-
Mail[email protected]
-
Telefon0 505 918 21 49
- Avukata Sor
Kartal Avukat
Dijital çağın getirdiği en büyük devrim veridir. Artık "veri", yeni çağın petrolü olarak adlandırılmaktadır. Ancak bu değerli kaynağın kontrolsüzce toplanması, işlenmesi ve paylaşılması, bireylerin mahremiyetine yönelik ciddi tehditleri de beraberinde getirmiştir. İşte bu tehditlere karşı bir kalkan olarak, 2016 yılında hayatımıza giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), hukuk sistemimizin en dinamik alanlarından biri haline gelmiştir.
İstanbul’un ticaret ve iş merkezi olma yolunda hızla ilerleyen Kartal ve Anadolu Yakası’nda faaliyet gösteren şirketler için KVKK, sadece bir yasal zorunluluk değil, aynı zamanda ticari itibarın korunması meselesidir. Vatandaşlar için ise, kimlik bilgilerinden sağlık verilerine, alışveriş alışkanlıklarından parmak izine kadar kendilerine ait olan her türlü bilginin "sahibi" olma hakkını geri kazanma sürecidir.
KVKK’nın temel amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini düzenlemektir.
Kanun, veri işlemeyi yasaklamaz; aksine verilerin belirli kurallar ve disiplin içinde, hukuka uygun olarak işlenmesini sağlar. Yani bir mağazanın müşterisine kampanya SMS'i atmasından, bir hastanenin hastasının tahlil sonuçlarını saklamasına kadar her işlem, bu kanunun çizdiği sınırlar içinde yapılmalıdır.
Hukuki terminolojide sıkça geçen bazı kavramları doğru anlamak, kanunun kapsamını kavramak için şarttır. Bir Kartal KVKK avukatı olarak en sık karşılaştığımız soru şudur: "Sadece T.C. kimlik numaram mı kişisel veridir?" Cevap: Hayır.
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Ad, soyad, doğum tarihi.
Telefon numarası, e-posta adresi.
Araç plakası, IP adresi, konum bilgisi.
Maaş bordrosu, özgeçmiş (CV) bilgileri.
Kanun koyucu, öğrenilmesi halinde kişinin ayrımcılığa uğrama veya mağdur olma riskinin bulunduğu bazı verileri daha sıkı koruma altına almıştır. Bunlara "Hassas Veri" de denir.
Sağlık bilgileri (hastalıklar, kan grubu, ilaç raporları).
Biyometrik veriler (parmak izi, yüz tanıma, retina taraması).
Din, mezhep, siyasi düşünce, dernek/vakıf üyeliği.
Ceza mahkumiyeti ve güvenlik tedbirleri.
Dikkat: Özel nitelikli verilerin, ilgilinin açık rızası olmadan işlenmesi (sağlık ve cinsel hayat hariç olmak üzere kanunlarda öngörülen haller dışında) kesinlikle yasaktır.
Veri Sorumlusu: Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından sorumlu olan kişidir (Örn: Şirketin kendisi, tüzel kişiliği).
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen kişidir (Örn: Şirketin muhasebe işlerini tutan mali müşavir).
Bir verinin işlenebilmesi için kural olarak kişinin "Açık Rızası" gerekir. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. "Her türlü verimin işlenmesini kabul ediyorum" şeklindeki genel ve ucu açık rızalar ("Battaniye Rıza") hukuken geçersizdir.
Ancak hayatın akışını durdurmamak adına Kanun, açık rıza aranmayan halleri de (KVKK m.5) saymıştır:
Kanunlarda açıkça öngörülmesi (Örn: İşverenin çalışanın özlük dosyasını tutması).
Fiili imkansızlık (Örn: Bilinci kapalı bir hastanın kimlik tespiti).
Bir sözleşmenin kurulması veya ifası (Örn: Kargo şirketinin adresi alması).
Hukuki yükümlülüğün yerine getirilmesi (Örn: Fatura kesmek için vergi no alınması).
Veri sorumlusunun meşru menfaati (Kişinin temel haklarına zarar vermemek kaydıyla).
