Türkiye'de Kişisel Verilerin Korunması

Av. Ali Yurtsever yüksek öğrenim

Kişisel Verilerin Korunması Kanunu

6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun (“KVKK”) yürürlüğe girmesiyle birlikte veri sorumluları ve veri işleyenlere yeni kurallar ve yükümlülükler getirilmiştir. LPDP ayrıca bu yükümlülükleri ihlal edenlere ciddi para cezaları ve hapis cezaları öngörmüştür. Ne yazık ki, Türkiye'deki çoğu veri sorumlusu/işleyicisi, KVKK hükümlerinden kaynaklanan potansiyel yükümlülükleri kavrayamamıştır. Veri sorumluları/işleyicileri arasında daha yaygın olan hatalardan biri, KVKK ve kişisel veri koruma hükümlerinin yalnızca KVKK'ya kaydolması gerekenler için geçerli olduğuna inanma eğiliminde olmalarıdır. Veri Sorumluları Sicili (VERBİS).

VERBİS tescil şartı ayrı bir gereklilik/yükümlülük olduğundan ve KVKK hükümlerinin uygulanabilirliğine bağlı olmadığından bu varsayım elbette yanlıştır. Bu nedenle kişisel verileri işleyen tüm şirketlerin (veya kişilerin) VERBİS kayıt yükümlülüğünden bağımsız olarak KVKK'da belirlenen kural ve prosedürlere uyması son derece önemlidir.

Doğrulama Kontrolü – LPDP İşletmeniz İçin Geçerli mi?

KVKK'nın uygulanabilirliği ile ilgili temel sorunlardan biri, şirketlerin, hissedarların ve/veya kişilerin mevzuatta yer alan terimleri yanlış yorumlamalarıdır. En yaygın hatalar “veri işleme” ve “veri denetleyicisi” terimleriyle ilgilidir, çünkü çoğu şirket temsilcisi yanlışlıkla verilerin saklanması ve işlenmesinin iki farklı kavram olduğunu düşünür ve yalnızca kişisel verileri sakladıkları için veri sorumlusu olarak kabul edilemezler. dönüş, şirketin KVKK'ya uyum ve kişisel verilerin korunması konusunda herhangi bir işlem yapmamasına yol açar.

Bu nedenle, pay sahipleri ve şirket temsilcilerinin, hangi KVKK/kişisel veri koruma hükümlerinin kendileri için geçerli olduğunu doğru bir şekilde belirlemek için kişisel veri, veri işleme, veri sorumlusu ve veri işleyen kavramlarını/şartlarını tam olarak anlamaları çok önemlidir.

a. Kişisel veri LPDP içinde çok geniş bir şekilde tanımlanmıştır. Bu tanıma göre kişisel veri, “kimliği belirli olan veya belirlenebilen gerçek kişiye ait her türlü bilgi” anlamına gelmektedir. Bu geniş tanımla, veri sahibinin belirli bir kişiyi tanımlamasına imkan verecek her türlü bilgi kişisel veri olarak kabul edilecektir. Bunlar arasında kimlik bilgileri, ad, soyad, doğum tarihi, telefon numaraları, özgeçmiş, fotoğraflar, gelir, gider tercihleri, adres, çocuk sayısı, e-posta ve IP adresleri, hobiler, konum bilgileri vb. kural, herhangi bir bilgi parçacığının belirli bir kişinin kimliğinin belirlenmesine izin vermesi durumunda, bu bilgiler kişisel veri olarak kabul edilir.

b. Kişisel Veri İşleme KVKK’da “Kişisel veriler üzerinde gerçekleştirilen, tamamen veya kısmen, toplanması, kaydedilmesi, saklanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, geri alınabilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi her türlü işlem” olarak tanımlanmaktadır. otomatik yollarla veya işlemin herhangi bir veri kayıt sisteminin parçası olması şartıyla, otomatik olmayan yollarla”. Bu nedenle, ilgili veri denetleyicisi verileri anlamlı veya etkili bir şekilde kullanmasa bile, yukarıda belirtilen kişilerden herhangi birinin yalnızca saklanması eylemi bile işleme eylemi olarak kabul edilecektir.

c. Veri kontrolü “Kişisel verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmaktadır. Örneğin, şirketiniz bir müşterinin e-posta adresi, telefon numarası, ev adresi, adı, soyadı, doğum tarihi gibi herhangi bir kişisel veriyi fiziksel ortamda, dijital olarak bir sunucuda veya üçüncü taraf hizmet sağlayıcılar aracılığıyla işliyorsa KVKK uyarınca şirketiniz veri sorumlusu olarak kabul edilecek ve kişisel verilerin korunması kurallarına uymanız gerekecektir.

