Kişisel Verilerin Korunması Kanunu İle İlgili Örnek Uygulamalar

Kişisel Veri Nedir ?

ÖRNEK: Bir video gözetim sistemi tarafından yakalanan bireylerin görüntüleri bireylerin tanınabilir olması halinde kişisel veri kapsamında sayılabilir.

ÖRNEK: Telefon bankacılığı sisteminde, müşterinin bankaya talimat verdiği ses kaydı kişisel veri olarak kabul edilebilir

Photo by Quino Al on Unsplash

ÖRNEK: Bir velayet davasında ailesine ilişkin çocuğa yaptırılan çizim, çocuğun ailesine karşı duygularını göstereceği için kişisel veri kapsamındadır. Diğer yandan, bu çizim aracılığıyla anne ve babanın aile içindeki davranışları da anlaşılabiliyorsa, çizim aynı zamanda anne ve babanın da kişisel verisi sayılır. Kanuna göre bir bilginin kişisel veri sayılması için öncelikle bir gerçek kişiye ait olması gerekmekte olup tüzel kişilere ilişkin veriler kişisel verinin tanımı dışında tutulmaktadır.

ÖRNEK: Bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (gerçek bir kişiyle ilişkilendirileceği durumlar hariç) kişisel veri sayılmamaktadır.

ÖRNEK: Ad ve soyad tek başına kişisel veridir ve bir gerçek kişiyi belirleyebilir. Ancak ad ve soyad her zaman bir gerçek kişiyi belirlemek için yeterli olmayabilir, bazı durumlarda bir gerçek kişiyi tespit edebilmesi için ad ve soyadı ile birlikte başka bilgilere de gerek duyulabilir.

ÖRNEK: Yaygın olarak kullanılan ad ve soyadı kombinasyonları bakımından ad ve soyad tek başına bir kişiyi belirli kılmayabilir ama bir gerçek kişiyi belirlenebilir kılma özelliğinden dolayı her zaman kişisel veridir. Ad soyad, bazen tek olması halinde doğrudan ilgili kişiyi belirler bazen de birden çok olması halinde dolaylı olarak ilgili kişiyi belirler. Bu durum, ad ve soyadı kişisel veri olmaktan çıkarmaz.

Photo by Campaign Creators on Unsplash

ÖRNEK: “A Kurumunun B biriminde çalışan, X marka ve kırmızı renkte araca sahip olan, orta yaşta ve kısa boylu bir erkek” ifadesi, bu tanıma uyan tek bir kişi olması durumunda bu kişiyi belirlenebilir kılması nedeniyle kişisel veri sayılır.

ÖRNEK: Takma isimler, lakaplar tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayacak nitelikte ise bu tarz veriler kişisel veri olarak kabul edilir

ÖRNEK: Asgari Geçim İndirimi (AGİ) hesaplanırken çocuk sayısının ve eşin çalışma durumunun güncel olması AGİ’nin doğru hesaplanması ve kişinin ekonomik çıkarları açısından önemlidir.

Photo by Natasha Spencer on Unsplash

ÖRNEK: Bir e-ticaret sitesinin, alışveriş yapan kişinin ad, soyad ve kargo gönderimi için adres bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadı veya kan grubu bilgisini işlemesi meşru amaç kapsamında değerlendirilemeyecektir.

ÖRNEK: Kredi kartı başvurusunda bulunan kişiden, sosyal hayatındaki tercihlerine yönelik bilgi talep edilmesi ölçülülük ilkesine aykırılık oluşturur.

ÖRNEK: Bir vakıf üniversitesi tarafından düzenlenen sempozyuma katılım için e-posta adresini bildiren kişiye, bu üniversite tarafından e-posta ile reklam gönderilmesi, amaçla sınırlı olma ilkesine aykırılık oluşturur

ÖRNEK: Bir benzin istasyonunun belirli bir sürede belirli miktarda benzin alan kişilere ödül vereceği bir kampanyada, kampanyaya katılım için topladığı isim ve araç plaka bilgilerini başka herhangi bir işleme şartı yok ise kampanya bitiminde silmesi gerekir.