Kartal ve çevresindeki işletmelerin (site yönetimlerinden fabrikalara, diş kliniklerinden e-ticaret sitelerine kadar) KVKK kapsamında ciddi idari ve teknik yükümlülükleri vardır. Uyum süreci tamamlanmayan şirketler, Kişisel Verileri Koruma Kurulu (KVKK) tarafından kesilen ve milyonlarca lirayı bulan cezalarla karşı karşıya kalabilir.
Veri sorumlusu, veriyi elde etmeden önce veya elde etme sırasında ilgili kişiyi bilgilendirmek zorundadır. Aydınlatma Metni şunları içermelidir:
Veri sorumlusunun kimliği.
Verilerin hangi amaçla işleneceği.
Kimlere ve hangi amaçla aktarılabileceği.
Veri toplamanın yöntemi ve hukuki sebebi.
Kişinin 11. maddedeki hakları.
Belirli kriterleri (çalışan sayısı veya mali bilanço büyüklüğü) aşan veri sorumluları ile ana faaliyet konusu özel nitelikli kişisel veri işleme olanlar (Eczaneler, Hastaneler vb.), VERBİS sistemine kayıt olmak zorundadır. Kayıt yükümlülüğünü yerine getirmemek, çok yüksek idari para cezası sebebidir.
Şirketler, verilerin sızmasını, çalınmasını veya kaybolmasını önlemek için gerekli siber güvenlik önlemlerini (Firewall, antivirüs, yetki matrisi vb.) ve idari önlemleri (Gizlilik taahhütnameleri, çalışan eğitimleri) almak zorundadır.
Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
Kişisel veri işlenip işlenmediğini öğrenme,
İşlenmişse buna ilişkin bilgi talep etme,
Amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında aktarıldığı 3. kişileri bilme,
Eksik veya yanlış işlenmişse düzeltilmesini isteme,
Kanuna aykırı işlenmişse silinmesini veya yok edilmesini isteme (Unutulma Hakkı),
Zarara uğramışsa zararın giderilmesini talep etme hakkına sahiptir.
Olay: İstanbul Anadolu Yakası'nda zincir şubeleri olan bir spor salonu, üyelerinin giriş çıkış kontrolünü sağlamak amacıyla turnikelerde "parmak izi okuma sistemi"ne geçmiştir. Üyelerden parmak izi vermeyenlerin salona girişine izin verilmemiştir.
Hukuki Değerlendirme: Parmak izi, biyometrik veri olduğu için "Özel Nitelikli Kişisel Veri" kategorisindedir. Bu verinin işlenebilmesi için ya kanunlarda açıkça öngörülmesi (ki spor salonları için böyle bir kanun yoktur) ya da kişinin açık rızası gerekir. Açık rıza, "hizmetin ön şartı" olarak dayatılamaz. Yani "Parmak izi vermezsen seni üye yapmam" denilemez. Alternatif bir giriş yöntemi (kartlı geçiş, QR kod vb.) sunulmalıdır.
Sonuç: Kurul'a yapılan şikayet üzerine, spor salonuna biyometrik veri işleme ilkelerine aykırılıktan dolayı yüksek miktarda idari para cezası kesilmiş ve toplanan tüm parmak izlerinin derhal imha edilmesine karar verilmiştir.
KVKK'ya uyum, "olsa iyi olur" türünden bir tavsiye değil, yasal bir zorunluluktur. İhlal durumunda 2024 yılı itibarıyla yeniden değerleme oranlarına göre artan ve milyonlarca TL'yi bulan İdari Para Cezaları söz konusudur.
Aydınlatma yükümlülüğünü yerine getirmemek.
Veri güvenliğine ilişkin yükümlülükleri yerine getirmemek (Veri sızıntısı).
Kurul kararlarını yerine getirmemek.
VERBİS kayıt ve bildirim yükümlülüğüne aykırılık.
Ayrıca TCK 135-140 maddeleri uyarınca kişisel verileri hukuka aykırı kaydetmek, vermek veya ele geçirmek hapis cezası gerektiren suçlardır.
