Kişisel Verilerin Korunması Kanunu nedir? Neler getiriyor?

Kişisel Verilerin Korunması Kanunu nedir? Neler getiriyor? Tüketiciyi koruyan uygulamalar neler? Mail ve SMS gönderimi nasıl işleyecek? İdari para cezaları ne kadar?

Kişisel Verilerin Korunması Kanunu nedir? Neler getiriyor?

Son bir-bir buçuk aydır bir fiil Kişisel Verilerin Korunması Kanunu’ndaki değişikliklere ilişkin pek çok mesaj ve mail alıyoruz. Peki aslında neler oluyor?

İlk olarak 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu‘na atıfta bulunan mesaj ve mailler aldık.

İlk olarak yapılmış olan bildirimlerin ortak amacı bu kanundaki geçiş hükümlerinde bulunmaktadır. Kanunun geçici birinci maddesine göre kanunun yayım tarihinden önce işlenmiş olan kişisel verilerin iki yıl içinde kanun hükümlerine uygun hale getirilmesi gerekiyor. Bu durumda şirketlerin, işlemiş oldukları kullanıcı verilerini kanuna uygun hale getirmeleri için son gün 7 Nisan 2018. Bu durumun farkında olan şirketler de kendilerinden ürün ya da hizmet satın alan kullanıcılarına kişisel verilerinin 6698 sayılı kanuna uygun şekilde işlendiğini ve muhafaza altına alındığını iletmek amacıyla bildirimde bulunuyor.

Bununla beraber Kişisel Verilerin Korunması Kanunu’nun “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”nin kişisel veri olduğunu kabul ederken bu verilerin “elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması” gibi işlemleri de kişisel verilerin işlenmesi olarak değerlendiriyor. Kişisel verilerin bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara aykırı olarak işlenmesi bu kanun tarafından yasaklanıyor.

İlgili verilerin güvenlik altına alınmasında ise 4., 5., 7. ve 10. maddelerde ise tüketicileri koruyan önemli bir takım uygulamalara yer verilmiştir:

• Kişisel veriler ancak belirli, açık ve meşru amaçlar için işlenebilir.

• Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenebilir.

• Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

• İşlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Kişisel Verilerin Korunması Kanunu’nun 6.maddesinde ise “özel nitelikli kişisel veri” olarak değerlendirilen verilerin, açık rıza olmadan işlenmesini kesin bir ifadeyle yasaklanmıştır. Madde hükmüne göre “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veri olarak değerlendirilmiştir.

Veri sorumlusunun aydınlatma yükümlülüğü

Kişisel Verilerin Korunması Kanunu‘nun 10. maddesinde “Veri sorumlusunun aydınlatma yükümlülüğü” başlığı altında kişisel verileri işleyen kuruluşlara kişisel verilerin işlenmesindeki hukuki sebep ve amaç ile kişisel verilerin kimlere hangi amaçla aktarılabileceği gibi konularda kullanıcılara bilgi vermek zorunluluğu gibi yükümlülükler yüklüyor. Bu bağlamda kişisel veri işlemelerini bu maddeye uygun hale getirmek isteyen kuruluşlar da kanuna uyum sürecinin son günü dolmadan bizlere ulaşan mail ve SMS’ler ile kullanıcıları bilgilendirme yoluna gittiler.

Kişisel Verilerin Korunması Kanunu: İdari para cezaları

Kişisel Verilerin Korunması Kanunu’nun 17. maddesine göre; aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında ise 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilecektir.

Kullanıcılar ile paylaşılan bilgilerde ağırlıklı olarak görülen husus ilgili kanun uyarınca kullanıcı bilgilerinin sadece ilgili kuruluşun iş amaçlarıyla ilgili olarak kullanılacağını ve bilgilerin üçüncü kişilerle paylaşılmayacağı ifade edilmektedir. Kişisel verilerinizin depolanmasını ve iş amaçlarıyla ilgili değerlendirilmesinin kullanıcı tarafından istenilmemesi halinde ilgili yerden kaydınızı silebileceğinize dair bilgilendirme yapılmaktadır. Böylece kullanıcı talebi ile kayıt silinmesi ile tüm verilerin veri depolarından kaldırılacağı da ifade edilmektedir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesi kapsamında kişisel verilerin:

a) İşlenip işlenmediğini öğrenme,

b) İşlenmişse buna ilişkin bilgi talep etme,

c) İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d) Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,

e) Eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,

f) KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde silinmesini / yok edilmesini isteme,

g) Aktarıldığı üçüncü kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,

h) Münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,

i) Kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme haklarına sahip olunduğu da kullanıcının bilgisine sunulmaktadır.

GDPR nedir? Avrupa Birliği’nin veri güvenliği düzenlemesi