SSS (Sıkça Sorulan Sorular)
Kişisel Verilerin Korunmasına Neden İhtiyaç Duyulmuştur?
Hayatın bir düzen içinde sürdürülmesi, mal ve hizmetlerin geliştirilmesi, dağıtımı ve pazarlanması gibi süreçlerde kişisel verilerin toplanması kaçınılmazdır. Bunun yanında kişisel verilerin sınırsız ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası, amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi gerekir. Bu sebeple kişisel verilerin korunmasına yönelik yasal düzenleme yapılması gerekli hale gelmiştir.
Kişisel Verilerin Korunması Kanunu Ne Zaman Yürürlüğe Girmiştir?
Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde Resmî Gazetede yayımlanarak yürürlüğe girmiştir.
Kanunun Amacı Nedir?
Kanun, kişisel verilerin çağdaş standartlarda işlenmesi, koruma altına alınması, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını amaçlamaktadır.
Kanun, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını kazandırmayı hedeflemektedir.
Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi gibi kişinin sadece kimliğini ortaya koyan bilgiler değil; sosyal güvenlik numarası, sağlık bilgileri, cinsel hayatına dair bilgiler gibi kişiyi doğrudan/dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.
Özel Nitelikli Kişisel Veri Nedir?
Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir.
Örneğin; kişinin sağlığı, cinsel hayatı vb. özel nitelikli verilerdir.
Kişisel Sağlık Verisi Nedir?
Kişisel sağlık verisi özel nitelikli kişisel veri olup; kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgilerdir.
Örneğin; her türlü psikoteknik değerlendirme formu, psikiyatrik muayene raporu, kullandığı ilaçlar gibi veriler kişisel sağlık verileridir.
Kanun Kimleri Kapsar?
Kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişileri kapsar. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip olan herkes Kanun kapsamındadır. Ayrıca Kanun özel sektörde faaliyet gösterip göstermemesi gibi kriterlere göre bir ayrım yapmamakta; tüm kurum ve kuruluşlar açısından uygulanmaktadır.
Psikolojik Danışmanlık Merkezleri Kanun Kapsamında Mıdır?
Kanun; kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulandığından, psikolojik danışmanlık merkezleri de bu kapsamdadır.
Kanun Kapsamındaki Yükümlülükler Nelerdir?
Kanun psikolojik danışmanlık merkezlerine bu kapsamda bazı yükümlülükler getirmiştir.
A. Kişisel Veri İşleme İlkelerine Uyum Sağlama
Kişisel verilerin işlenmesinde Kanunda belirtilen genel ilkelere her zaman uygun davranılması gerekmektedir. Bu ilkeler aşağıdaki gibidir;
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işlenme
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
B. Kişisel Veri İşleme Şartlarına Uygun İşleme
Kanunda belirtilen kişisel veri işleme şartlarının varlığı hâlinde kişisel verilerinin işlenmesi mümkündür. Bu şartlar aşağıdaki gibidir;
- İlgili kişinin açık rızasının varlığı,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre psikolojik danışmanlık merkezlerinin işlediği sağlık kişisel verilerinin, açık rıza olmaksızın işlenebileceği haller daha sınırlıdır.
Not: Kişisel veri işleme, yukarıda sayılan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır.
C. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi
Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin psikolojik danışmanlık merkezleri tarafından silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekmektedir.
D. Yurtiçi ve Yurtdışı Aktarımda Mevzuata Uygunluk
Kişisel verilerin yurtiçinde veya yurtdışında başka bir veri sorumlusuna aktarılması halinde Kanunda belirtilen şartlara uygun hareket edilmesi gerekmektedir.
Not: Yurtdışı aktarımlarında yazılı taahhüt verilmesi ve Kişisel Verileri Koruma Kurulundan izin alınması gerekebilmektedir.
E. Aydınlatma
Psikolojik danışmanlık merkezleri, aydınlatma yükümlülüğü kapsamında psikolojik danışmanlık merkezlerinin kimliği, veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11. maddesinde sayılan diğer hakları konusunda ilgili kişiyi bilgilendirmekle yükümlüdür.
F. Veri Güvenliğini Sağlama
Psikolojik danışmanlık merkezleri;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
G. VERBİS’e Kayıt
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) veri sorumlularının kaydedildiği, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir. Kişisel veri işleyen gerçek veya tüzel kişiler -istisna olanlar hariç- VERBİS’e kaydolmak zorundadır.
Psikolojik Danışmanlık Merkezleri VERBİS’e Kayıt Olmakla Yükümlü Müdür?
Ana faaliyet konusu özel nitelikli kişisel veri (sağlık verileri) işleme olan psikolojik danışmanlık merkezleri herhangi bir şarta bağlı olmaksızın VERBİS’e kayıt olmakla yükümlüdür.
VERBİS’e Kaydın Son Tarihi Nedir?
Ana faaliyet konusu özel nitelikli kişisel veri (sağlık verileri) işleme olan psikolojik danışmanlık merkezlerinin 31.12.2021 tarihine kadar VERBİS’e kayıt olması gerekmektedir.
VERBİS’e Kayıt Süresi Diğer Yükümlülüklerin de O Tarihe Kadar Ertelendiği Anlamına Gelir Mi?
Belirlenen bu süre sadece VERBİS’e kayıt için son tarihi ifade etmektedir dolayısıyla psikolojik danışmanlık merkezleri, Kanunun yürürlüğe girme tarihi olan 7 Nisan 2016’dan itibaren yükümlülüklerini yerine getirmekle mükelleftir.
Yükümlülükler Kapsamında Yapılması Gerekenler Nelerdir?
Psikolojik danışmanlık merkezlerinin yükümlülüklerini yerine getirebilmesi için yapması gerekenler aşağıda verilmiştir. Buna göre;
A. KVK Yetkili Kişisi/Ekip Belirleme
KVKK Dönüşüm Sürecinden sonra alınan teknik ve idari tedbirleri sürdürecek ve alınması gereken yeni tedbirlere de karar verecek bir Kişi veya Ekip belirlenmesi gerekmektedir.
B. Kişisel Veri İşleme Envanteri Hazırlama
KVKK Yetkili Kişisi ya da Ekip tarafından mevcut fiziksel veya elektronik ortamda işlenen tüm kişisel verilerin analizinin yapılması ve kişisel veri işleme faaliyetleri doğrultusunda kişisel veri işleme envanteri hazırlanması gerekmektedir.
C. Politika ve Prosedür Belirleme
Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması gerekmektedir. Kişisel veri güvenliğine ilişkin belirlenecek doğru ve tutarlı politika ve prosedürlerin, psikolojik danışmanlık merkezlerinin çalışma ve işleyişine uygun şekilde entegre edilmesi gerekmektedir.
Örneğin; özel nitelikli kişisel veri işleme, saklama ve imha vb.
D. Doküman Hazırlama ve Revize Etme
Hazırlanan kişisel veri işleme envanteri doğrultusunda dokümanlar hazırlanması ve var olan dokümanlarda revizeler yapılması gerekmektedir.
Örneğin; gizlilik sözleşmeleri, taahhütnameler, aydınlatma metinleri, açık rıza beyanları, iç denetim formu, başvuruya cevap formu vb. hazırlanmalı ve iş sözleşmesi, tedarikçi sözleşmesi, iş başvuru formları vb. revize edilmelidir.
E. Eğitim ve Farkındalık Faaliyetleri
Kişisel verilerin korunması için bilinçlendirme ve hazırlanan politika ve prosedürlerin çalışanlar tarafından eksiksiz uygulanabilmesi için psikolojik danışmanlık merkezlerinin tüm çalışanlarına eğitim verilmesi gerekmektedir.
F. Psikolojik Danışmanlık Merkezlerinin Çalışanlarının Periyodik ve/veya Rastgele Denetimi
Psikolojik danışmanlık merkezleri çalışanlarının periyodik ve/veya rastgele denetlenmesi gerekmektedir. Bu denetimlerin alanında uzman firmalar tarafından yapılması tavsiye edilmektedir.
G. Teknik Tedbirler
Psikolojik danışmanlık merkezlerinin gerekli olan teknik tedbirleri alması gerekmektedir. Bunlar;
- Yetki Matrisi
- Yetki Kontrol
- Kullanıcı Hesap Yönetimi
- Şifreleme
- Sızma Testi
- Veri Maskeleme
- Yedekleme
- Güvenlik Duvarları
- Güncel Anti-Virüs Sistemler
- Silme, Yok Etme veya Anonim Hale Getirme
Yükümlülüklerin Yerine Getirilmemesi Halinde Verilecek Cezalar Nelerdir?
Kabahatler
|
Ceza Miktarları |
Veri güvenliğini ihlal etme halinde
|
29.503 – 1.966.862 ₺
|
Aydınlatma yükümlülüğüne aykırılık halinde
|
9.834 – 196.686 ₺
|
Kurul tarafından verilen kararı yerine getirmeme halinde
|
49.171 – 1.966.862 ₺
|
Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık halinde |
39.337 – 1.966.862 ₺
|
Not: Kişisel Verileri Koruma Kurulu, yaptığı tek bir denetimde yukarıda belirtilen kabahatlere ilişkin birden fazla ceza verebilmektedir.
Türk Ceza Kanunu Kapsamında Sorumluluk Nedir?
Türk Ceza Kanunu’nda Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar bölümünde düzenlenen suçlar aşağıdaki gibidir;
Suçlar
|
Ceza Süreleri
|
Kişisel Verilerin Kaydedilmesi
|
1-3 yıla kadar hapis cezası
|
Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme
|
2-4 yıla kadar hapis cezası
|
Verileri Yok Etmeme
|
1-2 yıla kadar hapis cezası
|
Kişisel verilerin kaydedilmesi ve hukuka aykırı olarak verme veya ele geçirme suçlarının;
- Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde verilecek ceza yarı oranında artırılır.
Kişisel verileri yok etmeme suçunun işlendiği takdirde ise;
- Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması halinde verilecek ceza bir kat artırılır.