Kişisel Verilerin İşlenmesi Ne Demektir?
Veri işleme kapsamına giren eylemler sınırlı sayıda değildir. kişisel verilerin ilk elde edilmesinden başlar ve
veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
(Kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi…)
Kişisel Verilerin Otomatik Yollarla İşlenmesi Ne Demektir?
Otomatik işlemenin ne olduğu kanunda tanımlanmamıştır. Ancak gerekçe kısmında
Kanunun kapsamı açıklanırken, “Günümüzde bu veriler, gerek özel sektör ve gerekse
kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır.”
denilerek otomatik işlemenin, bilişim sistemleri üzerinden gerçekleştirilen
faaliyetler olduğu belirtilmiştir.
otomatik olarak veri işlenmesi; işlemci sahibi cihazlar tarafından (bilgisayar, telefon vb.) yerine getirilen,
insan müdahalesi olmaksızın algoritmalar kapsamında kendiliğinden gerçekleşen işleme faaliyetidir.
Veri İşleyen Kimdir?
Kendisine verilen talimatlar doğrultusunda, kişisel verileri veri sorumlusu adına işleyen,
gerçek veya tüzel kişilerdir. Veri işleyenin faaliyetleri, bu işlemenin çoğunlukla teknik
kısımları ile sınırlıdır. Burada dikkat edilmesi gereken husus; veri işleyenin bu faaliyetlerini
veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirdiğidir.
Herhangi Bir Gerçek veya Tüzel Kişi Aynı Zamanda Hem Veri sorumlusu Hem de Veri İşleyen Olabilir mi?
Yürüttüğü farklı faaliyetleri nedeniyle herhangi bir gerçek veya tüzel kişi,
aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örnek vermek gerekirse; bir bulut
bilişim hizmeti sunan şirket, kendi çalışanlarının verileri bakımından “veri sorumlusu” iken,
müşterilerinin verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir.
Kanunda Sayılan Veri İşlenmesine İlişkin Yükümlülüklerin Yerine Getirilmesi Bakımından Esas Sorumlu Kimdir?
Kanun, işleme faaliyetlerine ilişkin yükümlü olarak veri sorumlusu esas almaktadır.
Kişisel verilerin işlenme amaç ve araçlarını belirleyen, kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan
gerçek veya tüzel kişi veri sorumlusudur. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak
veri sorumlusu adına kişisel veri işleyen gerçek veya tüzel kişidir. Diğer bir deyişle veri işleyen,
veri sorumlusunun talimatlarını yerine getiren kişidir.
Amacın Meşru Olması Ne Demektir?
Amacın meşru olması; işlenen verilerin, yapılan iş veya sunulan hizmetle bağlantılı olmasını ve
bunlar için gerekli olmasını ifade eder.
Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi
meşru amaç iken, anne bekarlık soyadını işlemesi meşru amaç kapsamında
değerlendirilemeyecektir.
Kişisel Verilerin Yok Edilmesi Nedir?
Kişisel verilerin hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale
getirilmesidir. Kişisel verilerin yok edilmesi için, verilerin
bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu
sistemlerin türüne göre çeşitli yöntemlerden (de-manyetize etme, fiziksel yok etme,
üzerine yazma gibi…) bir ya da bir kaçı kullanılır.
Kişisel Verilerin Veri Sorumlusu Adına Başka Bir Gerçek veya Tüzel Kişi Tarafından İşlenmesi Durumunda Veri Güvenliğine İlişkin Olarak Veri Sorumlusunun Sorumluluğu Nasıl Düzenlenmiştir?
Veri işleyenler veri sorumluları tarafından kendilerine verilen talimatlar doğrultusunda faaliyetlerde bulunduğundan;
veri sorumlusu ile veri işleyen kişisel verilerin hukuka aykırı olarak işlenmesinin, verilere
hukuka aykırı olarak erişilmesinin önlemesini ve verilerin muhafazasını sağlamak için
uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin
alınması hususunda müşterek sorumludurlar. Dolayısıyla veri işleyenler
de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır.
Veri Sorumlusu İlgili Kişinin Talebini Hangi Süre İçinde Yerine Getirir?
Veri sorumlusu, ilgili kişinin talebini, talebin
niteliğine göre en kısa sürede ve en geç otuz
gün içinde kabul etmeli veya gerekçesini açıklayarak reddetmelidir. Bunun yanında, veri sorumlusunun cevabı ilgili kişiye
bildirmesi de gerekmektedir. İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde veri
sorumlusuna başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
Kurula Şikâyet Yoluna Gidilirken Aynı Zamanda Yargı Yoluna Gidilebilir mi?
Başvuru yoluna gitmek zorunlu, şikâyet yoluna gitmek
ise ihtiyari olduğundan; başvurusu zımnen veya
açıkça reddedilen ilgili, bir yandan Kurula şikâyette
bulunabilecekken, aynı zamanda veri sorumlusuna karşı
doğrudan yargı yoluna da gidebilecektir.
Veri sorumlusunun Hangi Süre İçerisinde Kurula Cevap Vermesi Gerekir?
Veri sorumlusu, talep edilen bilgi ve belgeleri
on beş gün içinde Kurula göndermek zorundadır.
Kurulun İhlale İlişkin Kararları Kim Tarafından Hangi Süre İçinde Yerine Getirilir?
Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine
karar verir ve kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren en geç
otuz gün içinde yerine getirilir.
Kurulun Veri İşlenmesini Durdurma Yetkisi Var mıdır?
Veri işlenmesinin veya verinin yurt dışına
aktarılmasının durdurulmasına karar verme
yetkisi, kanun tarafından kurula tanınmıştır.
Kişisel Verilere İlişkin Suçlar ve Cezai Yaptırımlar Konusunda Kişisel Verilerin Korunması Kanunu Nasıl Bir Düzenleme Öngörmektedir?
Kişisel verilere ilişkin suçlar ve cezai yaptırımlar, 5237 sayılı
Türk Ceza Kanununun ilgili hükümlerine (md. 135-140) atıf
yapılmak suretiyle düzenlenmiştir. Ayrıca, kişisel verileri yok
etmeyenlerin ise Türk Ceza Kanununun 138. maddesine
göre cezalandırılacağı hüküm altına alınmıştır.
Kişisel Verilerin Koruması Kanununda Hangi Konulara İlişkin İdari Yaptırımlar Öngörülmüştür?
Kanunda öngörülen yükümlülüklere aykırı davranılması halinde
uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir. Bu
kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını
yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı
davranılması kabahat olarak öngörülerek idari para cezası
yaptırımına bağlanmıştır. İdari yaptırımlara Kurul tarafından karar
verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açıktır.
