Kişisel Verilerin İşlenmesi Ne Demektir?
Veri işleme kapsamına giren eylemler sınırlı sayıda değildir. kişisel verilerin ilk elde edilmesinden başlar ve veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. (Kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi…)
Kişisel Verilerin Otomatik Yollarla İşlenmesi Ne Demektir?
Otomatik işlemenin ne olduğu kanunda tanımlanmamıştır. Ancak gerekçe kısmında Kanunun kapsamı açıklanırken, “Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır.” denilerek otomatik işlemenin, bilişim sistemleri üzerinden gerçekleştirilen faaliyetler olduğu belirtilmiştir.
Otomatik olarak veri işlenmesi; işlemci sahibi cihazlar tarafından (bilgisayar, telefon vb.) yerine getirilen,
insan müdahalesi olmaksızın algoritmalar kapsamında kendiliğinden gerçekleşen işleme faaliyetidir.
Veri İşleyen Kimdir?
Kendisine verilen talimatlar doğrultusunda, kişisel verileri veri sorumlusu adına işleyen, gerçek veya tüzel kişilerdir. Veri işleyenin faaliyetleri, bu işlemenin çoğunlukla teknik kısımları ile sınırlıdır. Burada dikkat edilmesi gereken husus; veri işleyenin bu faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirdiğidir.
Herhangi Bir Gerçek veya Tüzel Kişi Aynı Zamanda Hem Veri sorumlusu Hem de Veri İşleyen Olabilir mi?
Yürüttüğü farklı faaliyetleri nedeniyle herhangi bir gerçek veya tüzel kişi, aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örnek vermek gerekirse; bir bulut bilişim hizmeti sunan şirket, kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir.
Kanunda Sayılan Veri İşlenmesine İlişkin Yükümlülüklerin Yerine Getirilmesi Bakımından Esas Sorumlu Kimdir?
Kanun, işleme faaliyetlerine ilişkin yükümlü olarak veri sorumlusu esas almaktadır. Kişisel verilerin işlenme amaç ve araçlarını belirleyen, kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusudur. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel veri işleyen gerçek veya tüzel kişidir. Diğer bir deyişle veri işleyen, veri sorumlusunun talimatlarını yerine getiren kişidir.
Amacın Meşru Olması Ne Demektir?
Amacın meşru olması; işlenen verilerin, yapılan iş veya sunulan hizmetle bağlantılı olmasını ve bunlar için gerekli olmasını ifade eder. Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç iken, anne bekarlık soyadını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.
Kişisel Verilerin Yok Edilmesi Nedir?
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir. Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemlerin türüne göre çeşitli yöntemlerden (de-manyetize etme, fiziksel yok etme, üzerine yazma gibi…) bir ya da bir kaçı kullanılır.
Kişisel Verilerin Veri Sorumlusu Adına Başka Bir Gerçek veya Tüzel Kişi Tarafından İşlenmesi Durumunda Veri Güvenliğine İlişkin Olarak Veri Sorumlusunun Sorumluluğu Nasıl Düzenlenmiştir?
Veri işleyenler veri sorumluları tarafından kendilerine verilen talimatlar doğrultusunda faaliyetlerde bulunduğundan; veri sorumlusu ile veri işleyen kişisel verilerin hukuka aykırı olarak işlenmesinin, verilere hukuka aykırı olarak erişilmesinin önlemesini ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınması hususunda müşterek sorumludurlar. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır.
Veri Sorumlusu İlgili Kişinin Talebini Hangi Süre İçinde Yerine Getirir?
Veri sorumlusu, ilgili kişinin talebini, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde kabul etmeli veya gerekçesini açıklayarak reddetmelidir. Bunun yanında, veri sorumlusunun cevabı ilgili kişiye bildirmesi de gerekmektedir. İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde veri sorumlusuna başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
Kurula Şikâyet Yoluna Gidilirken Aynı Zamanda Yargı Yoluna Gidilebilir mi?
Başvuru yoluna gitmek zorunlu, şikâyet yoluna gitmek ise ihtiyari olduğundan; başvurusu zımnen veya açıkça reddedilen ilgili, bir yandan Kurula şikâyette bulunabilecekken, aynı zamanda veri sorumlusuna karşı doğrudan yargı yoluna da gidebilecektir.
Veri sorumlusunun Hangi Süre İçerisinde Kurula Cevap Vermesi Gerekir?
Veri sorumlusu, talep edilen bilgi ve belgeleri on beş gün içinde Kurula göndermek zorundadır.
Kurulun İhlale İlişkin Kararları Kim Tarafından Hangi Süre İçinde Yerine Getirilir?
Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar verir ve kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren en geç otuz gün içinde yerine getirilir.
Kurulun Veri İşlenmesini Durdurma Yetkisi Var mıdır?
Veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verme yetkisi, kanun tarafından kurula tanınmıştır.
Kişisel Verilere İlişkin Suçlar ve Cezai Yaptırımlar Konusunda Kişisel Verilerin Korunması Kanunu Nasıl Bir Düzenleme Öngörmektedir?
Kişisel verilere ilişkin suçlar ve cezai yaptırımlar, 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine (md. 135-140) atıf yapılmak suretiyle düzenlenmiştir. Ayrıca, kişisel verileri yok etmeyenlerin ise Türk Ceza Kanununun 138. maddesine göre cezalandırılacağı hüküm altına alınmıştır.
Kişisel Verilerin Koruması Kanununda Hangi Konulara İlişkin İdari Yaptırımlar Öngörülmüştür?
Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir. Bu kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır. İdari yaptırımlara Kurul tarafından karar verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açıktır.
