Altıparmak Hukuk Bürosu olarak “Kişisel Verilerin Korunması” konusunda hazırladığımız bilgi notunu dernekler, vakıflar ve sivil toplum alanında faaliyet gösteren tüm kurum ve kuruluşların ilgisine sunuyoruz. Sivil toplum kuruluşları, üye ve destekçilerinin verilerine ek olarak, düzenledikleri faaliyetler, eğitimler ve toplantılar nedeniyle üçüncü kişilerin verilerine de erişmekte ve bu kişisel verileri işlemektedirler.
Kişisel veriler, insana ait ve insanı belirleyen bilgilerden oluşmaktadır ve bu nedenle korunması gerekli olan bir hukuki değerdir. “Kişisel verinin korunmasını isteme hakkı” temel insan hakları ve özgürlükler içinde değerlendirilmektedir ve kişisel verileri toplayan, işleyen, yöneten tüm kişi ve kurumlar bu hakkı korumakla yükümlüdür.
Bilgi notumuz, kişisel verilerin ve veri işlemenin ne olduğunu ve STK’ların kişisel verilerin korunmasına dair yükümlülüklerini açıklama amacı taşımaktadır. Bilgi notumuz ekinde KVKK kapsamında kullanılabilecek örnek aydınlatma metinlerine ulaşabilirsiniz.
Pro bono, yani toplum yararına hukuk hizmeti kapsamında bize ulaşan sorulardan yola çıkarak hazırladığımız bilgi notumuzun, KVKK konusundaki bilgi eksikliğini gidermesini ve hak mücadelesi verirken kişisel haklara saygı duymaya katkı sunmasını ümit ediyoruz.
Altıparmak Hukuk Bürosu
Hazırlayan: Stj. Av. Ceren Naz Büyükgebiz
BİLGİ NOTU
2022-04
Kişisel Verilerin Korunması
Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel verilerin işleme amacını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiye veri sorumlusu denir. Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilere de veri işleyen adı verilir.
Kişisel veriler ikiye ayrılır:
Genel nitelikli kişisel verileri kimlik bilgisi, cinsiyet, doğum tarihi gibi hususlar oluştururken; özel nitelikli kişisel verileri dernek, vakıf veya sendika üyeliği, ırk, adli sicil kaydı gibi hususlar oluşturur.
Kişisel Verilerin Kullanılması Kanunu (KVKK) Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde yürürlüğe giren bir yasal düzenlemedir. Bu kanun, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslara değinir. Bu bağlamda kanun, kişisel verilerin korunmasına hizmet eder.
Bu kanunun amacını, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek veya tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek oluşturur.
Kişisel Verilerin İşlenmesi Ne Anlama Gelir?
Kişisel verilerin işlenmesi, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sistemi aracılığıyla otomatik olmayan yollarla depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi işlemler anlamına gelir.
Kişisel verilerin işlenebilmesi için, veri sahibinin açık rızası alınmış olmalıdır. Ancak kanunda açıkça öngörülmesi, veri sahibinin rızası alınamayacak durumda olması, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi amacıyla gerekli olması, bir hakkın kullanımı, tesisi veya korunması için gerekli olması, bir başkasının hayatı veya beden bütünlüğünün korunması adına zorunlu olması ve veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması durumlarında veri sorumlusu tarafından açık rıza aranmaksızın kişisel veriler işlenebilir.
Kişisel Verilerin Otomatik ya da Otomatik Olmayan Yollarla İşlenmesi Ne Anlama Gelir?
Kişisel verilerin işlenmesi iki farklı yol aracılığıyla gerçekleştirilebilir. Kişisel veriler sabit disklerde, CD’lerde veya sunucularda elle girilerek işlenebilir. Bu işleme kişisel verilerin otomatik olmayan yollarla işlenmesi anlamına gelir. Kişisel verilerin sabit diskler, CD’ler veya sunuculara yalnızca depolanıyor olması da bu kapsamda kabul edilir.
İnsan gücüne ihtiyacın en az seviyede olduğu durumlarda gerçekleştirilen kişisel veri işleme işlemlerine kişisel verilerin otomatik olarak işlenmesi denir. Bu işlemede kişisel veriler, bilişim sistemleri üzerinden otomatik olarak özel sektör veya kamu kuruluşları tarafından işlenir. Verilerin kaydedilmesi, değiştirilmesi ya da kullanılması otomatik olarak gerçekleşir.
Sivil Toplum Kuruluşları için KVKK Bağlayıcı Mıdır?
KVKK’nın 3. Maddesi’nde yer verilen tanıma göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Sivil toplum kuruluşları, 6698 sayılı Kanun açısından veri sorumlusu olarak kabul edilmektedir. Bu nedenle ilgili kanun, sivil toplum kuruluşları için bağlayıcı niteliktedir.
Sivil Toplum Kuruluşlarının KVKK Hükümlerince Toplayabileceği Veriler Nelerdir?
Sivil toplum kuruluşları KVKK’nın 5. Maddesi uyarınca, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan hallerde ve verileri işlenen ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, meşru menfaatleri için veri işlenmesinin zorunlu olduğu hallerde kişisel verileri işleyebilir.
