Kişisel verilerin korunması

13

Kişisel verilerin korunması


Hem kamu hem de özel kurum ve kuruluşlar, bir hizmetin veya ürünün piyasaya sürülebilmesi için uzun bir süredir kişisel veri niteliğindeki bilgileri toplamakta, satmakta veya paylaşmaktaydılar. Ancak kişilerin temel hak ve özgürlükleri kapsamında veri işleme süresince verinin korunması öncelikli olmalıdır.

Reklam

Kurumların vermiş oldukları hizmetlerin sürdürülmesi, kamu hizmetlerinin etkin bir şekilde halka arz edilmesi, mal ve hizmetlerin geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin toplanması kaçınılmaz bir hale gelmiştir.

Bu veriler toplanırken de kişisel verilerin sınırsız ve gelişigüzel olması sebepleri, yetkisiz kişilerin erişimine açılmasının, ifşasının, amaç dışında ya da kötüye kullanımı sonucunda kişisel hakların ihlal edilmesinin de önüne geçilmesi kişisel hak ve özgürlüklerimiz noktasında zorunlu olmalıdır.

Bu sebeple Konseyi tarafından bir süre önce tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve amacıyla “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme”, 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da Avrupa Birliği Üyelik Kapsamı dahilinde imzalanmıştır.

Bu sözleşme son olarak 17 Mart 2016 tarihinde Resmî Gazetede yayımlanarak iç hukuka dâhil edilmiştir.

Kişisel Verilerin Korunması Hakkı Nedir?

2010 yılında yapılan Anayasa değişikliği ile Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesine belirtildiği gibi temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasanın kişinin hak ve ödevlerine ilişkin bölümünde yer almıştır. Aynı şekilde kişisel verilerin korunmasına ilişkin hak Anayasada çizilen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Avrupa Birliğine uyum kapsamında hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısı 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edildi.

KVKK Ne Zaman Yürürlüğe Girdi?

Söz konusu olan KVKK kanun metini 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.

KVKK Nedir?

KVKK, Kişisel Verilerin Korunması Kanunudur. Aynı zamanda bu kanunu işletebilmek ve süreçleri sürdürebilmek için KVKK kurumu hayatımıza girmiştir. Bu tarihten sonra denetimler başlayarak kişisel verilerin korunması konusunda ciddi adımlar atılmaya başlanmıştır. Uzun bir süre tasarı halinde bekleyen KVKK kanunu 7 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girmiştir.  Bu sayede kişisel verilerin işlenmesinden tutun da özel hayatın gizliliğine kadar kişilerin temel hak ve özgürlüklerini korumak için kişisel verileri işleyen firmaların yükümlülükleri ile uyacakları kurallar belirlenmiştir.

Kişisel Verilerin Korunması hakkında 6698 Sayılı Kanununun Amacı Nedir?

Uluslararası belgeler, mukayeseli uygulamaları ve ülkemiz ihtiyaçları göz önüne alınarak hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır.

KVKK Kanununun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemekle başlamıştır. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. KVKK kanunu ile, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanır.

Kişisel Verilerin Korunması Kanunu Kimleri Kapsamaktadır?

KVKK Kanunu, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Yani kişisel verilerin bir kısmını veya tamamını işleyen herkesi bu kanun kapsamaktadır.

Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes bu Kanun kapsamına alınmaktadır. Ancak Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler bu Kanunun kapsamı dışında tutulmuştur.

Veri işleme faaliyetini gerçekleştirenler açısından ise Kanunda gerçek kişi tüzel kişi ayrımına gidilmemiştir. Diğer bir yandan, veri kayıt sisteminin parçası olmaksızın veri işleyenler Kanunun kapsamı dışında tutulmuştur.

Kişisel Verilerin Korunması

Kişisel verilerin korunması denildiğinde ilk olarak kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunması amaçlanmaktadır. Aslında kişisel verilerin korunması demek temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktır.

Kanundaki ifadelere göre; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder.

Kişisel Verinin Tanımı Nedir?

Bu ifadelere göre “kişisel veri”, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Yani saklanan veya işlenen veride kişinin net olarak belirtilmiş olması şartı vardır.

Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.

Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsamaktadır.

Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, , sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, , e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.

Önemli olan verinin kişi ile ilişkilendiriliyor olması ya da onu tanımlayabilmesidir. Örneğin, takma isimler tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir. Ayrıca, sıkça kullanılan kimliği belirli veya belirlenebilir gerçek kişiyle ilişkili müşteri şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları gibi raporlar, ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları gibi kayıtlar, özgeçmiş, bordro, fatura, banka dekontları, , nüfus cüzdanı fotokopileri gibi belgeler ve mektup, gibi yazılar/kayıtlar içinde yer alan veriler de kişisel veri olarak addedilebilir.

Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir?

Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Özel nitelikli kişisel verilere örnek vermek gerekirse; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler şeklinde sıralayabiliriz. Bu duruma göre hassas nitelikteki kişisel veriler genel olarak birçok sektörü sorumlu tutmaktadır.

Kişisel Verilerin İşlenmesi Ne Anlama Gelmektedir?

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Örneğin, kişisel verilerin sadece bir diskte, CD’de, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir. Yani kişisel veriyi depolamak da kişisel verilerin işlenmesi anlamına gelmektedir.

