Deneyim: KVKK

KVKK

KVKK (Kişisel Verilerin Korunması Kanunu)

* 28/01/1981 yılında 108 sayılı «Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi» Türkiye'nin de dahil olduğu Avrupa Konseyi üye ülkeleri tarafından imzalandı.

* 17/02/2016 tarihinde Uygun bulunma kanunu Resmî Gazete 'de yayınlanarak 108 sayılı sözleşme iç hukukumuzda kabul görmüştür

* 24/03/2016 tarihinde 6698 sayılı kanun TBMM'de kabul edildi.

* 07/04/2016 tarihinde 29677 sayılı Resmi Gazete ‘de yayınlanarak kanunlaştı.

Amaç ve Kapsam

Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir

Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

İlgili kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder.

Kişisel Veri Nedir?

01 İsim, Soy isim

02 Kimlik No, Pasaport No, Ehliyet No. Telefon No

03 Özgeçmiş, Meslek Bilgisi, Medeni Durumu

04 Adres vb.

"Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir.”

Özel Nitelikli Kişisel Veri Nedir?

* Irk, Etnik köken, Siyasi Düşüncesi, Felsefi İnancı

* Dernek, Vakıf ya da Sendika üyeliği

* Kılık ve kıyafeti, Sağlığı, Cinsel Hayati

* Ceza Mahkumiyeti ve Tedbirler, Biyometrik ve Genetik Veriler

Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.

Kanuna göre veri sorumlusu, kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Kişisel Verilerin İşlenmesi;

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmektedir.

Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi;

Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde kişisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerindendir. Bunun için ilgili kişinin başvurusu şart değildir. Bununla birlikte, veri sorumlusunun ihmali durumunda ilgili kişinin kişisel verilerinin yok edilmesini veya silinmesini talep etme hakkı bulunmaktadır.

Öte yandan, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Açık Rıza Alırken Dikkat Edilecek Hususlar;

Açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza”dır. Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir.

Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır. Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir.

Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:

* Belirli bir konuya ilişkin olması,

* Rızanın bilgilendirmeye dayanması,

* Özgür iradeyle açıklanması.

Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Örneğin; “her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi belirli bir konu ve faaliyeti işaret etmeyen rıza beyanları battaniye rıza kapsamında değerlendirilebilecek durumlardır.

Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.

İlgili Kişi Kimdir?

Kanunda kapsamında yalnızca gerçek kişilerin verileri korunmaktadır. Bu nedenle, Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Korunması gereken kişi, düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir.

Kanunda yer alan kişisel verinin tanımı gereği, tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde, bu veriler de Kanun kapsamında koruma altındadır. Ancak burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır. Çünkü Kanun, tüzel kişilere ait verilerin korunmasını hiçbir şekilde düzenlememektedir.

İlgili Kişinin Hakları:

Kanunun 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;

* Kişisel verilerinin işlenip işlenmediğini öğrenme,

* Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

* Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

* Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

* Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

* Kişisel verilerin silinmesini veya yok edilmesini isteme,

* Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

* İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

* Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme ‘haklarına sahiptir.

KVKK (Kişisel Verileri Koruma Kurumu)

* 6698 sayılı Kanunun 19. maddesine göre kamu tüzel kişiliğini haiz ve idari özerkliğe sahiptir.

* Türkiye Cumhuriyeti Adalet Bakanlığı ile ilişkilidir.

* Kurul, dokuz üyeden oluşur. Kurulun beş üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaşkanı tarafından seçilir.

* Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak.

* İhtiyaç duyulması halinde, görev alanına giren konularda kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle iş birliği yapmak.

* Kanunlarla verilen diğer görevleri yerine getirmek.

Kanunun Ruhu

* Hukuka ve dürüstlük kurallarına uygun olma.

* Doğru ve gerektiğinde güncel olma.

* Belirli, açık ve meşru amaçlar için işlenme.

* İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

* İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Kişisel Veri İşleme Şartları (Madde 5): Kişisel verileri işlemek için ana kural kişiden verilerinin toplanacağına/işleneceğine dair açık rıza almaktır.

Açık rıza gerektirmeyen durumlar:

* Kanunda ön görülmüş olma

* Fiili imkânsızlık

* Sözleşmenin kurulması /ifasıyla ilgili gerekli olma

* Veri sorumlusu için zorunlu olma

* Veri sahibinin alenileştirmiş olması

* Hakkın tesisi, kullanılması veya korunma zorunluluk

* Meşru Menfaat

Özel Nitelikli Kişisel Veri İşleme Şartları (Madde 6)

Özel Nitelikli Kişisel verileri işlemek için ana kural kişiden verilerinin toplanacağına/işleneceğine dair açık rıza almaktır.

Açık rıza gerektirmeyen durumlar:

* Sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda öngörülmesi

* Sağlık ve cinsel hayata ilişkin kişisel veriler;

- Kamu sağlığının korunması

- Koruyucu hekimlik

- Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi

- Sağlık hizmetleri ile finansmanının planlanman ve yönetimi

İlgili Kişinin Başvuru Hakkı (Madde 13)

* Talebin ilk önce veri sorumlusuna iletilmesi zorunludur

* Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'de detaylar belirlenmiştir.

* Tebliğde belirtilen yöntemler ile iletişim kurulabilir ve yöntemler asla kısıtlanamaz.

* KEP

* E-Posta (E-İmza)

* Noter

* Elden teslim

* 30 Gün içinde cevap verilmeli

* Ücret Talep edilebilir

İlgili Kişinin Şikâyet Hakkı (Madde 14 ve Madde 15)

* Kanun'un 14. ve 15. maddesinde düzenlenmiştir

* Başvuru Yolunu tüketmiş olmak gerekir

* Başvurunun reddedilmesi

* Cevabın yetersiz bulunması

* 30 gün içinde başvuruya cevap verilmemesi

* Başvuru zorunlu, Şikâyet ihtiyaridir

* Adli veya idari yargı yoluna ayrıca gidilebilir

* Veri Sorumlusunun cevabının öğrendiği tarihten itibaren

Aydınlatma Yükümlülüğü (Madde 10)

* Veri sorumlusunun veya temsilcisinin kimliği

* Kişisel verilerin hangi amaçla işlendiği

* İşlenen verilerin kimlere aktarılabileceği

* Kişisel verilerin nasıl toplandığı ve hukuki sebebi

* İlgili Kişinin hakları konularında veri sahibi bilgilendirilecektir.

Yurtiçi Aktarım?

Açık Rıza (Madde 8/1) - Madde 8/2/a - Madde 8/2/b

* Veri işlemenin madde 5/2 dayanması koşuluyla aktarım

* Yeterli Önlemler Alınması Zorunlu

* Veri İşlemenin madde 6/3 dayanması

Yurtdışı Aktarım?

Açık Rıza (Madde 9/1) - (Madde 9/2/a) - (Madde 9/2/b)

Yeterli Koruma Bulunması

* İşlemenin m5/2 veya m6/3'deki şartlardan birine dayanması

* Kurul tarafından ilan edilen Yeterli Korumanın bulunduğu ülkelerde bulunması

Yeterli Koruma Bulunmaması

* Yazılı Koruma taahhüdü,

* Kurul İzni

M9/4 ve M9/5 Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

* Türkiye'nin taraf olduğu uluslararası sözleşmeleri,

* Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

* Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

* Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

* Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

* Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kuruluşları baz alınarak Kurulun izniyle yurt dışına aktarılabilir

SUÇLAR VE KABAHATLER

Özel hayatın gizliliğini ihlali: Madde 134- (1)

* Kişilerin özel hayatının gizliliğini ihlal eden kimse, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.

* Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlal edilmesi halinde, verilecek ceza bir kat artırılır.

Madde 134- (2) (Değişik: 2/7/2012-6352/81 md.)

* Kişilerin özel hayatına ilişkin görüntü veya sesleri hukuka aykırı olarak ifşa eden kimse iki yıldan beş yıla kadar hapis cezası ile cezalandırılır.

* İfşa edilen bu verilerin basın ve yayın yoluyla yayımlanması halinde de aynı cezaya hükmolunur.

Kişisel verilerin kaydedilmesi:

Madde 135- (1) - Madde 135- (2) - Madde 136- (1)

* Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

* Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.

Verileri hukuka aykırı olarak verme veya ele geçirme:

* Kişisel verileri, hukuka aykırı olarak bir ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Verileri yok etmeme: Madde 138- (1) - (2)

* Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

* Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

İstisnalar (Madde 28/1)

Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:

a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

c) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

d) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.

e) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

İstisnalar (Madde 28/2)

* Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 nci maddeleri aşağıdaki hâllerde uygulanmaz:

a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

d) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Nitelikli Haller Madde 137- (1) Yukarıdaki maddelerde tanımlanan suçların;

a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,

b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır.

***GPDR Nedir?***

Genel Veri Koruma Tüzüğü (General Data Protection Regulation) 2016/679,

Avrupa Birliği hukukunda, tüm Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin bir yönetmeliktir.

Kişisel Verilerin Korunması Hakkı:

* Uzun bir süre “özel hayatın gizliliği” veya “özel ve aile hayatına saygı” başlıkları altında değerlendirilmiştir.

* Zamanla bu hakların kapsamlarının birbirinden farklılığı kabul edilmiş ve “kişisel verilerin korunması hakkı” temel haklar içerisinde, ayrı ve bağımsız bir hak olarak değerlendirilmeye başlanmıştır.

Avrupa Genel Veri Koruma Tüzüğü (GDPR)

* Kişisel verilerin korunması alanında halihazırda var olan ilkelerin modernize edilmesi ve kişisel verilerin korunması hukukunun yeknesaklaştırılması amacıyla 24 Mayıs 2016 tarihinde Avrupa Genel Veri Koruma Tüzüğü kabul edilmiştir.

* Regülasyon için iki yıllık bir geçiş süresi belirlenmiş ve uygulama tarihi 25 Mayıs 2018 olarak öngörülmüştür.

Veri İşlemede Hukuka Uygunluk Nedeni: Rıza (m. 7)

* Rıza özgür bir şekilde verilmelidir.

* Rızanın özgürce verilip verilmediği değerlendirilirken bir hizmetin sağlanması da dahil olmak üzere, bir sözleşmenin ifasının, söz konusu sözleşmenin ifası için gerekmeyen kişisel verilerin işlenmesine yönelik bir rızaya bağlı olup olmadığına azami özen gösterilmelidir.

* Bu husus rızanın bir şarta bağlanamaması anlamına da gelir. Veri sahibine seçim hakkı

tanınmalıdır!

Çocuk Verisinin İşlenmesi: (m. 8)

* Çocuğun en az 16 yaşında olması

* Çocuğun 16 yaşından küçük olması halinde, söz konusu işleme faaliyeti, ancak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verilmesi veya onaylanması halinde ve verildiği veya onaylandığı ölçüde hukuka uygundur. Üye devletler, 13 yaştan küçük olmamak kaydıyla, bu amaçlara yönelik olarak kanunla daha küçük bir yaş belirleyebilir.

Özel Nitelikli Kişisel Verilerin işlenmesinde Hukuka Uygunluk Nedenleri (m. 9)

* Özel nitelikli kişisel verilerin işlenmesi kural olarak yasaktır.

