Avukat İpek Seden Baykara | Kişisel Verilerin Korunması Kanunu - Bölüm 1-

 Selin Baykara: Merhaba! Blogumuzun bu bölümünde Av. İpek Seden Baykara ile birlikte çok duyduğumuz Kişisel Verilerin Korunması Kanunu hakkında konuşacağız. Hepimizin günlük hayatta çok karşılaştığı fakat aslında ne olduğunu tam da bilmediği bu kanun hakkında söyleşimizin sonunda bilgilenmiş olacağız.

İnternette arama motoruna ‘Kişisel Verilerin Korunması Kanunu’ yazdığımızda önümüze çıkan bilgi; ‘Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin mahremiyetini korumak ve kişisel verilerin güvenliğini sağlamak amacıyla 7 Nisan 2016’da Türkiye'de yürürlüğe giren önemli bir yasadır.’ şeklindedir. Şimdi de bir avukatın ağzından ve perspektifinden dinleyelim; İpek Hanım kişisel veriler nedir? Kişisel Verilerin Korunması Kanunu Nedir?

Av.İpek S. Baykara: Kişisel veriler, gerçek kişilere yani bireylere ilişkin her türlü bilgidir. Buna ad, telefon numarası, imza, e-mail, adres gibi veriler kişisel verilere örnek olup sağlık, ırk, din, biyometrik (parmak izi, yüz gibi), dernek üyeliği gibi veriler özel nitelikli kişisel veriler kategorisine girmekte olup koruma şartları çok daha kapsamlıdır. 


Kişisel Verilerin Korunması Kanunu (KVKK) ise Türkiye'de kişisel verilerin işlenmesi sürecini düzenleyen temel bir hukuksal düzenlemedir. Bu hukuksal düzenlemeye teknolojik gelişmelerle kişisel verilerin ekonomik değer kazanmasından dolayı ihtiyaç duyulmuştur. Kişisel verilerin ekonomik değeri ise, işletmelere daha iyi kararlar alma, daha etkili pazarlama stratejileri geliştirme, ürün ve hizmetleri kişiselleştirme ve yeni iş modelleri oluşturma konusunda yardımcı olmasından kaynaklanmaktadır. Örneğin; bir e-ticaret sitesi, kullanıcının geçmiş alışverişlerine veya ilgi alanlarına göre önerilerde bulunarak belli bir işletmenin satışlarını arttırabilir ve haksız rekabete yol açabilir. Kısaca kişisel veriler, bireylerin kimlikleri, ilgi alanları, davranışları, tercihleri ve demografik özellikleri hakkında çeşitli bilgiler sunar. Bu bilgiler ise, işletmelere birçok menfaat sağlamaktadır. Bu yönden, bu kadar önemli olan kişisel verilerin kanun tarafından düzenlenmesi ise bireylerin temel haklarını korumayı sağlamak için bir zorundalıktır.


Günümüzde birçok şirketin, kamu kurum ve kuruluşunun, yabancı kuruluş veya gerçek kişinin kendi faaliyetleri kapsamında çok sayıda kişisel veri elde ettiği dikkate alındığında kişisel verilerin korunması ön plana çıkmaktadır. Kişisel verilerin korunması, bireylerin mahremiyetini, temel hak ve özgürlüklerini korumak ve veri işleme süreçlerinin şeffaflık ve güven ilkeleri doğrultusunda yürütülmesini sağlamak için gereklidir. Bu kapsamda; KVKK’nın amacı, kişisel verilerin işlenmesinde hukuka uygunluğu sağlamak, veri sorumlularının yükümlülüklerini belirlemek ve bireylerin haklarını korumaktır.


Selin Baykara: Veri sorumlusu kimdir? KVKK kapsamındaki yükümlülükler nelerdir?


Av.İpek Seden Baykara: Veri sorumlusu, kişisel verilerin neden ve nasıl işleneceğine karar veren taraftır. Buradaki en önemli unsur, veri sorumlusunun kişisel veriler üzerinde karar verme yetkisinin bulunmasıdır ve veri sorumlusu, bir şirket, bir kamu kurumu, bir dernek veya hatta bir kişi olabilir. 


KVKK kapsamında kişisel verileri yasal mevzuata uygun şekilde işlemek, kişisel verilerin muhafazasını sağlamak, veri sorumlusunun kişisel verilerini işlediği kişi aydınlatmak, bilgilendirme yükümlülüğü, kişisel verilerin güvenliğini sağlamak, kişisel verilerin kanuna aykırı şekilde işlenmesini, 3.kişilere aktarılmasını vs. engellemek, Kişisel Verileri Koruma Kurulu’nun kurul kararlarına uymak ve KVKK kapsamında kurulan Veri Sorumluları Sicili (VERBİS)’e kayıt olma yükümlülüğü mevcuttur.


Veri sorumluları, ayrıca, kişisel veri işleme süreci boyunca hukuka uygunluk, şeffaflık, doğruluk, ölçülülük gibi ilkelere de uymak durumundadır.


Selin Baykara: Veri sorumlusu ile veri işleyen arasındaki fark nedir?


Av.İpek Seden Baykara: Veri sorumlusu, kişisel verilerin işlenmesi konusunda yetkili, karar veren tarafken veri işleyen ise, veri sorumlusunun talimatlarına göre kişisel veri işleme sürecine dahil olan taraftır. Veri sorumlusu ile veri işleyen arasında genelde bir hizmet ilişkisi bulunmaktadır. 


Bir kurum (örneğin, bir şirket, bir okul, bir hastane) ve bu kuruma güvenlik hizmeti sağlayan bir güvenlik firması arasındaki ilişki, iki kavramın açıklanması açısından önemli bir örnektir:


  1. Kurum, kendi tesislerinde güvenlik kameraları yerleştirerek veya ziyaretçi kayıt sistemi kullanarak kişisel veri toplar. Bu veriler arasında kamera görüntüleri, ziyaretçi ad-soyad bilgileri, kimlik bilgileri, giriş-çıkış saatleri ve araç plakaları yer alabilir. Kurum, bu verileri hangi amaçla (örneğin, güvenlik sağlama, suç önleme, olayları araştırma) ve hangi araçlarla (örneğin, güvenlik kameraları, kayıt cihazları, ziyaretçi kayıt yazılımları) işleyeceğine karar verir.

Bu durumda, kurum veri sorumlusudur. Çünkü kurum, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen taraftır. Kurum, hangi alanların izleneceğine, verilerin ne kadar süreyle saklanacağına, kimlere aktarılacağına ve bu verilerin nasıl kullanılacağına karar verir.


  1.  Güvenlik firması, kuruma güvenlik hizmeti sunmak amacıyla; kurumun talimatları doğrultusunda güvenlik kameralarını kurar, kayıtları izler, ziyaretçi kayıtlarını tutar ve güvenlikle ilgili olaylara müdahale eder. Güvenlik firması, bu faaliyetleri yürütürken kişisel verilere erişir ve bunları işler.

Bu durumda, güvenlik firması veri işleyendir. Çünkü güvenlik firması, veri sorumlusu olan kurumun talimatları doğrultusunda kişisel verileri işler. Kurum, hangi verilerin işleneceğini, hangi amaçla işleneceğini ve nasıl işleneceğini belirlerken, güvenlik firması bu talimatlara uygun olarak veri işleme faaliyetlerini gerçekleştirir. Örneğin, kurumun belirlediği saklama süresine uyar, kurumun yetki vermediği kişilere verileri aktarmaz.

Selin Baykara: Veri işleyen ile veri sorumlusu arasındaki sözleşmede yer alması gereken temel unsurlar nelerdir?


Av.İpek Seden Baykara: Bu nokta kapsamlı bir sözleşme olası uyuşmazlıkların çözümü açısından oldukça önemlidir.


KVKK kapsamında bir ihlal gerçekleştiğinde veri sorumlusu ile veri işleyen müştereken sorumludur. Yani, ihlalden hem veri sorumlusu hem de veri işleyen birlikte yükümlüdür. Bu durumda; hem veri sorumlusu hem de veri işleyen açısından veri işleyen sözleşmeleri özenle hazırlanmalıdır. 


Her bir sözleşme veri sorumlusu ile veri işleyen arasındaki ilişkiye, sektöre, işlenen kişisel verilere göre değişmektedir. Ancak temel olarak; sözleşme ile veri işleyenin kişisel verilere ilişkin yetki ve sorumlulukları detaylı şekilde düzenlenmeli ve veri sorumlusunun kişisel verilerin korunması hakkındaki politikalarının veri işleyen tarafından da uygulanacağını, kişisel verilere erişimin, aktarımının, yok edilmesi gibi unsurları içermesinin yanı sıra risk analizine, veri ihlali durumunda acil durum planı yapılmasına yönelik maddeler de bulunmalıdır.


Selin Baykara: KVKK'nın işletmelere yüklediği yükümlülükler nelerdir?

ve KVKK’ya uyum sağlamak için işletmeler hangi adımları atmalıdır?


Av.İpek Seden Baykara: Yukarıda da bahsettiğim gibi; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu olup temel yükümlülükleri:


  • Aydınlatma yükümlülüğünü yerine getirmek (ilgili kişileri veri işleme faaliyetleri hakkında bilgilendirmek).

  • Veri güvenliğini sağlamak (gerekli teknik ve idari tedbirleri almak).

  • İlgili kişi başvurularını yanıtlamak (örneğin, verilere erişim, düzeltme veya silme taleplerini değerlendirmek).

  • Veri işleme şartlarına uymak (verileri hukuka uygun bir şekilde işlemek).

  • Kişisel Verileri Koruma Kurumunun kurul kararlarını uygulamak,

  • Veri ihlallerini bildirmek,

  • Veri kayıt sistemini oluşturmak ve yönetmektir.


Veri sorumlusu, KVKK’ya uygun kişisel veri işlemesi için KVKK uyum çalışması yapması gerekmektedir. Bu çalışma kapsamlı bir çalışma olup çok adımlı aşamalardan oluşmaktadır.


  1. İşletmenin işlediği tüm kişisel verilerin analizi,

  2. İşletme yetkilileri ve çalışanlarının KVKK kapsamında bilgilendirilmesi,

  3. İşletmeye uygun kişisel veri koruma politikasının oluşturulması,

  4. Kişisel veri envanterinin oluşturulması,

  5. İşletmeye uygun aydınlatma metinleri, açık rıza metinlerinin oluşturulması,

  6. İşletmeye uygun sözleşmelerin hazırlanması ve var olan sözleşmelerin KVKK’ya uygun düzenlenmesi,

  7. VERBİS sistemine kayıt,

  8. Kişisel veri ihlali durumunda acil durum planlamaları, risk analizleri, periyodik kontrol takvimleri gibi çalışmaların yapılması şeklindedir.


KVKK uyum çalışması da veri sorumlusu işletmelere özgü olup detaylı bir çalışmadır. Bu çalışmanın kişisel verilerin korunması konusunda uzman bir avukat tarafından yapılması KVKK’ya uygun kişisel veri işleme sürecinin yürütülmesi açısından hayatidir.


Selin Baykara: Veri sorumlularının KVKK hükümlerine uyumları nasıl denetlenir?


Av.İpek Seden Baykara: Veri sorumlularının KVKK'ya uyumu, hem ilgili kişilerin yani kişisel  verileri işlenen kişilerin haklarını kullanması hem de Kişisel Verileri Koruma Kurumunun denetim ve yaptırımlarıyla sağlanır.


KVKK’ya göre; ilgili kişilerin, yani kişisel verileri işlenen kişilerin, kişisel verilerini işleyen veri sorumlusu olan işletmeye başvurarak işlenen kişisel verileriyle ilgili bilgi edinme ve kişisel verilerinin işlenmesini engelleme gibi hakları mevcuttur. İlgili kişilerin şikayet hakkı bir denetim mekanizması olup veri sorumlusunun ilgili kişinin başvurusunu cevaplandırmaması veya olumsuz cevaplandırması durumunda ilgili kişinin bu sefer Kişisel Verileri Koruma Kurumuna şikayet hakkı doğar. Şikayet durumunda ise; kurum, veri sorumlusunun veri işleme faaliyetini detaylı bir şekilde inceler ve denetler.


Yine KVKK’ya göre; Kişisel Verileri Koruma Kurumu, kanunun uygulanmasını re’sen ve şikayet üzerine denetlemekle yükümlüdür. Kurumun görevleri şunlardır:

  • Şirketlerin (veri sorumlularının) KVKK'ya uyup uymadığını denetlemek,

  • İhlal durumunda şirketlere; idari para cezası vermek veya başka yaptırımlar uygulamak,

  • Kişisel verilerin korunması konusunda kamuoyunu bilinçlendirmek,

  • İlgili kişilerden gelen şikayetleri değerlendirmektir.

Kişisel Verileri Koruma Kurumu, şirketleri yani veri sorumlularını kendiliğinden denetleyebilir veya ilgili kişilerden gelen şikayetler üzerine harekete geçebilir.

Şikayetler ise, genellikle şirketlerin kişisel verileri hukuka aykırı olarak işlemesi, veri güvenliğini sağlamaması veya ilgili kişi haklarına aykırı davranıp ilgili kişilerin başvurularını görmezden gelmesi durumlarında yapılır.


Selin Baykara: Veri sorumlularının yükümlülüklerini ihlal etmeleri durumunda karşılaşabilecekleri cezalar nelerdir?


Av.İpek Seden Baykara: Veri sorumlularının KVKK yükümlülüklerini ihlal etmeleri durumunda hem idari para cezalar ile yaptırımlar hem de Türk Ceza Kanunu (TCK) kapsamında cezai sorumluluk gündeme gelir. Kişisel Verileri Koruma Kurumu, aydınlatma yükümlülüğünün yerine getirilmemesi veya veri güvenliğine ilişkin yükümlülüklere aykırılık gibi durumlarda idari para cezaları uygulayabilirken, kişisel verilerin hukuka aykırı olarak kaydedilmesi veya ele geçirilmesi, kişisel verilerin yok edilmemesi gibi ihlaller TCK'ya göre suç teşkil eder. 


