurulan satış sözleşmesini doğru ifa edebilmesi ve doğru ürün tedarikini gerçekleştirmesi için tüketicinin araç plakasını kullanmasının bir gereklilik haline geldiği, Araç Tanıma Projesinin gerçekleştirilmesinin hatalı akaryakıt ikmalinden kaynaklanan problemleri sonlandıracağı ve böylece Şirketin ve bayilerin meşru menfaatlerinin korunmuş olacağı,

belirterek, bu kapsamda şirketin otomasyon sistemi için işlediği bazı verileri, ilgili kişilerin açık rızası olmaksızın Araç Tanıma Projesi için kullanmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 inci maddesinin (2) numaralı fıkrasının (ç) ve (f) bentleri kapsamında değerlendirilip değerlendirilemeyeceği talebiyle bir başvuru yapılmıştır.

EPDK’dan almış olduğu lisanslar çerçevesinde “Akaryakıt Dağıtım Firması” olarak faaliyet gösteren Şirketin, 5015 sayılı Petrol Piyasası Kanunu ve ilgili mevzuatlarda düzenlenen denetim sistemi kurma zorunluluğu çerçevesinde araç sahiplerinin kişisel verilerini işlemesinin, 6698 sayılı Kanunun 5 inci maddesinin ikinci fıkrasının (ç) bendinde düzenlenen kişisel veri işlenmesinin “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hali sayıldığı; 

• bu kapsamda kişisel veri işlenmesi halinde ilgili kişinin açık rızasının aranmadığı,
• bununla birlikte, 6698 sayılı Kanunun 5 inci maddesinin ikinci fıkrasının (f) bendine göre “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hali tespit edilirken veri sorumluları tarafından;
• Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
• Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
• Meşru menfaatin halihazırda mevcut, belirli ve açık olması,
• İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
• Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
• Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
• Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
• Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
• Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması

hususlarının değerlendirilmesi gerektiği kurul tarafından belirtilmiştir.

Ayrıca kişisel verilerin ilk kez işlenmesi için gereken amaçtan farklı olarak başka bir amaca yönelik yeni bir veri işleme faaliyetinin gerçekleştirilmesinin, Kanunun 5 inci maddesinde sayılan veri işleme şartlarından en az birine dayanması ve ilk amaçtan bağımsız olarak Kanunun 4 üncü maddesinde sayılan kişisel verilerin işlenmesinde aranan ilkelerin tümüne uyumlu olması gerektiği,

• Şirketin Araç Tanıma Projesi uygulaması kapsamında, halihazırda Petrol Piyasası mevzuatı gereği kayıtlarında bulunan tüketicilere ait araç plaka ve ürün tipi bilgilerini otomatik olarak Araç Tanıma Projesi sistemine entegre etmesi de yeni bir kişisel veri işleme faaliyeti sayıldığı belirtilmiştir.

Bu hususlara dair; Akaryakıt istasyonlarına gelen araçlara tüketicinin talep ettiği üründen farklı bir ürün ikmal edilmesi nedeniyle oluşan araç arızalarından dolayı tüketicilerin uğramış olduğu zararlar ile bu zararlardan 6502 sayılı Tüketicinin Korunması Hakkında Kanun gereğince işletici ile birlikte başvuranın da dağıtıcı şirket olarak müteselsilen sorumluluğunun bulunduğu, bu yöndeki yargı kararları da dikkate alındığında durumun hem tüketicinin hem de dağıtıcı şirketin maddi kaybı ile birlikte şirket marka değeri ve hizmet kalitesinde de kayıplara yol açabileceğinin anlaşıldığı, dikkate alınarak, Bu çerçevede, meşru menfaatin ortaya konulmasına ilişkin olarak yukarıda yer verilen kriterler esas alınarak yapılan değerlendirme sonucu 6698 sayılı Kanunun 5 inci maddesinin ikinci fıkrasının (f) bendine göre veri sorumlusunun, tüketicilere ait plaka ve ürün tipi bilgilerini kullanmasının “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında olduğu belirtilmiştir.

Bu itibarla Şirketin, erişilebilir ve görünür bir şekilde aydınlatma yükümlülüğünü yerine getirmek ve başka bir amaçla kullanmamak kaydıyla ilgili kişilerin (kişisel verisi işlenen gerçek kişi tüketicilerin) açık rızasını almaksızın bahse konu sistemi kullanmasında 6698 sayılı Kanun yönünden hukuken bir engel bulunmadığına karar verilmiştir.

Tüm bu hususlara göre, Kişisel Verilerin Korunması Kanununun 4 üncü maddesinde sayılan kişisel verilerin işlenmesinde aranan ilkelerin tümüne uyumlu olması gereken ve 5. Madde de yer alan kriterlere uygun olarak veri işlenmesine bir engel bulunmadığı açıktır. Bu doğrultuda, veri işleme faaliyetlerinin gerçekleştirilmesine ilişkin mutlaka yasada yer alan düzenlemelerin iyi bilinmesi ve yasanın öngördüğü şekilde işlemlerin yapılması gerektiğini belirtmek isteriz. 

