Kişisel Veriler

Kişisel Verilerin İşlenmesi ve Korunması Kanunu ile ilgili Bilmeniz Gerekenler

Kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların düzenlendiği Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde Resmi Gazetedeyayınlanarak yürürlüğe girmiştir.

Kişisel Veri Nedir?

Kişisel Veriler, Kişisel Veri ve Özel Nitelikli Kişisel Veri (Hassas Veri) olarak gruplandırılmıştır.

  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin ad, soyad, doğum tarihi, doğum yeri, telefon numarası, e-mail adresi, araç plakası, sosyal güvenlik numarası, pasaport numarası gibi her türlü bilgiyi ifade etmektedir.
  • Özel Nitelikli Kişisel Veri (Hassas Veri): Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel veridir.

Kimleri Kapsar?

Kişisel Verilerin Korunması Kanunu hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişilere uygulanır.


Kişisel Verilerin İşlenmesiyle ilgili Şartlar Nelerdir?

Kişisel verilerin işlenmesi ile ilgili şartlar Kişisel Veri ve Özel Nitelikli Kişisel Veri kapsamında farklılık gösterir.

Kişisel Verilerin işlenme şartları: Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak aşağıdaki şartlardan en az birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

  1. Kanunlarda açıkça öngörülmesi.
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Verilerin işlenme şartları: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel veridir. Bu veriler kurul tarafından belirlenen yeterli önlemler alınmaksızın ve kişinin açık rızası olmaksızın işlenemez. Ancak aşağıdaki şartlardan en az birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın özel nitelikli kişisel verilerinin işlenmesi mümkündür:

  1. Kanunlarda açıkça öngörülmesi.
  2. Siyasi parti, vakıf, dernek veya sendika gibi kâr amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verileri işlemesi.
  3. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  4. Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması.
  5. Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.

Mevcut Kayıtların Durumu Ne olacak?

Kanunun yayın tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde, bu kanuna uygun kabul edilir.


Kişisel Verilerin İşlenmesiyle ilgili Temel İlkeler Nelerdir?

Kişisel verilerin hukuka uygun şekilde işlenebilmesi için aşağıdaki tüm şartların birlikte sağlanması gerekir.Kişisel Verilerin İşlenmesiyle ilgili Temel İlkeler Nelerdir?

 


Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kişisel Verilerin Korunması kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
Veri sorumluları, kişisel verilerin işlenmesine ilişkin sebepler ortadan kalktıktan sonra kişisel verileri resen veya ilgili kişinin talebi üzerine silmek, yok etmek veya anonim hale getirmekle yükümlüdür.

Anonim hale getirmek;

Kişisel verilerin, başka verilerle eşleştirilerek hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.


Kişisel Verilerin Üçüncü Kişilere Aktarılması

Kural olarak veriler, ilgili kişinin Açık Rızası olmadan üçüncü kişilere aktarılamaz. Bununla birlikte açık rızanın aranmadığı haller, veri toplamadaki istisnalar ile aynıdır.

  1. Kanunlarda açıkça öngörülmesi.
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel Verilerin Yurtdışına Aktarılması

Kural olarak veriler, ilgili kişinin Açık Rızası olmadan yurtdışına aktarılamaz. Bununla birlikte aşağıda belirtilen hallerde açık rıza aranmaz.

  • Kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması,

veya

  • Kişisel verinin aktarılacağı ülkede yeterli koruma bulunmaması halinde o ülkedeki veri sorumlularının yazılı taahhütte bulunması ve Kurul’un aktarıma izin vermesi,
  • Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

Bireylerin Sahip Olduğu Haklar

Bireylerin Sahip Olduğu Haklar


İdari ve Cezai Yaptırımlar

Kişisel verilerin korunması kanununun beşinci bölümünde, kanuna aykırı davranışta bulunan taraflar için uygulanacak yaptırımlar Suçlar ve Kabahatler başlığı altında yayınlanmıştır.

Resmi Gazete Kişisel Verilerin Korunması Kanunu

Nebim V3 – Kişisel Verilerin Korunması Kanunu Desteği

Nebim V3 ERP’nin Ekim 2016 Versiyonu ile birlikte 6698 sayılı Kişisel Verilerin Korunması Kanunuyla ilgili aşağıdaki yenilikler yapılmıştır.

Nebim V3 ERP de Kişisel Verilerin Korunması kanunu kapsamında yapılan geliştirmeler:

  • Nebim V3’ de perakende müşteri, personel ve bağlantılar için V3 içerisindeki alanların (kart üzerindeki alanlar, iletişim, bağlantı, kişisel bilgileri vb) parametrik bir şekilde kişisel veri olarak tanımlanır.
  • Kişisel veri onayı için kullanılacak onay formunun belirlenmesi, kişinin red verdiği durumda kullanılacak pasifize nedeninin belirlenmesi, farklı onay tipleri ile onay alınabilmesi (form yazdırma, basılı form kullanma, Otp SMS) sağlanır.
  • Nebim V3 ERP ve Nebim V3 POS üzerinden yeni kayıt eklenmesi sırasında müşteri onayı istenmesi, onay alınmadan kişisel verilerin kayıt edilmesine izin verilmemesi sağlanır.
  • Kayıtlı bir müşteri kasaya geldiğinde eğer kişisel verileri var ve kişinin onayı yok ise kişiden onay istenmesi, onay vermemesi durumunda onaysız olarak belirtilmesi sağlanır.
  • Daha önce kişisel veri onayı bulunan bir kişinin, kişisel verilerinden birisi değiştirilmek istendiğinde tekrar onay alınması sağlanır.
  • Onay iptali yapılabilmesi, onay iptali yapılan müşterilerin kişisel verilerinin veritabanından silinmesi sağlanır.
  • Form ile onay alındığında, arşiv onayı ve evrak kontrolü ile ikinci onay/red verilebilmesi sağlanır.

Not: Kişisel verilerin Korunması Kanununa ilişkin yönetmelik henüz yayınlanmamış olup, yönetmelik yayınlandığında açıklanacak detaylara bağlı olarak Nebim V3 ERP de yapılan geliştirmelerde de değişiklik yapılabilir.