Arslan Hukuk Bürosu

Kişisel verilerin korunması hukuku, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini konu alan bir hukuk dalıdır. Bu kapsamda Arslan Hukuk olarak tecrübeli ve uzman kadromuz ile, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili mevzuat çerçevesinde gerçek kişilere ait kişisel veriler ve özel nitelikli kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, yeniden düzenlenmesi, açıklanması, paylaşılması, imha edilmesi gibi veriler üzerinde gerçekleştirilebilecek her türlü işlem bakımından müvekkillerimize yol göstererek ilgili kişilere ait kişisel verilerin korunması konusunda gerekli tedbirlerin alınmasını sağlamaktayız.  

Kişisel veriyi ve/veya özel nitelikli kişisel veriyi işleyen konumundaki kişiye veri sorumlusu; verisi işlenen gerçek kişiye ise ilgili kişi denmektedir. Kişiyi belirlenebilir/seçilebilir kılan her türlü veri kişisel veri olarak nitelendirilir. Kişisel veriler, ilgili kişiye ait kimlik bilgileri, iletişim bilgileri, finans bilgileri, meslek deneyim bilgileri, görsel ve işitsel kayıtlar, kamera veya ses kayıt cihazı ile elde edilen veriler, pazarlama faaliyeti kapsamında edinilen bilgiler, işlem güvenliği bilgileri, kıyafet beden bilgisi, ayakkabı numarası bilgisi, lokasyon bilgisi, özlük bilgileri gibi verilerdir. Özel nitelikli kişisel veriler ise ilgili kişiye ait  her türlü sağlık bilgisi, kan grubu bilgisi, fiziksel beden muayenesi sonucu, tıbbi anamnez, bununla birlikte ilgiliye kişiye ait sabıka kaydı, din bilgisi, her türlü biyometrik veri, siyasi görüş bilgisi gibi verilerdir. 

Kişisel verilerin ve özel nitelikli kişisel verilerin veri sorumluları tarafından işlenmesi hususunda en önemli nokta ilgili kişinin işlenen verileri konusunda aydınlatılmasıdır. Her veri sorumlusu işlediği veriler bakımından ilgili kişileri aydınlatma ile yükümlüdür. Bu aydınlatma, ispat açısından da kuvvetli olması için yazılı şekilde yapılabilir. Arslan Hukuk olarak biz de veri sorumluları adına işledikleri veri kategorilerine ilişkin ilgili kişi gruplarının aydınlatılması hususunda detaylı ve kanunda sayılan bütün unsurları barındıran aydınlatma metinleri düzenleyerek veri sorumlularının kanundan doğan aydınlatma yükümlülüğünü hukuka uygun bir şekilde yerine getirmelerini sağlıyoruz. Örneğin müvekkil şirket ile yapılan telefon görüşmelerinin kayıt altına alınıyor olması halinde telefon görüşmesi yapılan gerçek kişinin ses kaydı ile birlikte o an alınıyor ise başkaca kişisel verilerinin işlendiğine dair aydınlatılması, müvekkil şirket adresini ziyaret eden ziyaretçilerin alınan kamera görüntüleri, girişte isteniyor ise kimlik bilgileri gibi işlenen kişisel veriler konusunda aydınlatılması, satın alma veya satış yapan bir müvekkil şirketin ticari ilişki içinde olduğu müşterilere ve tedarikçilere ait aradaki ticari ilişki nedeniyle fatura, sözleşme vs. aracılığıyla işlenen kişisel verileri konusunda aydınlatılması, e-ticaret yapan bir müvekkil şirket bakımından ise internet sitesi üzerinden alışveriş yapan, internet sitesini ziyaret eden ve/veya üye olan müşterilere ait işlenen kişisel veriler konusunda aydınlatılmaları, bir sözleşme nedeniyle başka bir gerçek kişiye ait edinilen verinin bir 3.kişi ile paylaşılıyor olması halinde bu durum ile ilgili ilgili kişinin aydınlatılması gibi daha birçok benzer aydınlatma yükümlülüğü doğan durumlara uygun olacak şekilde müvekkiller için KVKK’nın ve Kişisel Verileri Koruma Kurumu’nun belirlediği şartlar çerçevesinde aydınlatma metinleri düzenlemekteyiz. Bununla birlikte, şirketler nezdinde daha önce imzalanmış ve/veya yeni imzalanacak olan her türlü sözleşme KVKK bakımından gözden geçirilerek gerekli revizeleri yapmakta ve aydınlatma yükümlülüğü bakımından gereken düzenlemeleri yapmaktayız. 