Link’te yer alan bilgilendirme video yayınında, özellikle kişisel verileri koruma kanununda yer alan düzenlemeler ve kurul kararı incelemesi yer almaktadır. 

Bilgilendirme videosunda;

-Kişisel verilerin korunması kanununun 4. Maddesi ve genel ilkeler nelerdir?

-Kişisel verilerin korunması kanununun 5. Maddesi ve işlenmesi şartları nedelerdir?

– Kişisel verilere dair veri sorumlusu kimdir?

-Kişisel verilere ilişkin veri sorumlusunun görevi nedir? 

-Kişisel veriler meşru menfaatin bulunması ve yasanın öngördüğü hususlar nelerdir? 

sorularına dair cevaplar ve bilgiler yer almaktadır.

The post Kişisel Verilerin Korunmasında Genel İlkeler ve Veri Sorumlusu appeared first on Kilic Tekin Hukuk ve Danismanlik Burosu.

Burada yer alan e-bilgi notu ile ‘kişisel veriler’ hakkında kısa soru ve cevaplar doğrultusunda genel bilgiler bulabilirsiniz.

Özellikle yasal güncellemeler ışığında hukuki düzenlemelerin sürekli değişebileceğinin ve yasal mevzuatın güncelliğinin takip edilmesinin gerektiğinin ayrıca altını çizmek isteriz. 

–Kişisel veri nedir?

Kişisel Verilere dair tanımlar başlıca 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun ‘Tanımlar’ başlıklı 3. Maddesinin (d) fıkrasında ve Veri Sorumluları Sicili Hakkında Yönetmelik’in ‘Tanımlar’ başlıklı 4. Maddesinin (ğ) fıkrasında yer almaktadır, kanuna göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.

Bu şekilde geniş bir tanım ile özellikle dikkat çekilmesi gereken husus ‘bir gerçek kişiye bizi ulaştıran her bilgi kişisel veri’ olarak kabul edilebilecektir.

-Kişisel verilerin işlenmesi ne demektir?

Yine 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun ‘Tanımlar’ başlıklı 3. Maddesinin (e) fıkrasında kişisel verilerin işlenmesi tanımlanmıştır. İlgili madde aşağıdaki gibidir;

‘… e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, …’

Burada kişisel verilerin işlenmesinde kastedilen husus, özellikle ‘otomatik olarak veya olmayan yollarla elde edilen’ kişisel verilerin çeşitli işlemlere tabi tutulması anlaşılmaktadır.

Ayrıca işlenme hakkında kanunda ve ilgili yönetmeliklerde, verilerin kayıt edilmeleri, depolanmaları veya muhafaza edilmeleri, değiştirilmeleri veya düzenlenmeleri, açıklanmaları, paylaşılmaları, aktarılmaları ve elde edilmeleri gibi aslında veriye dair her türlü işlemler bahsedilmiştir.  

-Kişisel verilerin şirketler hukuku yönünden önemi nedir?

Kişisel verilere dair mevcut olan yasal düzenlemelere uygunluk şirketler açısından bir çok yönden önemli olmaktadır.

Şirketlerin kuruluş ve devamı faaliyetlerinde, günlük işleyişleri sırasında çalışan veya müşterileri ile olan işlemlerinde veya ticari faaliyetleri açısından önemli satın alma, satış, hizmet sunumu gibi süreçlerinde kişisel verilere dair bir çok veri takibi yapılması gerekmektedir. Bu kişisel verilerin kategorize edilip, işlenmelerinde uyulması gerekecek düzenlemeler şirketler hukuku açısından da önemli olmaktadır.

Özellikle yabancı sermayeli veya yurt dışında şubesi olan veya yurt içi ile birlikte özellikle yurt dışı ile interaktif bir şekilde ticari faaliyette bulunan şirketler yönünden de ayrıca kişisel verilerin korunmasına dair yasal yükümlülüklere uyumluluk önem arz eder.

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 9. Maddesinde kişisel verilerin yurt dışına aktarılmasına dair ayrıca düzenleme yer almaktadır. İlgili madde aşağıdadır;

Kişisel verilerin yurt dışına aktarılması

MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. 

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması, 

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kanunda belirtilen bu düzenlemeler kişisel verilerin yurt dışına aktarılmasında uyulması gereken usul ve şartları, hangi koşullar ile yurt dışına kişisel veri aktarımı söz konusu olabileceği hakkındadır.

-Kişisel veriler nasıl işlenilir?

Kişisel verilerin, Kişisel Verilerin Korunması Kanunu’nun 5. Maddesinde düzenlenen işlenme şartlarına uygun olarak ancak işlenmeleri söz konusu olabilir.

