trende

Kişisel Veri Nedir?

10.11.2021
24
Kişisel Veri Nedir?

Kişisel Veri Nedir?

6698 Kişisel Verilerin Korunması Kanunu m.3/1-d uyarınca kişisel veri, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır.Aynı tanımlar uluslararası hukuk düzenlemelerinde de bulunmaktadır. GDPR ve Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin 95/46/AT sayılı Direktife göre kişisel veriler, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu tanımlamadan hareketle bir verinin kişisel veri olmasındaki temel nokta o veriden kişinin belirli ya da belirlenebilir olmasına olanak sağlayan her türlü veri olmasını ifade eder. Kişinin adı soyadı, cep telefonu numarası, fotoğrafı, özgeçmişi, parmak izi, video kaydı, motorlu taşıt numarası, sosyal güvenlik numarası, sendika üyeliği, doğum tarihi,  gibi bilgiler kişisel verilere örneklerden sadece birkaçı olarak sayılabilir.

Kanun koyucu KVKK kapsamını yalnızca gerçek kişilerle sınırlı tutarak, tüzel kişileri bu kanun kapsamı dışında tutmuştur. Tüzel kişilerin unvanı, işletme adı ya da adres ve iletişim bilgileri gibi veriler KVKK kapsamında kişisel veri sayılmamaktadır.

Kişisel verilerin ilgilinin kendisi tarafından alenileştirilerek kullanılması durumunda kanun kapsamında veri işlenmesine aykırılık söz konusu olmayacaktır. Örneğin, bir avukatın müvekkiline verdiği kartvizitte yazan cep telefonu numarasına avukat-müvekkil ilişkisi dışında pazarlama, reklam ve satış maksatlı kısa mesaj ya da arama yapılması avukatın irade beyanına aykırı olacağından, bu durumda kişisel verinin ilgilinin kendisi tarafından alenileştirme savunması soyut kalacaktır.[1]

Kişisel veriler ancak 6698 Kişisel Verilerin Korunması Kanununda belirlenen usul ve esaslara uyularak işlenebilir. Kanun koyucunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Elektronik ticaretin bir tarafı olan işletmeler de bu kanun kapsamında elde edeceği verileri usulüne uygun olarak işlemek zorundadır. Kişisel verilerin işlenmesinde esas alınan ölçütler kanun koyucu tarafından belirlenmiştir. Buna göre, Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kuralına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen süre kadar muhafaza edilmesi gerekmektedir.

Kişisel veriler ancak ilgilinin açık rızası ile işlenebilir. İlgilinin rızasının aranmadığı durumlar yine kanunda belirtilmiş olup sınırlı sayıdadır. Buna göre aşağıdaki durumlarda açık rıza aranmaksızın kişisel verilerin işlenmesi mümkündür;

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

 f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

KVKK m. 6/1 ‘e göre; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu veriler kişilerin açık rızası olmaksızın işlenemez. Buna karşılık aynı maddenin üçüncü fıkrası “sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir” hükmünü haizdir.

E-ticaret siteleri tüketiciden aldığı veriler doğrultusunda oluşturduğu forma istinaden sipariş bilgisi almakta, depolama ve lojistik ile faturalandırma aşamalarında bu veriler ışığında süreci tamamlamaktadır. Alıcının bir ürün ya da hizmeti alması için işletme tarafından sunulan formlarda kişilerin adı, soyadı, telefon numarası, cinsiyeti, adresi, doğum tarihi, TC kimlik numarası gibi veriler işlenmektedir. E-ticaret faaliyetinin, Veriler Hukuku ile ilişkisi bu aşamadan itibaren başlamaktadır. İşlenen bu kişisel verilerin kanun çerçevesinde saklanıp, işlenmesi, aktarılması ve ilgili mevzuatta belirtilen sürelerde anonimleştirme ya da imha edilmesi gerekmektedir.

Veriler, toplanma aşamasında ilgilinin rızası alınarak işlenmesini gerektirdiğinden,  e-ticaret sitesinde kişisel veriler ile ilgili politikalar, prosedürler ve bilgilendirici yazılar olması zorunludur. Verilerin toplandığı herhangi bir formun altında mutlaka kişisel verilerin toplandığına, dayanağına ve muhafazasına dair bilgilendirici aydınlatma metni ve ilgilinin rıza göstermesine imkan sağlayan onay kutucuğunun olması gerekir.

KVKK m. 10 hükmü uyarınca ilgili kişi, veri sorumlusuna başvurarak kendisiyle ilgili; Kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kanunun belirlediği şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

İlgili kişinin yukarıda sayılan haklarını kullanması sağlamak için hizmet sağlayıcı, veri sorumlusuna başvurmak için gerekli altyapıyı oluşturmalı ve bu hakların kullanılmasını kolaylaştırmalıdır. Bu kapsamda “veri sorumlusuna başvuru formu” e-ticaret sitelerinin kolay ulaşılabilir bir yerinde olacak şekilde bağlantı verilerek siteye eklenmelidir.[2] Başvurucunun bu formu kullanarak ilettiği talepler titizlikle irdelenmeli ve taleple ilgili işlem yapılıp yapılamayacağı hakkında talepte bulunana bilgi verilmelidir. Veri sorumlusu talebi kabul ederse veya gerekçesini açıklayarak reddederse, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirmelidir. Talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. İşlemin ayrıca bir maliyeti gerektirmesi durumunda, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret alınabilir.

Verilerin üçüncü kişilerle paylaşılması ilgilinin açık rızasına bağlı olduğundan bu hususta meydana gelebilecek ihlaller sonucunda Kişisel Verileri Koruma Kurulu tarafından ihlali gerçekleştirenlere idari para cezaları kesilebilmektedir. Nitekim Kurulun bir kararında[3] bir e-ticaret sitesinde veri ihlalinin gerçekleşmesi üzerine resen yaptığı incelemeyle 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

VERBİS (Veri Sorumluları Sicili)

Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi ile kişisel verileri işleyen gerçek ve tüzel kişilere yönelik yükümlülüklerden biri kısa adı VERBİS olan Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt olmak oldu. Kişisel verileri işleyen gerçek veya tüzel kişiler, kişisel veri işlemeye başlamadan önce VERBİS’e kayıt olmak zorundadır. Hizmet sağlayıcılar müşterilerinin kişisel verilerini işlediğinden bu kanun kapsamında veri işleyen olarak VERBİS’e kayıt olmak zorundadır.

VERBİS ile ilgili usul ve esaslar 30 Mayıs 2017 tarihili ve 30286 numaralı Resmi Gazetede yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik ile düzenlenmiştir. Yönetmeliğe göre veri işleyen gerçek ve tüzel kişiler VERBİS sistemine bir envanter oluşturarak beyan etmek zorundadır. Oluşturulan bu veri envanterinde, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler hakkında bilgi verilmesi zorunludur. Gerçek ya da tüzel kişiler bu bilgileri  VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.


[1] Örneklerle Kişisel Verilerin Korunması, Haziran 2019, s. 16, https://www.kvkk.gov.tr/Icerik/5520/Orneklerle-Kisisel-Verilerin-Korunmasi (Erişim Tarihi 05.11.2021)

[2] Uygulamada alt bölüm(footer) kısmına “Veri Sorumlusuna Başvuru Formu” şeklinde aktif bağlantı oluşturarak eklenmektedir.

[3] Kamu İhale Kurulu 27/04/2021 tarih 2021/427 sayılı karar özeti, https://www.kvkk.gov.tr/Icerik/6981/2021-427 (Erişim tarihi 01.11.2021)

Ziyaretçi Yorumları

Henüz yorum yapılmamış. İlk yorumu aşağıdaki form aracılığıyla siz yapabilirsiniz.

Whatsapp
Avukat Emre KIRMIZI
Avukat Emre KIRMIZI
Merhaba. Size nasıl yardımcı olabilirim?