Photo by LinkedIn Sales Navigator on Unsplash

Kişisel verilerin hukuka uygun olarak işlenebilmesi için KANUNLARDA AÇIKÇA ÖNGÖRÜLMESİ gereklidir.

ÖRNEK: İş Kanunu gereğince çalışana ait özlük bilgilerinin tutulması.

ÖRNEK: Gelir Vergisi Kanununun 70. maddesi gereği, gayrimenkulünü kiraya verenlerin, vermek zorunda olduğu yıllık beyanname kapsamında kendisine ait kişisel verilerin Maliye Bakanlığının ilgili birimlerince işlenmesi.

ÖRNEK: 6698 sayılı Kanunun 16.maddesinde düzenlenen Veri Sorumluları Siciline kayıt yükümlülüğü kapsamında veri sorumlularının VERBİS’e bilgi girişi yapması.

Photo by Harry Quan on Unsplash

Kişisel verilerin hukuka uygun olarak işlenebilmesi için FİİLİ İMKÂNSIZLIK NEDENİYLE RIZASINI AÇIKLAYAMAYACAK DURUMDA BULUNAN VEYA RIZASINA HUKUKİ GEÇERLİLİK TANINMAYAN KİŞİNİN KENDİSİNİN YA DA BİR BAŞKASININ HAYATI VEYA BEDEN BÜTÜNLÜĞÜNÜN KORUNMASI İÇİN ZORUNLU OLMASI gereklidir.

ÖRNEK: Bilinci yerinde olmayan bir kişinin beden bütünlüğünün korunması amacıyla tıbbi müdahale yapılması gereken durumlarda; yakınlarına haber vermek, yetkili sağlık kurumları tarafından tutulan kayıtlar üzerinden hasta geçmişini öğrenerek gerekli müdahaleyi yapmak gibi amaçlarla kişinin adı, soyadı, kimlik numarası, telefon numarası vb. kişisel verilerinin işlenmesi bu kapsamdadır.

ÖRNEK: Hürriyeti kısıtlanan bir kişinin kurtarılması amacıyla, kendisinin ya da şüphelinin cep telefonu sinyali, kredi kartı kullanım ve işlem hareketleri, araç takip sistemi bilgileri, MOBESE kayıtları vb. kişisel verilerinin ilgili birimlerce işlenerek yer tespitini yapılması.

ÖRNEK: Dağda mahsur kalan bir kişinin kurtarılması amacıyla, cep telefonu sinyali, GPS ve mobil trafik verisinin işlenerek yerinin belirlenmesi.

Photo by henry perks on Unsplash

Kişisel verilerin hukuka uygun olarak işlenebilmesi için BİR SÖZLEŞMENİN KURULMASI VEYA İFASIYLA DOĞRUDAN DOĞRUYA İLGİLİ OLMASI KAYDIYLA, SÖZLEŞMENİN TARAFLARINA AİT KİŞİSEL VERİLERİN İŞLENMESİNİN GEREKLİ OLMASI gereklidir.

ÖRNEK: Bir emlakçının, kira sözleşmesi ile ilgili olarak ev sahibi ve kiracı arasında imzalanan sözleşme kapsamında tarafların kimlik numarası, banka hesap numarası, adres, imza ve telefon gibi kişisel verilerini işlemesi, dosyasında muhafaza etmesi.

ÖRNEK: Bir satıcının müşterisine sattığı bir malı teslim etmek amacıyla müşterisinin adresini taşıma şirketine vermesi.

ÖRNEK: Bir bankanın, maaş müşterisi ile imzaladığı sözleşme kapsamında müşterinin kimlik numarası, elektronik posta, adres, imza, cep telefon numarası gibi kişisel verilerini işlemesi ve dosyasında muhafaza etmesi.