d. Veri işlemcisi “Kişisel verileri veri sorumlusu adına yetkisi dahilinde işleyen gerçek veya tüzel kişi” olarak tanımlanmaktadır. Bu bağlamda, örneğin, şirketinizin finansmanı ve vergi beyannameleri, gerçek kişi veya üçüncü taraf bir şirket olan üçüncü taraf bir muhasebeci tarafından işleniyorsa, bu üçüncü taraf muhasebeci, bu muhasebe belgelerini (faturalar gibi) işleyebilir. kişisel verileri içeren) veri işleyenler olarak kabul edilecektir.

e. Veri Kayıt Sistemi “Kişisel verilerin belirli kriterlere göre yapılandırılarak kaydedildiği kayıt sistemi” olarak tanımlanmaktadır. Bu nedenle, verileri depolamak veya başka şekilde işlemek için tasarlanmış tüm sistemler bir veri kayıt sistemi olarak kabul edilecektir.

LPDP Gereklilikleri ve Olası Yükümlülükler

Yukarıda belirtildiği gibi, kişisel veri sorumlusu ve/veya kişisel veri işleyen olarak sınıflandırılabilecek herhangi bir kişi ve/veya tüzel kişinin, kişisel verileri işlerken KVKK tarafından belirlenen kurallara uyması gerekecektir. Bu şartlar topluca veri işleme için genel koşullar olarak bilinir ve ayrı bir makalede ayrıntılı olarak analiz edilir. Buna göre, kişisel veri sorumlusunun/işleyicisinin KVKK ve ikincil düzenlemelerine tam olarak uyması koşuluyla, bu genel koşullara uygun olarak gerçekleştirilen çoğu veri işlemenin uygun olduğu kabul edilecektir.

Buna karşılık, KVKK tarafından belirlenen kural ve koşullara uyulmaması, kişisel veri sorumlusuna/işleyene bir takım kısıtlamalar ve para cezaları uygulanmasına neden olabilir. Bunlar kısıtlayıcı tedbirlerden 1.000.000.- TL'ye kadar olan idari para cezalarına kadar değişebilmektedir (ihlal durumuna göre daha da yüksek cezalar uygulanabilir).

İdari para cezalarının tespiti kişinin takdirine bırakılmıştır. Veri Koruma Otoritesi (DPA)KVKK'nın 18'inci maddesi, verilebilecek idari para cezaları için sadece bir alt ve üst sınır öngördüğü için. Buna göre KVKK, KVKK'nın 22. maddesi uyarınca KVKK'da belirtilen yükümlülükleri ihlal edenlere idari yaptırım uygulamaya yetkilidir.

KVK'nın bu geniş takdir yetkisi, geçmişte farklı veri sorumlularına/işleyenlere uygulanan bazı idari tedbirlerde bazı sorunlara yol açmış, bazıları ise KVK'nın haklı bir sebep göstermeksizin üst sınırdan para cezası vererek yetkisini kötüye kullandığını savunmuştur. bunu yapın (bazıları uygulanan para cezalarına karşı dava bile açtı). KVKK tarafından verilen idari para cezaları ile ilgili bu hususları daha iyi anlamak için bir önceki yazımız olan “Türkiye Veri Koruma Kurumu Tarafından Verilen İdari Para Cezalarına İtiraz" (Ayrıca mevcut okuyun).

Sonuç

Adil olmak gerekirse, veri işlemeyi yöneten kurallar ve düzenlemeler, özellikle Türkiye pazarında faaliyet göstermeye çalışan yabancı kuruluşlar için karmaşık görünebilir. Ana karışıklık kaynağı elbette LPDP metnidir ve veri kontrolörleri ve veri işleyenlerin yeni dahili veri işleme kurallarını uygularken VPA kararlarını da dikkate almaları gerektiği gerçeğidir ki bu da DPA kararları olduğu için yabancılar için zorlayıcı olabilir. genellikle Türkçe dışında herhangi bir dilde mevcut değildir.

Ayrıca, bu kişisel verilerin korunması mevzuatı hala oldukça yenidir ve bu nedenle, esas olarak yeni DPA kararları ve cezaları ile sürekli olarak gelişmekte ve değişmektedir. Uyumluluk mekanizmalarının bu gelişen doğası, veri kontrolörleri/işlemcileri bu kurallara uyumu sağlamak için standartlaştırılmış yasal metin kullanmayı tercih ederse, bu standartlaştırılmış metinler genellikle çok eski olduğundan ve yanlış veya bazı durumlarda tamamen yetersiz ifadeler içerdiğinden önemli zorluklar ve sorunlar ortaya çıkarır. ve mekanizmalar.

Bu nedenle, veri kontrolörlerinin ve/veya veri işleyenlerin, gelecekte gereksiz ve önlenebilir cezalardan kaçınmak için kişisel veri koruma uyum mekanizmalarının düzgün bir şekilde uygulandığından emin olmak için bir uzmana danışmaları zorunludur.

Select Language »