* Özel nitelikli kişisel veriler ancak aşağıdaki hukuka uygunluk hallerinde işlenebilir:

- Açık Rıza

- Veri sorumlusunun veya veri sahibinin istihdam ve sosyal güvenlik ve sosyal hukuku koruma alanındaki yükümlülüklerinin gerçekleştirilmesi ve spesifik haklarının kullanılması amacıyla işleme faaliyetinin gerekmesi;

- Veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması.

- İşleme faaliyetinin bir vakıf, birlik veya kâr amacı gütmeyen başka bir organ tarafından siyasi, felsefi, dini veya sendika amacıyla uygun güvencelerle birlikte yürütülen meşru faaliyetleri esnasında işlemenin ve yalnızca organın üyeleri veya eski üyeleri ya da amaçlarıyla bağlantılı olarak kendisi ile düzenli olarak temas halinde bulunan kişilerle ilgili olması

- Kamuya açıklanan kişisel verilerle ilgili olması.

- Yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından veya mahkemeler kendi yargı yetkisi çerçevesinde hareket ettiğinde, işleme faaliyetinin gerekmesi.

- Birlik veya Üye Devlet hukukuna dayalı olarak kayda değer ölçüde ağır basan kamu yararı olması halinde işleme faaliyetinin gerekmesi.

- Koruyucu hekimlik veya meslek hekimliği amaçları doğrultusunda, Birlik ya da üye devlet hukukuna dayalı olarak veya bir sağlık profesyoneli ile yapılan sözleşme uyarınca çalışanın çalışma kapasitesinin değerlendirilmesi,

- Tıbbi tanı, sağlık veya sosyal bakım hizmetlerinin veya tedavinin sağlanması ya da sağlık veya sosyal bakım sistemleri ve hizmetlerinin yönetilmesi açısından işleme faaliyetinin gerekli olması;

- Özellikle mesleki gizlilik olmak üzere veri sahibinin hakları ve özgürlüklerine ilişkin güvence sağlanmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, halk sağlığı alanında kamu yararına yönelik olarak işleme faaliyetinin gerekmesi.

- Kamu yararına yönelik arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işleme faaliyetinin gerekmesi.

Veri Sahibinin Hakları

* Bilgilendirilme Hakkı

* Erişim Hakkı

* Düzeltme Talep Hakkı

* Silinmeyi Talep Hakki/Unutulma Hakkı

* İşlemenin Sınırlandırılması Hakkı

* Veri Taşınabilirliği Hakkı

* İşlemeye İtiraz Hakkı

* Yalnızca Otomatik İşleme Faaliyetine Davalı Bir Karara Tabi Olmama Hakkı

Sınır aşan Veri Transferleri:

Avrupa Birliği Komisyonunun Uygunluk Kararı Bulunmayan Hallerde Aktarım (m. 46)

* Avrupa Birliği Komisyonu tarafından alınan bir karar olmaması halinde, ancak bir veri sahibi veya işleyenin uygun güvenceler sağlamış olması halinde ve uygulanabilir veri sahibi hakları ve veri sahiplerine yönelik etkili kanun yollarının mevcut olması koşuluyla, söz konusu veri sahibi veya işleyen bir 3. ülke veya uluslararası bir kuruluşa kişisel veri aktarabilir.

Sınır aşan Veri Transferleri

Uygun güvenceler aşağıdaki yöntemlerle sağlanabilir:

* Kamu kuruluşları veya organları arasında yasal bağlayıcılığı bulunan ve uygulanabilir bir belge,

* Bağlayıcı kurumsal kurallar,

* Komisyon tarafından kabul edilen standart veri koruma şartları,

* Bir denetim makamı tarafından kabul edilen ve Komisyon tarafından onaylanan standart veri koruma şartları,

* Onaylı davranış kuralları,

* Onaylı bir belgelendirme mekanizması,

* Yetkili denetim makamı tarafından onaylanmış, veri sahibi veya işleyen ile 3. ülke ya da uluslararası kuruluştaki kişisel veri sorumlusu, işleyeni ya da alıcısı arasındaki özelleştirilmiş sözleşme maddeleri,

* Yetkili denetim makamı tarafından onaylanmış, kamu kuruluşları ya da organları arasındaki idari düzenlemelere eklenecek olan uygulanabilir ve etkili veri sahibi haklarını kapsayan hükümler.

Kanun Yolları, Sorumluluk, Cezalar ve Tazminat

* Etkili Bir Kanun Yoluna Başvurma Hakkı (m. 78-79)

* Kişisel verilerinin Tüzüğe aykırı bir şekilde işlenmesi sonucu bu Tüzük kapsamındaki haklarının ihlal edildiğini değerlendirdiği hallerde, her veri sahibi etkili bir kanun yoluna başvurma hakkına sahiptir.

* Denetim makamlarının bağlayıcı kararlarına karşı ilgili kişilerin kanun yoluna başvurma hakkı mevcuttur.

* Ayrıca,

(i) bir veri sahibi, veri sorumlusu, veri işleyen veya denetim makamının direkt ve bireysel olarak kendilerini ilgilendiren Avrupa Veri Koruma Kurulunun bir kararını iptal etmek amacıyla veya

(ii) bir veri sahibinin herhangi bir AB kuruluş ve organın veri koruma hukukunu ihlal ettiği iddiasına dayanarak ABAD'a başvurma hakkı vardır.

Kanun Yolları, Sorumluluk, Cezalar ve Tazminat (m. 82):

* Etkili bir kanun yoluna başvurma hakkı, kişisel verileri hukuka aykırı olarak işlenen bireylerin böyle bir işleme sonucunda uğradıkları zararlar için tazminat talep edebilme hakkını içinde barındırır.

* Tüzüğe ilişkin bir ihlal sonucu maddi veya manevi zarar gören herhangi bir kişinin, yaşanan zarara ilişkin olarak veri sorumlusu veya işleyenden tazminat alma hakkı bulunmaktadır.

* Bu kapsamda; işleme faaliyetine müdahil herhangi bir veri sorumlusu Tüzüğü ihlal eden işleme

faaliyetinin sebep olduğu zarardan sorumludur. bir veri işleyen ise ancak Tüzüğün özellikle veri işleyenlerine yönelik yükümlülüklerin uyum göstermediği veya veri sorumlusunun hukuka uygun talimatları dışında veya bu talimatlara aykırı hareket ettiği hallerde, işleme faaliyetinin sebep olduğu zarardan sorumludur.

* Birden fazla veri sorumlusu veya işleyenin ya da hem bir veri sorumlusu hem de bir veri işleyenin aynı işleme faaliyetinde bulunduğu ve işleme faaliyetinin sebep olduğu herhangi bir zarardan sorumlu olduğu hallerde, her veri sorumlusu veya işleyenin tüm zarardan sorumlu tutulacaktır.

* Zarara sebep olan olaydan hiçbir şekilde sorumlu olmadığını kanıtlaması halinde, bir veri sorumlusu veya işleyenin bu sorumluluktan muaf tutulabilecektir.

Kaynaklar:

* https://www.kvkk.gov.tr/Icerik/2032/Veri-Sorumlusu-Kimdir

* https://www.kvkk.gov.tr/Icerik/2048/Kisisel-Verilerin-Islenmesi

* https://www.kvkk.gov.tr/Icerik/2038/Kisisel-Verilerin-Silinmesi,-Yok-Edilmesi-veya-Anonim-Hale-Getirilmesi

* https://www.kvkk.gov.tr/Icerik/2037/Acik-Riza-Alirken-Dikkat-Edilecek-Hususlar

* https://www.kvkk.gov.tr/Icerik/2034/Ilgili-Kisi-Kimdir

* https://www.kvkk.gov.tr/Icerik/2036/Ilgili-Kisinin-Haklari

* BTK Akademi ders notları...