Buna bağlı olarak ilgili kişinin adı ve soyadı, cinsiyeti, iletişim bilgileri, eğitim düzeyi, yasal düzenlemenin olanak tanıdığı kapsamda genel toplantı ve etkinlik görsellerini oluşturan fotoğraflar gibi kişiyi belirlenebilir kılma özelliğine haiz bilgiler sivil toplum kuruluşlarınca toplanabilir.
Sivil Toplum Kuruluşlarının Hangi İçerikte Metinler Hazırlaması Gerekir?
KVKK ve diğer mevzuatlarda yer alan maddelerden hareketle sivil toplum kuruluşlarının; işbirlikleri, üyelikler, bağışlar, eğitimler ve benzeri etkinlikler aracılığıyla edinmiş oldukları kişisel verilere ilişkin yükümlülükleri söz konusudur. Bu nedenle sivil toplum kuruluşlarının iletişim adreslerinde gizlilik ilkeleri ve politikalarıyla beraber gerçekleştireceği etkinliklerle bağlantılı olacak şekilde çeşitli aydınlatma metinleri oluşturması gerekir. Sivil toplum kuruluşlarının çalışmalarında yol gösterici olması bakımından hazırladığımız örnek metinlere bilgi notu sonundaki linklerden ulaşabilirsiniz.
Kişisel Verilerin İşlenebilmesi İçin Hangi İlkelere Uyulması Gerekir?
Kişisel verilerin işlenmesi;
KVKK’dan Doğan Haklar ve Yükümlülükler Nelerdir?
Kanunda veri sorumlusunun yükümlülüğü açısından ve ilgili kişinin hakları açısından iki farklı şekilde düzenleme yer almaktadır:
Veri sorumlusunun yükümlülükleri;
İlgili kişinin hakları ise;
KVKK’da Başvuru, Şikâyet ve Veri Sorumlularının Sicili Nasıl Düzenlenmiştir?
1- Veri Sorumlusuna Başvuru
Veri sahibi olan kişi, kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi için veri sorumlusuna başvuruda bulunabilir. KVKK’nın yanı sıra, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik bulunmaktadır.[1]
Kişisel Verilerin Korunması Kanunu’nun uygulamasıyla ilgili veri sorumlusuna başvurmak için, yazılı talep ile veya Kişisel Verileri Koruma Kurulu’nun belirleyeceği diğer yöntemlerle başvurucu talebini veri sorumlusuna iletir. Veri sorumlusu başvuruda yer alan talebi en geç 30 gün içinde, olabildiğine kısa sürede ve söz konusu işlem ayrıca bir maliyet gerektirmiyorsa ücretsiz olarak sonuçlandırır.
Veri sorumlusu, talebe karşı iki şekilde cevap verebilir:
Veri sorumlusu her iki durumda da talepte bulunan ilgili kişiye, yazılı veya elektronik olarak bildirimde bulunmalıdır.
Başvuruda yer alan talebin kabulü halinde talep yerine getirilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi halinde; ilgili kişi Kurul’a şikâyette bulunabilir.
2- Kişisel Verileri Koruma Kurulu’na Şikâyet
Kurul, şikâyet üzerine veya ihlal iddiasının öğrenilmesi durumunda incelemeyi resen gerçekleştirir. İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 gün ve her halükarda başvuru tarihinden itibaren 60 gün içinde Kurul’a şikâyette bulunabilir. Kişilik hakkı ihlal edilenlerin tazminat hakkı saklıdır. Devlet sırrı niteliğindeki bilgi ve belgeler hariç olmak üzere, veri sorumlusu talep edilen bilgi ve belgeleri 15 gün içinde Kurul’a göndermelidir. Talep edilen bilgi ve belgeler için yerinde inceleme yapılması gerektiği takdirde, bunun sağlanması yine veri sorumlusuna aittir.
Şikâyet üzerine Kurul, talebi inceler. Şikâyet talebinin gerçekleştiği tarihten itibaren 60 gün içinde başvurucuya cevabını iletir. Kurul, belirtilen süre içerisinde cevap vermediği takdirde başvurucunun talebi reddedilmiş sayılır.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının tespit edilmesi durumunda Kurul, bu konuda kararlar alır ve bu kararları yayınlar.
3- Veri Sorumluları Sicili
Veri Sorumlusu sıfatıyla kişisel verileri işleyen gerçek ve tüzel kişiler, Veri Sorumluları Siciline kaydolmakla yükümlüdür. Veri Sorumluları Sicili, kurul gözetiminde kamuya açık olarak tutulur. Sicil kayıtlarına Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) üzerinden ulaşılabilir.[2] VERBİS, sicile başvuru ve ilgili işlemlerde kullanılan, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemidir.
Veri Sorumluları Siciline kayıt yükümlülüğü yerine getirilirken VERBİS’e kişisel verilerin hangi amaçla işleneceği, ne kadar süre ile muhafaza edileceği ve nerelere aktarılabileceği gibi bilgiler girilir. Veri Sorumluları VERBİS’e kayıt olurken, ilgili kişilerin kişisel verilerine ait veri girişi yapmamaktadır.
