KİŞİSEL VERİLERİN KORUNMASI DANIŞMANLIĞI
6698 sayılı Kişisel Verileri Koruma Kanunu 07.04.2016 tarihinde yayımlanmış ve yürürlüğe girmiştir. 50 çalışanı ve mali bilanço toplamı 25 milyon üzeri bulunan işletmeler kişisel veri topluyorlarsa Veri Toplama Siciline kayıt olma zorunlulukları bulunmaktadır.
Kimler kişisel veri toplar. En başta e-ticaret siteleri, alış veriş firmaları, hasta kayıt işlemi yapan hastaneler, iş müracaat formu toplayan işletmeler bu kanunun kapsamına girmektedir.
Kişisel Verileri toplarken aydınlatma yükümlülüğüne yerine getirmeyen, veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen, Veri sorumluları siciline kayıt olmayan mükellefler hakkında 20 Bin ile 1 Milyon arasında idari para cezası uygulanmakla birlikte Türk Ceza Kanununun 135 ile 140 ıncı madde hükümleri (6 aydan 3 yıla kadar hapis cezası) uygulanacaktır.
Kişisel Verilerin Koruma Danışmanlığı
Prizma HR olarak Kişisel Verilerin Koruması Danışmanlığı yapıyoruz. Kişisel Verilerin Korunması Danışmanlığı kapsamında kişisel verileri kullanılan kişilerin yasal haklarını koruduğumuz gibi, işletmelere de yasal mevzuatın uygulanması noktasında tüm sorumluluğu üzerimize alacak şekilde danışmanlık hizmeti veriyoruz.
Aşağıdaki makalede Kişisel Verilerin Korunması Kanunu hakkında aklınıza takılan soruların cevaplarını bulabilirsiniz.
KİŞİSEL VERİLERİN KORUNMASI KANUNU
Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaktır.
Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
Kişisel verileri belli bir amacın gerçekleşmesi için işleyecek gerçek ve tüzel kişiler aşağıdaki ilkelere uymak zorundadır.
1) Hukuka ve dürüstlük kurallarına uygun olma.
2) Doğru ve gerektiğinde güncel olma.
3) Belirli, açık ve meşru amaçlar için işlenme.
4) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
5) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Veri sorumlusunun aydınlatma yükümlülüğü
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
1) Veri sorumlusunun ve varsa temsilcisinin kimliği,
2) Kişisel verilerin hangi amaçla işleneceği,
3) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4) Kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda bilgi vermekle yükümlüdür.
İlgili kişinin hakları
Kişisel verileri toplanan Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
1) Kişisel veri işlenip işlenmediğini öğrenme,
2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
6) Kişisel verilerin silinmesini veya yok edilmesini isteme,
7) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme gibi haklarına sahiptir.
Veri güvenliğine ilişkin yükümlülükler
Veri sorumlusu (Verileri toplayan gerçek ve tüzel kişiler)
1) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
2) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
3) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Şikâyet üzerine veya resen inceleme
Kişisel Verilerin Korunması Kurulu, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
50 çalışanı olan ve Mali Bilanço Büyüklüğü Olan İşletmeler Kişisel Veri Topluyorsa Veri Sorumluları Siciline Kaydolmak Zorundadır.
Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.
Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
1) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
2) Kişisel verilerin hangi amaçla işleneceği.
3) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
4) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
5) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
6) Kişisel veri güvenliğine ilişkin alınan tedbirler.
7) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.