Photo by Paulius Dragunas on Unsplash

Kişisel verilerin hukuka uygun olarak işlenebilmesi için VERİ SORUMLUSUNUN HUKUKİ YÜKÜMLÜLÜĞÜNÜ YERİNE GETİREBİLMESİ İÇİN ZORUNLU OLMASI gereklidir.

ÖRNEK: Taşıma işiyle yükümlü bulunan bir kargo firması tarafından, kişiye teslimat yapılabilmesi için, alıcının adres ve iletişim bilgilerinin kaydedilmesi.

ÖRNEK: Bir şirketin çalışanına maaş ödeyebilmesi için banka hesap bilgilerini işlemesi.

ÖRNEK: Seminer organizasyonu yapılan bir hizmet binasında, gerek katılımcıların gerekse de binanın güvenliğini sağlamak amacıyla katılımcıların kimlik numarası, imza, telefon numarası gibi kişisel verilerinin işlenmesi.

Kişisel verilerin hukuka uygun olarak işlenebilmesi için İLGİLİ KİŞİNİN KENDİSİ TARAFINDAN ALENİLEŞTİRİLMİŞ OLMASI gereklidir

ÖRNEK: Bir kamu kurumunda çalışan personelin ad, soyad ve iş telefonu bilgilerinin vatandaşların kolay erişimini sağlamak amacıyla kurumun internet sitesinde paylaşılması durumunda, bu telefon numaraları, kamu kurumunun yetki alanındaki iş ve işlemlerde kullanılabilecektir.

ÖRNEK: İkinci el araç satışı yapılan internet sitesinde aracını satmak isteyen ilgili kişinin iletişim bilgilerinin, araç alım satımı dışında pazarlama amacıyla kullanılması, bu veri işleme şartı kapsamında değerlendirilmemektedir.

ÖRNEK: Bir avukatın kartvizitini verdiği kişi, sadece hukuki konularda danışma gibi bir amaçla kartvizitte yer alan GSM numarası kullanabilir. Ancak söz konusu GSM numarasına reklam ve kampanya içerikli SMS gönderilmesi veya arama yapılması avukatın irade beyanına aykırıdır.

Kişisel verilerin hukuka uygun olarak işlenebilmesi için BİR HAKKIN TESİSİ, KULLANILMASI VEYA KORUNMASI İÇİN VERİ İŞLEMENİN ZORUNLU OLMASI gereklidir.

ÖRNEK: Bir şirketin kendi çalışanı tarafından açılan bir davada, ispat için bazı verileri kullanması bu kapsamda değerlendirilir.

ÖRNEK: Mahkeme tarafından veli/vasi olarak atanmış bir kişinin, kendisine veli/vasi olarak atanan kişi adına ilgili kamu kurumlarına başvuru yapması için onun verilerini işlemesi.

ÖRNEK: Bir avukatın, müvekkili ile imzaladığı sözleşme kapsamında, mahkeme nezdinde müvekkili adına dava açma, onu temsil etme veya diğer adli işlemlerini yapma gibi haklarını kullanabilmesine imkan sağlaması için kişisel verileri işlemesi.

Kişisel verilerin hukuka uygun olarak işlenebilmesi için İLGİLİ KİŞİNİN TEMEL HAK VE ÖZGÜRLÜKLERİNE ZARAR VERMEMEK KAYDIYLA, VERİ SORUMLUSUNUN MEŞRU MENFAATLERİ İÇİN VERİ İŞLENMESİNİN ZORUNLU OLMASI gereklidir.

ÖRNEK: Bir işletmenin satılması, devralınması gibi bir durumun varlığı halinde, şirketi satın alacak kişinin personelin kişisel verilerinin dâhil olduğu birtakım bilgileri incelemesi meşru menfaat kapsamında değerlendirilebilir.