Kanunun bu maddesine göre, öncelikle kişisel veriler ilgilinin açık rızası olarak işlenebilecektir. İlgili kişinin açık rızası olmadığı hallerde ise kanunda belirtilen diğer istisnai hallerden birinin varlığı aranacak yani diğer şartlardan herhangi birinin olması ile ilgilinin açık rızasının alınması veya olması gerekmeyecektir.

Bunlar yine ilgili kanunun 5. maddesinde düzenlenmiş olup, tekrarla ve kısaca şöyledir; yasalarda açıkça öngörülmüş olması halinde, fiili imkânsızlık hallerinde ilgilisi rızasını açıklayamayacak durumda bulunması veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde veya veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması halinde veya ilgili kişinin kendisi tarafından alenileştirilmiş olması halinde veya bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veya ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde.

-Kişisel veriler mevzuatına göre veri sorumlusu gerçek veya tüzel kişiler açısından sorumluluk nasıldır?

Kişisel Verilerin Korunması Kanunu’nun 3. Maddesinin (ı) fıkrasında ‘…Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,…’ ifade eder şeklinde tanımlanmıştır. Yine bu tanım Veri Sorumluları Sicili Hakkında Yönetmelik’in 4. Maddesininde de yer almaktadır.

Bu noktada, tüzel kişilerde veri sorumlusunun kim olacağına dikkat çekmek isteriz, çünkü tüzel kişilerde veri sorumlusu görevlendirilen bir gerçek kişi değil tüzel kişiliğin bizzat kendisi olacaktır.

Şirketlerde veri sorumlusu olarak, çalışan, yönetici, şirket sahibi, yönetim kurulu başkanı, yönetim kurulu üyeleri veya avukatı gibi şirketi temsil eden kişiler veya dışarıdan hizmet alınan kişiler değil, şirketin bizzat kendisidir. Ancak uygulamada şirket, Kişisel Verilerin Korunması Kanunun uygulanmasıyla ilgili iş ve işlemleri yerine getirme konusunda bu kişileri görevlendirebilmektedir. Bu görevlendirme o kişinin veri sorumlusu olduğu anlamına gelmeyecektir.

-Kişisel veriler düzenlemelerine göre envanter nedir ve envanter hazırlanması nasıl olmalıdır?

Veri Sorumluları Sicili Hakkında Yönetmelik ‘Tanımlar’ başlıklı 4. Maddesinin  (h) fıkrasında ‘…Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,…’ şeklinde belirtilmiştir.

Kişisel Verileri Koruma Kurumu tarafından düzenlenen Kişisel Veri İşleme Envanteri Hazırlama Rehberi’nde yine belirtildiği üzere de, envanter hazırlama aşamaları yasada yer alan tanıma uygun adım adım takip edilmesi faydalı olacaktır.

Tüm bunlar ışığında; envanter hazırlanmasına dair aşağıda sırasıyla kontrol listesi ve yapılması gereken hususlar aşağıda belirtilmiştir.

• Öncelikle süreç veya faaliyet bazında kişisel verilerin tespiti
• Tespit edilen kişisel verilerin niteliklerinin belirlenmesi
• İşlenen kişisel verinin hukuki sebebinin tespiti
• Kişisel veri işleme amaçlarının tespiti
• Veri konusu kişi grubunun belirlenmesi
• İşlenen kişisel verilerin saklama süresinin belirlenmesi
• İşlenen kişisel verilerin aktarıldığı alıcı/alıcı gruplarının belirlenmesi
• Yabancı ülkelere aktarılan kişisel verilerin belirlenmesi
• İşlenen kişisel veriler için alınan teknik ve idari tedbirlerin belirlenmesi

Bu  adımlarla ilerlenmesi, kanunda ve yönetmelikte yer alan düzenlemelere uygun sınıflandırılmış olmasının yanı sıra, daha işlevsel ve kanuna uygun denetime elverişli envanterlerin  hazırlanması açısından da faydalı olacaktır.

Link’te yer alan bilgilendirme video yayınında, özellikle kişisel verileri koruma kanununda ve yönetmeliklerde yer alan tanımlar ve düzenlemelerden bahsedilmiştir.  

Bilgilendirme videosunda;

– Kişisel veri nedir?

-Kişisel verilerin işlenmesi ne demektir?

-Kişisel verilerin şirketler hukuku yönünden önemi nedir? 

-Kişisel veriler nasıl işlenilir?

-Kişisel veriler mevzuatına göre veri sorumlusu gerçek veya tüzel kişiler açısından sorumluluk nasıldır? 

-Kişisel veriler düzenlemelerine göre envanter nedir ve envanter hazırlanması nasıl olmalıdır?

Sorularına cevaplar yer almaktadır.

The post Kişisel Veriler appeared first on Kilic Tekin Hukuk ve Danismanlik Burosu.