Veri Sorumluları Siciline kayıt başvurusu için yapılacak bildirimde yer alması gereken hususlar şu şekildedir:
4- Veri Sorumluları Siciline Kayıt Yükümlülüğünden Muaf Olunabilir Mi?
Veri Sorumluları Siciline kayıt yükümlülüğünden muaf olunması mümkündür. KVKK’nın 28. Maddesi’nde düzenlenen istisnai hallerden birinin mevcut olması halinde bu kanun hükümleri uygulanmamaktadır[3]. Bunun yanı sıra Kurul’un kararıyla da VERBİS’e kayıt yükümlülüğünden muaf olunabilir.
Vakıf, Dernek ve Sendikalara Ait İktisadi İşletmelerin Sicile Kayıt Yükümlülüğüne İlişkin Kişisel Verileri Koruma Kurulu’nun 09.06.2021 Tarihli ve 2021/571 Sayılı Kararı’na göre; kanunda belirtilen faaliyet amaçları ile sınırlı olmak kaydıyla, Türkiye’deki yerleşik dernek, vakıf ve sendikalardan kendisine bağlı iktisadi işletmesi bulunmayanlar Veri Sorumluları Siciline kayıt yükümlülüğünden muaftır.[4]
Türkiye’de yerleşik Dernek, Vakıf ve Sendikalardan kendisine bağlı iktisadi işletmesi bulunanlar ise iktisadi işletmelerinin faaliyetleriyle sınırlı olmak kaydıyla VERBİS’e kayıt olmakla yükümlüdür.
VERBİS’e kayıt yükümlülüğünden muaf olunması KVKK kapsamındaki diğer yükümlülüklerden de muaf olunduğu anlamına gelmez. Her ne kadar Türkiye’de yerleşik ve kendisine bağlı iktisadi işletmesi olmayan Dernek, Vakıf ve Sendikaların sicile kayıt olması gerekmiyor olsa da KVKK ve ilgili mevzuata uygun davranma yükümlülükleri devam etmektedir.
KVKK’nın 28. Maddesi’nin ikinci fıkrasında yer alan faaliyetlerden birini gerçekleştiren veri sorumluları, ilgili maddede geçen faaliyetler kapsamında elde ettiği kişisel veriler için VERBİS’e kayıt yükümlülüğünden muaftır.[5] Bu madde kapsamındaki veri sorumlularının sayılan faaliyetler dışındaki işlem ve eylemleri sonucunda elde ettiği kişisel veriler için kayıt yükümlülüğü devam etmektedir.
KVKK’da Düzenlenen Suçlar ve Kabahatler Nelerdir?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 17. Maddesi’nde KVKK’ya uygun olmayan eylem ve işlemlerde bulunan veri sorumluları için uygulanabilecek olan yaptırımlara yer verilmiştir. Bu maddeye göre KVKK’ya uygun olmayan eylem ve işlemler için iki ayrı kanuna başvurulabilir:
Türk Ceza Kanunu’nun 135. Maddesi ile 140. Maddesi arasında kişisel verilere ilişkin; özel hayatın gizliliğini ihlal, kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme, verileri yok etmeme suçları ve bahsi geçen suçların nitelikli halleri düzenlenmiştir. Buna göre ilgili maddeler arasında yer alan suçlardan birinin işlenmesi halinde bir yıl ila dört yıl arasında değişen hapis cezasına hükmolunur.
KVKK’nın 18. Maddesi’ne göre aydınlatma yükümlülüğünü yerine getirmeyen, veri güvenliğini sağlamayan, Kurul tarafından verilen kararları yerine getirmeyen ve Veri Sorumluları Siciline kayıt ve bildirimde bulunmayan veri sorumlusu gerçek veya tüzel kişiler için Kabahatler Kanunu uyarınca 5.000 TL ile 1.000.000 TL arasında idari para cezasına hükmolunur.
Örnek olarak hazırlanmış metinlere ulaşmak için:
Örnek- Eğitim Aydınlatma Metni
[1] https://mevzuat.gov.tr/mevzuat?MevzuatNo=24038&MevzuatTur=7&MevzuatTertip=5
[2] VERBİS adresi: https://verbis.kvkk.gov.tr/
[3] KVKK Md.28/1’inci fıkrasında; Kişisel verilerin veri güvenliği yükümlülüklerine uyulmak kaydıyla gerçek kişilerce veya birlikte yaşadığı aile fertleriyle ilgili olarak işlenmesi; Resmi istatistik ile anonim hale getirilmek suretiyle planlama ve istatistik amaçla işlenmesi; Milli savunma, milli güvenlik, kamu güveni ve düzenin, ekonomik güvenliğin veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özürlüğü kapsamında işlenmesi; Kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi; Soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin yargı makamları veya infaz merciileri tarafından işlenmesi düzenlenmiştir.
[5] KVKK Md.28/2’nci fıkrasında; Suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması; Veri sahibi tarafından alenileştirilmiş kişisel verilerin işlenmesi; Kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması; Bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması sebebiyle kişisel verilerin işlenmesi düzenlenmiştir.