6698 Sayılı KVKK Kanunu ile ve Aydınlatma Yükümlülüğü Ne Anlama Gelir?

blank

Kişisel verilerin işlenmesinde denetim sağlayan ve kuralları koyan 6698 sayılı KVKK kanunu temel hak ve özgürlüklerin korunmasını amaçlamaktadır. 7 Nisan 2016 tarihli ve 29677 Sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu KVKK’nın “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. Maddesinde 10 Mart 2018 tarih ve 30356 sayılı Resmi Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesi konusunda Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca işlenen kişisel verilerimizin depolanması, paylaşılması, kullanılması ve benzeri noktalar hakkında tüketicilerin hak ve özgürlüklerini korumak için hayata geçirilmiştir. Tüketicilerin verileri işlenmeden önce aydınlatma yükümlüğü maddesi uyarında bilgi verilmeli, işlenmesi, paylaşılması ve benzeri durumlar için tüketicilerin açık rıza alınarak aydınlatılması zorunlu hale getirilmiştir.

Kanunda Yer Alan Kişisel Verilerin Otomatik Yollarla İşlenmesi Ne Anlama Gelir?

Kanunda, otomatik işlemenin ne olduğu tanımlanmamıştır. Bu kapsamda, tamamen veya kısmen otomatik olan işleme; insan müdahalesi ya da yardımı konusundaki ihtiyacın asgari seviyeye indirilerek verilerin kaydı, bu verilere mantıksal veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya aktarılması gibi işlemlerin otomatik veya kısmen otomatik yöntemlerle gerçekleştirilmesi olarak tanımlanabilir.

Başka bir ifade ile, otomatik olarak veri işlenmesi; bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetlerinin tümünü kapsamaktadır.

Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi Ne Demektir?

Bir veri kayıt sistemine bağlı olarak otomatik olmayan yollarla işleme ise manuel olarak hazırlanan ancak erişimi ve anlamlandırmayı kolaylaştıran işleme faaliyetini ifade etmektedir. Yukarıda belirtildiği gibi, kişisel veriler otomatik işlemeye tabi tutulmasalar dahi, bir “veri kayıt sistemi” aracılığıyla işlendiklerinde de Kanun hükümlerine tabi olmaktadır.

Kişisel verilerin korunmasına yönelik çalışmaları ve uygulamaları takip etmek üzere ülkemizde özerk bir kurum olarak Kişisel Verileri Koruma Kurumu kurulmuştur. KVKK olarak ifade edilen kurumun amacı: Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak şeklinde ifade edilmektedir. Kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak olarak tanımlanmıştır.

Kanun kapsamında şirketlere, devlet kurumlarına, üniversitelere, vakıflara, odalara, derneklere, küçük veya büyük işletmelere, organizasyonlara  Kişisel verilerin korunması ile ilgili bir sistemi kurup Kişisel Verilerin Koruma Kanunu’na uyum sağmaları için süre tanınmıştır. Ardından da KVKK kurumu denetlemelerine ve bildirimleri incelemeye başlamıştır.

KVKK Kanununa Nasıl Uyum Sağlarım?

KVKK kanunu ile kişisel veri içeren tüm bilgi teknolojisi sistemlerinin internet üzerinden gelebilecek her türlü izinsiz erişim tehdidine karşı korunması zorunlu hale getirilmiştir. Bu verileri korumak için alınacak tedbirler arasında en önemli nokta bir güvenlik duvarı (firewall) kullanılmasıdır.

Düzgün ve doğru yapılandırılmış bir güvenlik duvarı ile kullanmakta olduğunuz internet bağlantısı üzerinde gelen ve giden veriyi derinlemesine analizler gerçekleştirerek kontrol altında tutabilirsiniz. Bu sayede olası ihlallere karşı güvenlik duvarınız İnternet giriş ve çıkış trafiğini keserek tehditleri bertaraf etmek üzerine konfigüre edilmelidir. İnternet bağlantınız üzerinde çalışanlarınızın veri güvenliği bakımından tehdit içerebilecek internet sitelerine erişimini de önlemeniz mümkündür. KVKK kanununda açık olarak kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler sıralanmıştır. Bu tedbirler Firewall kullanımı, ağ geçidi kullanımı, loglama alt yapısının kullanılması, antivirüs yazılımları kullanmak, yama yönetimi, ve benzeri şekilde belirtilmektedir.

Ayrıca, kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır. Söz konusu şifre ve parolalar oluşturulurken, kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmalıdır.

Aynı zamanda KVKK’yla ilgili tüm sorumluluklarınızı eksiksiz yerine getirmek ve süreçle ilgili herhangi bir sıkıntı yaşamamak için şirketinizdeki ya da danışmanlık aldığınız hukukçulardan destek almanız büyük bir önem arz etmektedir.

Büyükyılmaz Hukuk&Danışmanlık

Büyükyılmaz Hukuk&Danışmanlık

Başarı ayrıntılarda gizlidir

İlkeli-Güçlü-Yetkin
  • Önemli Not!

    Web sitesinin içinde yer alan tüm bilgi ve materyaller sadece bilgilendirme amaçlı olup, bunların tamamına veya bir kısmına dayanılarak yapılan işlemlere, eylemlere ve bunların sonuçlarına ilişkin hiçbir sorumluluk kabul edilmez.!

HİZMET TALEBİ

    Adınız/Firmanız

    Email

    Telefon

    Alan

    Konu

    Müsait Olduğunuz Vakit

    Talebiniz alındıktan sonra en geç 48 saat içerisinde size dönüş yapılacaktır.

    Büyükyılmaz

    Yorumlar kapalı, ancak trackbacks Ve pingback'ler açık.

    Bu sitede size daha iyi bir deneyim sunabilmek adına, bu sayfayı ziyaretinizle ilgili bilgileri toplamak amaçlı çerezler kullanılmaktadır. Çerez kullanımı politikamız için Çerez Politikası Tamam Gözat

    %d blogcu bunu beğendi: