MARMARA CAM SANAYİ VE TİCARET A.Ş.’NİN KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA BİLGİLENDİRME YAZISI
BİLGİLENDİRME KONULARI
- Kişisel veri
- Kişisel verilerin işlenmesi
- Veri sorumlusu
- Veri sorumlusunun aydınlatma yükümlülüğünün kapsamı
- Veri sorumlusuna yönelik yaptırımlar
- İlgili kişinin hakları
- Kişisel verilerin toplanması, hangi ilkeler ölçüsünde işlenebileceği
- Kişisel verilerin aktarılması
- AB Veri Koruma Yönergesi’nde belirlenen veri işlemeyi meşru kılan ölçütler
- Özel nitelikli kişisel verilerin korunması
MARMARA CAM (“Şirket) olarak kişisel verilerinizin güvenliğine önem vermekteyiz. Şirket olarak ürün ve hizmetlerimizden faydalanan kişiler dahil, Şirket ile ilişkili tüm şahıslara ait her türlü kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”)’na uygun olarak işlenerek, muhafaza edilmesine büyük önem atfetmekteyiz. Bu sorumluluğumuzun tam idraki ile KVK Kanunu’nda tanımlı şekli ile “Veri Sorumlusu” sıfatıyla, kişisel verilerinizi aşağıda izah edildiği surette ve mevzuat tarafından emredilen sınırlar çerçevesinde işlemekteyiz.
AÇIKLAMALAR
Kişisel veri
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eden verilerin bütünüdür.
Kişisel verilerin işlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak değerlendirilir.
Veri sorumlusu
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Veri sorumlusunun aydınlatma yükümlülüğünün kapsamı
Veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işlendiği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, md. 11’de sayılan ilgili kişinin hakları konusunda bilgi vermekle yükümlüdür. Veri sorumlularının bu anlamdaki yükümlülükleri kapsamında ;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak amacıyla her türlü teknik ve idari tedbiri almak.
- Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, yukarıda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
- Veri sorumlusu, kendi kurum veya kuruluşunda, bu kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
- Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
- İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Veri sorumlusuna yönelik yaptırımlar
Veri sorumlusu, işbu Kanun’dan kaynaklanan yükümlülüklerine aykırı hareket etmesi halinde, hukuki, cezai ve idari yaptırımlarla karşılaşabilecektir.
• Hukuki Sorumluluk
Kişisel verileri hukuka aykırı olarak işlenen kişiler, Kanun’un 11/1-ğ maddesi doğrultusunda, bu sebeple uğradıkları zararlarının tazminini talep edebileceklerdir. Kişisel veri sahiplerinin, şartlarının oluşması kaydıyla, Türk Medeni Kanunu’nun 24 vd. maddelerindeki hukuki korumalardan yararlanarak, mevcut hukuka aykırılığa son verilmesini, sona ermiş olsa bile etkileri devam eden hukuka aykırılığın tespitini ve/veya manevi zararlarının tazminini talep etmeleri söz konusu olabilecektir. Yine aynı şekilde, kişisel veri sahiplerinin, somut durumun özelliklerine göre, 6098 sayılı Türk Borçlar Kanunu’nun 526 vd. maddelerinde düzenlenen vekaletsiz iş görme hükümlerine dayanarak taleplerde bulunması da gündeme gelebilecektir.
• Cezai Sorumluluk
Kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, aktarılması, yok edilmemesi fiilleri, suç olarak tanımlanmakta ve söz konusu suçlar için 1 yıldan 7 yıla kadar değişen hapis cezaları öngörülmektedir.
Yine Kanun’un m.17/f.2 hükmünün atfı ile kişisel verileri, kanuna aykırı olarak, silmeyen veya anonim hale getirmeyen kişilerin de Türk Ceza Kanunu’nun 138. maddesine göre cezalandırılması gündeme gelecektir.
Şirketlerin tüzel kişiliği haiz yapılar olması sebebiyle cezai sorumluluk yönetim kurulu üyeleri üzerinde olacaktır. 6102 Sayılı Türk Ticaret Kanunu’nun 367 vd. maddeleri çerçevesinde, kişisel verilerin işlenmesine ilişkin olarak yönetim kurulu üyelerinin yönetim ve temsil yetkilerinin bir üçüncü kişiye devri (chief data officer ataması) ile yönetim kurulu üyelerinin cezai sorumluluk risklerinin azaltılması sağlanabilecektir. Bu şekilde gerçekleştirilecek bir yetki devri ile cezai sorumluluk bu kişinin üzerinde olacak, ancak yine de Türk Ticaret Kanunu’nun 553. maddesi doğrultusunda, yönetim yetki ve görevleri 3. kişiye delege edilse de, yönetim kurulu üyelerinin 3. kişi işlemlerini gözetim görevi devam edecek; yönetim kurulu üyeleri bu görevlerini yerine getirmemeleri halinde cezai açıdan sorumlu tutulabilecektir.
• İdari Sorumluluk
Kanun’un “Kabahatler” başlıklı 18. maddesinde, Kanun’da öngörülen yükümlülüklerin ihlali halinde Kurul tarafından idari para cezası uygulanabileceği öngörülmüştür. Buna göre, Kurul;
Aydınlatma yükümlülüğüne aykırılık halinde, 5.000 TL’den 100.000 TL’ye kadar idari para cezası,
Veri güvenliğini sağlama yükümlülüğüne aykırılık halinde, 15.000 TL’den 1.000.000 TL’ye kadar idari para cezası,
Veri Sorumluları Sicili’ne kayıt ve bildirimde bulunma yükümlülüğüne aykırılık halinde, 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası,
Veri Koruma Kurulu’nun kararlarını yerine getirme yükümlülüğüne aykırılık halinde, 25.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulayabilecektir.
İlgili kişinin hakları
- Kişisel verilerin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacına ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yırt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- Md. 7’de öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesinin istendiği ve Md. 7’de öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesinin istendiği hallerde yapılan işlemlerin, kişisel verilerin aktarıldığı 3. kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
Kişisel verilerin toplanması, hangi ilkeler ölçüsünde işlenebileceği
Kişisel verileriniz, Şirketimiz tarafından sağlanan hizmet ve Şirketimizin ticari faaliyetlerine bağlı olarak değişkenlik gösterebilmekle birlikte; otomatik ya da otomatik olmayan yöntemlerle, Şirketimiz birimleri ve ofisler, , internet sitesi, sosyal medya mecraları, mobil uygulamalar ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilecektir. Şirketimiz ve Topluluk Şirketlerimizin sunduğu ürün ve hizmetlerden yararlandığınız müddetçe oluşturularak ve güncellenerek kişisel verileriniz işlenebilecektir.
Buna göre kişisel veriler,
• Hukuka ve dürüstlük kurallarına uygun işlenmeli,
• Belirli, açık ve meşru amaçlar için toplanmalı,
• Toplanma ve daha sonrasında işlenme amaçlarına uygun, ilgili bulunmalı ve aşırı olmamalı,
• Doğru ve eğer gerekli ise güncel olarak tutulmalı,
• Amacın gerektirdiğinden daha uzun bir süre tutulmamalıdır.
– Hukuka uygun olma gerekliliği kendi kendini açıklar niteliktedir. Bu gereklilik, kişisel verilerin işlenmesinde yasalarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade eder. AB Yönergesi’nde işleme oldukça geniş bir şekilde tanımlanmıştır. Buna göre:
“‘kişisel verinin işlenmesi’ (‘isleme’) toplama, kaydetme, düzenleme, saklama, uyarlama veya değiştirme, geri alma, danışma, kullanma, ileti ile açığa çıkarma, yayma veya başka şekilde oluşturma, sıraya koyma veya birleştirme, engelleme, silme veya yok etme gibi otomatik olan veya olmayan araçlarla, kişisel veri üzerinde uygulanan her türden işlem veya işlem dizisi anlamına gelir”.
-Kişisel verilerin işlenme sürecinin tamamında belirli, açık ve meşru amaçlar doğrultusunda hareket edilmelidir. Bir başka anlatımla, verilerin hem toplanma, hem de daha sonraki bütün işlenmelerinde bu ilkeye uyulmalıdır. Bütün temel veri koruma düzenlemelerinde kabul edilen bu ilkenin üç parçadan oluştuğu görülmektedir:
- Verilerin toplanma amacının belirli ve açık olması;
- Verilerin toplanma amacının meşru olması;
- Verilerin daha sonra işlenme amaçlarının, toplanma amacı ile uyumlu olması.
Verilerin toplanma amacının belirli ve açık olması, her şeyden önce bu konuya ilişkin hukuksal düzenlemelerde belirsiz ifadelerden kaçınılmasını gerektirir. Ayrıca verilerin anonimleştirilmeden yalnızca depolanmak üzere, bir başka anlatımla olası kullanımdan hareketle tutulması da bu ilkeye aykırılık oluşturur.
Kişisel verilerin ; ilgili kişinin teşhis edilmesine olanak tanıyacak şekilde, kişisel verilerin toplandığı veya daha sonra işlendiği amaçlar için gerekli olandan daha uzun süre tutulmaması gerekir. Kişisel verilerin amaç açısından gereksiz duruma gelmesi birkaç olasılıkta söz konusu olabilir:
- Kişisel verilerin işlenmesi ile hedeflenen amaç ortadan kalkabilir,
- Amaca ulaşmak için kişisel verinin işlenmesinin gereksiz olduğu anlaşılabilir,
- Amaca ulaşıldığı için artık kişisel verinin tutulması gerekliliği ortadan kalkabilir.