İşveren çalışanlarının e-postalarını okuyabilir mi? Kural olarak hayır. Ancak işveren, iş yeri e-postalarının sadece iş amacıyla kullanılması gerektiğini önceden bildirmişse (Aydınlatma yapmışsa) ve meşru bir denetim gerekçesi varsa (örn: suistimal şüphesi), ölçülülük ilkesine uygun olarak denetleyebilir.
Apartman girişine kamera takmak yasak mı? Güvenlik amacıyla apartman girişlerine kamera takılabilir. Ancak kameralar sadece ortak alanları görmeli, komşuların kapı içlerini veya özel yaşam alanlarını görmemelidir. Ayrıca "Bu alanda kamera ile izleme yapılmaktadır" tabelası asılarak aydınlatma yapılmalıdır.
Telefon numaramı izinsiz arayan firmaları nereye şikayet edebilirim? İzin vermediğiniz halde sizi reklam amacıyla arayan firmaları, Ticaret Bakanlığı'nın İYS (İleti Yönetim Sistemi) üzerinden veya doğrudan Kişisel Verileri Koruma Kurulu'na şikayet edebilirsiniz.
Açık rızamı geri alabilir miyim? Evet. Kişisel verilerinizin işlenmesine verdiğiniz açık rızayı dilediğiniz zaman, hiçbir gerekçe göstermeksizin geri alabilirsiniz. Bu durumda veri sorumlusu verilerinizi işlemeyi durdurmalı ve silmelidir.
KVKK sadece şirketleri mi bağlar? Hayır. Kişisel veri işleyen gerçek kişiler (örneğin apartman yöneticisi, doktor, avukat, esnaf) de veri sorumlusu sıfatıyla kanuna uymak zorundadır. Sadece "tamamen kişisel faaliyet" (örn: kendi telefon rehberiniz) kanun dışındadır.
WhatsApp kullanmak KVKK'ya aykırı mı? WhatsApp sunucuları yurt dışında olduğu için, WhatsApp üzerinden kimlik fotoğrafı veya hassas veri paylaşmak "Yurt Dışına Veri Aktarımı" sayılır. Açık rıza yoksa veya güvenli ülke statüsü yoksa kurumsal kullanımda risk teşkil edebilir.
Veri sızıntısı olursa ne yapmalıyım? Veri sorumlusu iseniz, sızıntıyı öğrendikten sonra en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na ve etkilenen kişilere bildirim yapmak zorundasınız.
Kişisel Verilerin Korunması Kanunu, modern dünyanın anayasalarından biridir. Bireyler için mahremiyetin kalesi, şirketler için ise kurumsal güvenin anahtarıdır. Uyum süreci, sadece bir "Aydınlatma Metni" kopyalayıp siteye yapıştırmaktan ibaret değildir; teknik, idari ve hukuki süreçlerin bütünleştiği yaşayan bir organizmadır.
Kartal, Pendik, Maltepe ve tüm İstanbul Anadolu Yakası'nda faaliyet gösteren işletmelerin, ağır idari para cezalarıyla karşılaşmamak için KVKK uyum süreçlerini profesyonel bir bakış açısıyla tamamlamaları elzemdir. Bireylerin ise haklarının farkında olması, veri ihlallerine karşı sessiz kalmamaları gerekir.
KVKK uyum projeleri, VERBİS kaydı, veri ihlali yönetimi ve hukuki danışmanlık konularında, İşletmenizi riske atmamak veya kişisel haklarınızı korumak için bizimle iletişime geçebilirsiniz.
Ofis
Web Sitemiz üzerinde yer alan içerikler genel bilgilendirme amaçlıdır ve spesifik hukuki tavsiye niteliği taşımamaktadır. Ziyaretçiler, web sitemiz üzerinden edindikleri bilgileri hukuki tavsiye olarak kabul etmemeli ve bu bilgilere dayanarak hukuki işlem başlatmamalıdır. Bu doğrultuda avukatkartal.com.tr , web sitesinde ki içeriklerden ve bilgilerden doğabilecek herhangi bir zarar veya kayıptan sorumlu tutulamaz.
Hukuki yardım veya danışmanlık hizmeti almak isteyen ziyaretçilerin, direkt bir avukat ile iletişime geçmeleri tavsiye edilir. Avukatkartal.com.tr
Kartal Bilişim Avukatı 