ÖRNEK: Bir işverenin, nükleer santraldeki çalışanların güvenliğini sağlamaya yönelik iş güvenliği mekanizmalarının kurulması amacıyla çalışanların kişisel verilerini işlemesi.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları:

Özel nitelikli kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızası gerekir.

ÖRNEK: Klinik araştırmalar kapsamında gönüllü olan kişilerin açık rızalarının alınması gerekir.

  • Sağlık ve cinsel hayat dışındaki özel nitelikli veriler; ancak kanunlarda öngörülen hallerde kişinin açık rızası olmaksızın işlenebilecektir.
  • ÖRNEK: Bir kişinin, A hastanesinde tansiyon tedavisi, B hastanesinde ise kalp rahatsızlığı tedavisi gördüğü bir durumda, kalp rahatsızlığı nedeniyle ameliyat olması gereken hasta hakkında bu iki hastane doktorunun sağlık verilerini birbirlerine aktarması

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Kanunun 7. maddesine göre kişisel veriler hukuka uygun şekilde işlenmiş olsalar dahi, işlenmeyi gerektiren sebepler ortadan kalktığında veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmeli, yok edilmeli veya anonim hale getirilmelidir.

ÖRNEK: Bir alışveriş merkezinde yapılan çekiliş için toplanan ad, soyad, telefon numarası gibi bilgiler, alışveriş merkezi tarafından başka kampanyalar için kullanılmamalı, çekilişin tamamlanmasının ardından silinmelidir.

KİŞİSEL VERİLERİN SİLİNMESİ

ÖRNEK: Çalışanlarına ait özlük verilerini sunucuda tutmakta olan bir şirket, çalışanlardan birinin işten ayrılması durumunda, bu verinin bulunduğu sunucuyu tamamen yok edemeyeceği için veriye silme işlemi uygular. Bu veri, bazı teknikler uygulanmak suretiyle veri tabanı yöneticisi tarafından geri getirilebilecek durumda olmakla birlikte insan kaynakları veya diğer birimdekiler tarafından hiçbir şekilde erişilemez hale gelmiş olacaktır.

ÖRNEK: Bir şirkette, bir pozisyon için başvurular alınmış ve tüm başvurularda yer alan kişisel veriler,adayların kimlik numarasına göre kağıt ortamında listeye aktarılmış, başvuru evrakları da muhafaza edilmek üzere ilgili dosyada arşive kaldırılmıştır. Şirkette değerlendirmeler devam ederken başvuru sahiplerinden birisinin başvurudan vazgeçmiş olması halinde bu kişiye ait işleme şartı ortadan kalktığı için bu verilerin silinmesi yok edilmesi veya anonim hale getirilmesi gerekliliği ortaya çıkmıştır. Bu durumda, başvuru evrakının yok edilmesi mümkündür. Bununla birlikte, tüm başvuruları içeren bir liste hazırlanmışsa, bu listedeki diğer kişilere ait işleme şartlarının devam etmesi nedeniyle bu listenin yok edilmesi doğru olmayacağından sadece başvurudan vazgeçmiş olan kişiye ait verilere, ilgili listede karartma işlemi yapılabilecektir.

ÖRNEK: Bir sempozyum kapsamında organizasyon firması tarafından sempozyuma katılım sağlayacak kişilere ait kişisel veriler taşınabilir bellekte veya CD’de tutulmaktadır. Sempozyumun tamamlanması ve gerekli saklama süresinin sona ermesinden itibaren söz konusu verilerin yok edilmesi gerekir. Bu durumda, katılımcılara ait kişisel verilerin bulunduğu taşınabilir bellek veya CD kırılıp parçalanabilir, yakılabilir veya metal öğütücüden geçirilebilir.

KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Özmen Mali Müşavirlik

Written by

Türkiye’de en fazla Kooperatife mali müşavirlik hizmeti veren ofis olarak İstanbul Ataşehir’de faaliyet göstermekteyiz . www.ozmconsultancy.com

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade