Kişisel Verilerin Korunması Hukuku

Sıkça Sorulan Sorular

  • Özel Nitelikli Kişisel Veri Nedir?

    Başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olma riski taşıyan verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilemez. Bu bakımdan, özel nitelikli kişisel verilerin sınırlı olarak sayıldığı kabul edilir.
    Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.

  • Kişisel Sağlık Verisi Nedir?

    Kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgilerdir. Örneğin; her türlü tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar gibi veriler kişisel sağlık verileridir. Kişisel sağlık verisi özel nitelikli kişisel veridir. Dolayısıyla Kanunda düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabi olmakla birlikte özel nitelikli kişisel verilerin işlenmesinde Kurulca belirlenen yeterli önlemlerin alınması gerekmektedir.

  • Veri Kayıt Sistemi Ne Anlama Gelmektedir?

    Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi elektronik ya da fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, örneğin kredi borcunu ödemeyenlere ilişkin oluşturulacak bir sınıflandırma da bu kapsamda değerlendirilmektedir.

  • Açık Rıza Herhangi Bir Şekil Şartına Tabi Midir?

    Açık rıza beyanı herhangi bir şekil şartına tabi değildir. Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır. Dolayısı ile sözlü, yazılı, elektronik ortam vb. yöntemlerle açık rıza alınması mümkündür. Bununla birlikte, açık rızanın yazılı olduğu durumlarda, açık rıza metinleri açık, anlaşılır ve yalın bir şekilde kaleme alınmalıdır. Ayrıca, açık rızanın, olumlu bir irade beyanı içermesi gerekmektedir. Diğer bir ifade ile, açık rızanın şüpheye yer vermemesi gerekmekte, rızanın talep edilmesine ve alınmasına ilişkin işlemler, ilgili kişinin bu konudaki niyetini açık bir şekilde ortaya koyar nitelikte olmalıdır. Açık rızanın alındığı konusundaki ispat yükümlülüğü ise veri sorumlusuna aittir.

  • Açık Rıza Geri Alınabilir Mi?

    Açık rıza geri alınabilir. Çünkü bu kişiye sıkı sıkıya bağlı bir haktır. Ayrıca kişisel verilerin geleceğini belirleme hakkı ilgili kişiye aittir. Bu bağlamda kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Ancak geri alma işlemi ileriye yönelik sonuç doğurur. Geri alma, beyanın veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler durdurulmalıdır. Geri alma, beyanının veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.

  • Kanunda Sayılan Veri İşlenmesine İlişkin Yükümlülüklerin Yerine Getirilmesi Bakımından Esas Sorumlu Kimdir?

    Kanunda, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusu esas alınmaktadır. Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir. Buna göre, veri işleyenin veri sorumlusunun talimatlarını yerine getirdiği açıktır.

  • Amacın Meşru Olması Ne Demektir?

    Amacın meşru olması; veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.

  • Anonim Veri ve Anonim Hale Getirilmiş Veri Arasındaki Fark Nedir?

    Anonim veri başından beri belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade ederken, anonim hale getirilmiş veri ise daha öncesinde bir kişiyle ilişkilendirilmiş ancak artık bağlantısı kalmamış veridir.

  • Kişisel Veriler Hangi Şartlarda Silinmeli, Yok Edilmeli veya Anonim Hale Getirilmelidir?

    Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

  • Veri Sorumluları Sicili Nedir?

    Kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir. Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir.

2010 yılında yapılan Anayasa değişikliği ile Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesine belirtildiği gibi temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasanın kişinin hak ve ödevlerine ilişkin bölümünde yer almıştır. Akabinde çalışmalardan sonra Kişisel Verilerin Korunması Kanunu (“KVKK”) 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.

KVKK, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kanuna göre, kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Her türlü bilgi deyimi ile yalnızca bireyin adı soyadı, doğum tarihi, doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil; aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve buna benzer özelliklerine ilişkin bilgiler de kastedilmektedir. Bu kapsamda, gerçek kişi hakkındaki görüşler, elektronik cihazların IP adresleri ve MAC adresleri, ses kayıtları, konum bilgisi, adli sicil kaydı, parmak izi, T.C. kimlik numarası, fotoğrafı, kan grubu bilgisi, sağlık raporu vb. veriler de kişisel veri niteliği taşımaktadır.

Kişisel verilerin işlenmesi ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

Kişisel Verileri Koruma Kanunu’nun 4. maddesinde kişisel verilerin işlenmesinde uyulması gereken genel ilkeler belirtilmiştir. Bu ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir.

Veri işleme faaliyeti, açık rıza da dâhil olmak üzere, hangi hukuki sebebe dayanırsa dayansın veri sorumlusu genel ilkelere uymakla yükümlüdür.

Demir Hukuk Bürosu, Kişisel Verilen Korunması Hukuku alanında müvekkillerinin menfaatlerini koruyarak, etkili, hızlı, ekonomik ve çözüm odaklı hizmet vermeyi hedeflemektedir.

Demir Hukuk Bürosu, Kişisel Verilerin Korunması Hukuku’na ilişkin aşağıda belirtilen konularda müvekkillerine hukuki hizmet sunmaktadır:

  • KVKK kapsamında müvekkillerimizin tabi oldukları yükümlülüklerin tespiti ve analizi,
  • Tüzel kişiliğe ait Kişisel Veri Envanterinin ve veri akış şemasının oluşturulması,
  • İdari tedbirler kapsamında çalışanlar başta olmak üzere verisi işlenen tüm kişi gruplarıyla ilgili sözleşmeler, açık rıza ve aydınlatma metinlerinin oluşturulması,
  • Veri sorumlusu müvekkil şirkete ait kişisel verilerin korunmasına ilişkin tüm politikaların (imha politikası, kamera izleme politikası, gizlilik politikası vs.) oluşturulması,
  • Kişisel verilerin yurtiçi veya yurtdışına aktarılması halinde imzalanması gereken çerçeve sözleşmelerin ve onay metinlerinin hazırlanması,
  • İlgili yükümlülüklerin yerine getirilebilmesi bakımından müvekkillerin kullanmaları gereken veri kayıt sistemlerinin oluşturulması aşamasında I.T.departmanları ile gereken iş birliğinin sağlanması ve mevcut durumda kullanılmakta olan veri kayıt sistemlerinin yükümlülüklere uyumlu hale getirilmesi bakımından gerekli desteğin sunulması,
  • Veri sorumlusunun VERBİS’e kayıt sürecinin yürütülmesi.

Hizmetlerimiz Hakkında Bilgi Alın

Tüm Hizmetlerimiz