Kişisel Verileri Koruma Kurumu; ihlalde bulunan veri sorumluları hakkında idari yaptırımlarda bulunabileceği gibi aşağıda verilen İdari para cezaları uygular.


Aydınlatma yükümlülüğüne aykırılık

68.083-1.362.021 TL arası idari para cezası

Veri güvenliğine ilişkin aykırılık

204.285-13.620.402  TL arası idari para cezası

Kurul kararlarının ihlali

340.476-13.620.402  TL arası idari para cezası

VERBİS’e kayıt ve bildirim yükümlülüğünün ihlali

272.380-13.620.402  TL arası idari para cezası


m.9/5 uyarınca aykırılık

71.965-1.439.300 TL arası idari para cezası


TCK kapsamında ise; kişisel verileri hukuka aykırı olarak kaydetmek bir yıldan üç yıla kadar hapis cezası, kişisel verileri hukuka aykırı olarak bir başkasına verilmesi, yayılması veya ele geçirilmesi durumlarında 2 yıldan 4 yıla kadar hapis cezası, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemesi durumunda 1 yıldan 2 yıla kadar hapis cezası ile cezalandırıldı. Bu suçların kamu görevlisi tarafından ve görevinin verdiği yetkiyi kötüye kullanılmak suretiyle, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanılması durumunda ise cezalar yarı oranda artırılır.


Ayrıca; KVKK’ya aykırılık nedeniyle zarar gören kişisel verileri işlenen gerçek kişilerin manevi ve maddi tazminat davası açma hakları da mevcuttur.


Selin Baykara: Cevaplarınız için çok teşekkür ederiz. Kişisel Verilerin Korunması Kanunu ile ilgili söyleşimizin birinci bölümünün sonuna geldik. İkinci bölümde tekrar görüşmek üzere hoşça kalın...

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Avukat İpek Seden Baykara | University of Sussex Bilişim ve Fikri Mülkiyet Hukuku (IT&IP) Üzerine

Selin Baykara: Merhaba Avukat İpek Seden Baykara ile olan sohbetimize hoş geldiniz! Ben Selin Baykara. Biz kimiz? İlk olarak kendimi tanıtmak isterim; Ankara’da lisansımı tamamladıktan sonra İrlanda’da gazetecilik alanında yüksek lisans programını tamamladım. Uzun yıllar Dublin’de yaşadıktan sonra Türkiye’ye geri döndüm. Bu blogda, hukuk dünyasındaki en son gelişmeleri, yapay zeka ve hukuk, kişisel verileri koruma kanunu ve daha birçok konuyu Avukat İpek Seden Baykara ile ele alacağız.  İpek S. Baykara: Bende 2020'den beri Ankara Barosu'na kayıtlı bir avukat ve hukuk danışmanı olarak çalışmaktayım. Meslekteki üçüncü yılımda, dijital dünyanın hızla değişen yapısına ayak uydurmak ve bu alanda uzmanlaşmak için İngiltere'ye, Sussex Üniversitesi'ne gittim. Orada, geleceğin hukukunu şekillendiren konulardan olan Bilişim ve Fikri Mülkiyet Hukuku üzerine yüksek lisans yaparak bu alanlarda bilgi ve deneyim kazanarak uzmanlık kazandım. Eğitimimi tamamladıktan sonra Türkiye'...
Devamı

Avukat İpek Seden Baykara | Yapay Zeka ve Hukuk

               Merhaba bloğumuzun ikinci bölümüne hoş geldiniz ! Ben Selin Baykara ve Ankara, Eylül Hukuk Bürosu Avukatlarından Av. İpek Seden Baykara ile birlikte yapay zekanın hukuk alanındaki etkilerini keşfedeceğimiz bu söyleşiyi sizlere sunmaktan mutluluk duyarız.  Av. İpek S. Baykara: Merhaba! Bu bölümümüzde yapay zekanın hukuk alanındaki rolüne dair temel kavramları ve uygulamaları ele alacağız. Selin Baykara: İlk sorumuzla başlıyorum. Yapay zeka nedir?  Av. İpek S. Baykara: Yapay zeka, düşünme yeteneği olan bir makine olmasının yanı sıra insan zekasını taklit eden bir teknolojidir. Selin Baykara: Yapay zeka neden çığır açan bir teknoloji olarak kabul edilmektedir? Av. İpek Seden Baykara: Buradaki en önemli unsur yapay zekanın insana özgü yeteneklere sahip olmasıdır. Ayrıca yapay zeka insandan daha hızlı ve verimli şekilde çalışma yeteneğine de sahiptir. Bunun yanı sıra; çalışmalar, yapay zekanın gelişiminin sonucunda, i...
Devamı