Avrupa sisteminde, kişisel verilerin korunması bağlamında, verilere artık gereksinim duyulmadığı noktada iki yoldan biri tercih edilmek durumundadır: kişisel veriler,
- Ortadan kaldırılmaktadır,
- Anonimleştirilerek saklanmaktadır.
Kişisel verilerin aktarılması
- Kişisel verilerin yurt içinde aktarılması :
Kanun’un 8. Maddesi uyarınca kişisel veriler kişinin açık rızası olmaksızın 3. Kişilere aktarılamaz. Fakat, kişisel verilerin işlenmesinde ilgilinin rızasının aranmadığı durumlar bu madde kapsamında değildir. Kişisel veriler; 5. maddenin 2. fıkrasında ve yeterli önlemler alınmak kaydıyla, 6. maddenin 3. fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
- Kişisel verilerin yurtdışına aktarılması:
Kanun içerisinde, kişisel verilerin yurt dışına aktarılması hususunda özel düzenleme bulunmaktadır. Kanun’un 9. Maddesi uyarınca kişisel verilerin yurt dışına aktarılması konusunda da ilgili kişinin açık rızası aranmaktadır. Ancak bu rıza genel değil özel nitelikte olmalıdır. Yani, kişisel verilerin aktarılması için genel bir şekilde bir rıza tanınmış olması, kişisel verilerin yurt dışına da aktarılmasına rıza verildiği anlamına gelmemektedir. Kişisel veriler yurtdışına aktarılırken ilgili kişinin açık rızasının aranmayacağı haller için; kişisel verinin aktarılacağı yabancı ülkede a) Yeterli korumanın bulunması veya b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun (Kişisel Verileri Koruma Kurulu) buna izin vermiş olması gerekmektedir.
AB veri Koruma Yönergesi’nde belirlenen veri işlemeyi meşru kılan ölçütler
- İlgili kişinin rızasının bulunması;
- İlgili kişinin taraf olduğu bir sözleşmenin ifa edilmesi ya da ilgili kişinin bir sözleşmenin tarafı olmadan önceki istemleri dolayısıyla işlemenin gerekli olması: Bir servis sağlayıcının sunduğu hizmeti yerine getirebilmesi için veri öznesinin ad, telefon numarası, e-posta adresi gibi bilgilerini sağlaması burada örnek olarak gösterilebilir;
- Denetçinin tabi olduğu yasal bir yükümlülüğe uymak için işlemenin gerekli olması18: Bu hükümde söz konusu olan yalnızca vergi,sosyal sigorta ya da mahkemeye delil sunma gibi yasal yükümlülüklerdir. Bu nedenle sözleşmeden kaynaklı yükümlülüklerin bu kapsamda değerlendirilmemesi gerekecektir.
- İlgili kişinin yaşamsal çıkarlarının korunması için işlemenin gerekli olması. Bu istisna ancak ilgili kişinin yaşamı için elzem bir çıkarının korunması söz konusu ise uygulanabilir.
- İşlemenin kamu yararının bulunduğu bir hizmetin gerçekleştirilmesi ya da denetçinin veya verinin açıklandığı üçüncü kişinin resmi bir yetkisini kullanması için gerekli olması. Burada geçen “kamu yararı” deyimi geniş yorumlamayı olanaklı kılan niteliği dolayısıyla istisnanın sınırlarının belirsizleşmesine neden olabilmektedir.
- Yönerge’nin 1/1 hükmü uyarınca ilgili kişinin temel hak ve özgürlüklerinden kaynaklı çıkarlarının baskın olduğu durumlar hariç, denetçi veya verinin açıklandığı üçüncü kişinin meşru çıkarlarından kaynaklanan amaçlar için gerekli olması: Bu hüküm ile ilgili kişinin çıkarları ile veri denetçisinin çıkarları arasında bir denge öngörüldüğü söylenebilir. AB Yönergesi’nde “meşru çıkar” ın ne olduğu tanımlanmamıştır. Ancak Yönerge’nin Başlangıç bölümünde “şirketlerin ve diğer organların meşru olağan etkinlikleri” ifadesi yer almaktadır. Bu bağlamda “meşru çıkarlar”ın “meşru ticari çıkarlar” olarak algılanması olanaklıdır.
Özel nitelikli kişisel verilerin korunması
KVK Kanunu ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere hassasiyetle uygun davranılmalıdır..
KVK Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
KVK Kanunu’na uygun bir biçimde şirketimiz tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
- Kişisel veri sahibinin açık rızası var ise veya
- Kişisel veri sahibinin açık rızası yok ise;
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.