Üzerinde durulması gereken bir diğer kavram ise “açık rıza” olup kişisel veriler ilgili kişinin açık rızası olmaksızın işlenememektedir. İlgili kişi, veri sorumlusu tarafından kişisel verisinin işlenmesi hususunda rızasının bulunduğunu açıkça beyan etmez ise bu halde ilgili kişiye ait kişisel verinin işlenmesi hukuka aykırı olacaktır. Buna karşılık, kişisel verilerin KVKK kapsamında bir veri sorumlusu tarafından işlenebilmesi için açık rızanın aranmayacağı istisnai hallerde mevcuttur. Kişisel verinin işlenmesi KVKK madde 5’te tahdidi olarak sayılan hukuki sebeplerin birinden kaynaklanıyorsa ilgili kişinin açık rızası aranmaksızın kişisel veri işlenebilmektedir. Örneğin bir işveren şirket olarak bir personel ile iş sözleşmesi akdettiğinizde iş sözleşmesi ile birlikte personelden işe girişinin yapılabilmesi için birçok belge istemektesiniz. Personel tarafından temin edilen işbu belgeler ile personele ait birçok kişisel veriyi işlemek durumunda kalıyorsunuz. Ancak belirtilen kanun maddesinde “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” hukuki sebebine dayanarak personele ait işlenen kişisel verilere ilişkin personelden açık rıza alınmasına gerek olmadığı düzenlenmiştir. Bu nedenle, işveren olarak aranızdaki iş sözleşmesinden kaynaklı olarak ve iş ilişkisi çerçevesinde personele ait kişisel veriler işlenmekte olduğundan herhangi bir açık rızaya gerek yoktur. Ancak diğer taraftan, kanun kişisel veriler bakımından saymış olduğu hukuki sebepleri özel nitelikli kişisel veriler bakımından saymamış, KVKK madde 6/3’de sayılan özel durumlar haricinde kesinlikle ve kesinlikle açık rızayı zorunlu tutmuştur. Bu durumun amacı, özel nitelikli kişisel verilerin toplum nezdinde ayrımcılığa yol açabilecek nitelikle özel veriler olması ve dolayısıyla kişinin açık rızası olmaksızın herhangi biri tarafından işlenmesini engellemektir. Örneğin bir sözleşme akdedilirken karşı taraf sizden sabıka kaydını talep ediyor ise açık rızanız bulunmaksızın sabıka kaydına ilişkin herhangi bir verinizi işleyemez, kaydedemez, açıklayamaz veya paylaşamaz. Dolayısıyla günümüzde artık veri sorumlusu olarak ilgili kişilere ait kişisel ve/veya özel nitelikli kişisel verilerin işlenmesi hususunda son derece dikkatli olunmalıdır. Zira kurul tarafından birçok önde gelen şirkete yalnızca hukuka aykırı veri işlenmesi veya paylaşılması nedeniyle dudak uçuklatan miktarlarda para cezaları kesilmektedir. Buna karşılık, duruma ilgili kişi tarafından bakıldığında hukuka aykırı olarak bir verinizin işlendiği, saklandığını, paylaşıldığını vs. düşünüyor iseniz KVKK madde 11 bu durumda hangi haklara sahip olduğunuzu düzenlemiş olup ihlalin önüne geçmek adına kanunda belirtilen usullere uygun olarak ilgili kişiler adına süreci yürütmekteyiz. Asıl olan gerek veri sorumlusu olarak hukuka aykırı şekilde veri işlememek, saklamamak, kaydetmemek, paylaşmamak vs. olup bu konuda kanunun ve sair mevzuatın gerektirdiği yükümlülükleri yerine getirerek hem cezai anlamda veri sorumlusunun bir sorumluluğunun doğmasının önüne geçmek hem de ilgili kişilerin hukuka aykırı olarak verilerinin işlenmesinden dolayı zarar görmelerinin önüne geçmektir. 

Yukarıda bahsedilenler ışığında VERBİS kayıt sistemine kaydolma yükümlülüğü olan veri sorumluları VERBİS’e kaydolmadan evvel işlenen veri kategorileri, kişi grupları, verinin işlenme amacı, veriler aktarılıyorsa hangi amaçla ve kimlere aktarıldığı, hangi süre saklandığı tespit edilerek tüm bu bilgilerin yer aldığı bir kişisel veri envanteri oluşturmaları gerekmektedir. Oluşturulan bu veri envanteri, veri sorumlularının VERBİS’e kaydının daha doğru ve hızlı bir şekilde gerçekleştirilebilmesini sağlamaktadır. 

Kişisel verilerin korunması, günümüzde her alanda oldukça önem arz eden ve öncelikle kişinin özel hayatının gizliliğine önem veren bir durumdur. Bu anlamda, şirketteki mevcut durum, akdedilmiş ve akdedilecek sözleşmeler üzerinde durularak çalışanların, müşterilerin, ziyaretçilerin, yöneticilerin vs. 3.kişilerin verilerinin korunması konusunda hazırlanması gereken metinler ve alınması gereken tedbirlerin tek tek üzerinde durularak çalışma yapılmalıdır. Hazır format şeklinde hazırlanmış metinler yeterli veri güvenliğini sağlamayacağı için ileride şirketin Kişisel Verileri Koruma Kurumu’ndan ceza almasını engellemeyecektir.