Kızılören Kişisel Verilerin Korunması Avukatları
Kızılören, Afyonkarahisar bölgesinde kişisel verilerin korunması alanında hizmet veren 0 avukat. Aydınlatma, açık rıza, VERBİS, veri ihlali, ilgili kişi hakları ve uyum süreçleriyle inceleyin.
Avukat Bulunamadı
Arama kriterlerinize uygun avukat bulunamadı. Filtreleri değiştirmeyi deneyin.
Kızılören, Afyonkarahisar Kişisel Verilerin Korunması Avukatları — Kapsamlı Rehber
Bu rehber, Kızılören (Afyonkarahisar) bölgesinde faaliyet gösteren işletmeler, kurumlar ve bireyler için kişisel verilerin korunması hukukunu; aydınlatma yükümlülüğü, açık rıza, veri işleme şartları, VERBİS kaydı, veri ihlali bildirimi, ilgili kişi başvurusu, Kişisel Verileri Koruma Kuruluna şikâyet, idari para cezaları, tazminat ve uyum süreçleri açısından bütünlüklü biçimde ele alır. Amaç, hem veri sorumlusu konumundaki işletmelerin yükümlülüklerini doğru anlamasına hem de kişisel verileri işlenen ilgili kişilerin haklarını bilinçli biçimde kullanmasına yardımcı olmaktır. Kişisel verilerin korunması, hem idari hem cezai boyutu bulunan, teknik ve hukuki bilgiyi birlikte gerektiren bir alan olduğundan, süreçlerin baştan doğru kurgulanması sonucu doğrudan etkiler.
- Merci: İdari denetim ve yaptırım mercii Kişisel Verileri Koruma Kuruludur; Kurul işlemlerine karşı idari yargı, tazminat için adli yargı, suç yönünden ceza yargısı yolu açıktır.
- Süreler: İlgili kişi başvurusu kural olarak 30 günde sonuçlandırılır; veri ihlali kural olarak 72 saat içinde Kurula bildirilir.
- Denge: Açık rıza yalnızca bir işleme şartıdır; kanundaki diğer şartlar varsa rıza aranmaz.
- Yer: Kızılören'da faaliyet gösteren veri sorumluları da aynı yükümlülüklere tabidir; adli işler bakımından Afyonkarahisar Adliyesi yargı çevresi referanstır.
Kişisel Verilerin Korunması Nedir? Kapsam ve Temel İlkeler
Kişisel verilerin korunması hukuku; kişilerin temel hak ve özgürlüklerini, özellikle özel hayatın gizliliğini korumak amacıyla, kişisel verilerin işlenmesine ilişkin usul ve esasları düzenleyen hukuk dalıdır. Türkiye'de bu alanın temel kaynağı 6698 sayılı Kişisel Verilerin Korunması Kanunu'dur. Kanun; kişisel verilerin hangi şartlarda işlenebileceğini, veri sorumlularının yükümlülüklerini, ilgili kişilerin haklarını ve bu hakların ihlali hâlinde işleyecek denetim ile yaptırım mekanizmalarını belirler. Kanunun uygulanmasını sağlayan bağımsız idari otorite ise Kişisel Verileri Koruma Kurumu ve karar organı olan Kişisel Verileri Koruma Kuruludur.
Bu alan yalnızca büyük şirketleri değil; kişisel veri işleyen her ölçekten işletmeyi, dernek ve vakıfları, kamu kurumlarını ve serbest meslek erbabını ilgilendirir. Bir müşteri listesi tutan küçük bir işletme de, çok sayıda kullanıcısı olan bir teknoloji şirketi de aynı temel ilkelere tabidir; yalnızca yükümlülüklerin kapsamı ve alınması gereken tedbirlerin ağırlığı ölçeğe göre değişir. Bu yönüyle kişisel verilerin korunması, günümüzde neredeyse her ticari ve mesleki faaliyetin ayrılmaz bir parçası hâline gelmiştir. Kızılören, Afyonkarahisar bölgesinde faaliyet gösteren işletmeler de bu düzenlemelerin kapsamındadır.
Kişisel verilerin korunması alanı statik değildir; teknolojinin gelişmesi, yeni veri işleme yöntemlerinin ortaya çıkması ve uluslararası standartların değişmesiyle birlikte mevzuat ve Kurul uygulamaları da güncellenmektedir. Bu nedenle bir kez yapılan uyum çalışması yeterli değildir; süreçlerin düzenli olarak gözden geçirilmesi gerekir. Aşağıda bu alanda en sık karşılaşılan temel kavramlar özetlenmiştir:
Kişisel Veri ve Özel Nitelikli Veri Kavramları
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Ad, soyad, kimlik numarası, adres, telefon ve e-posta gibi doğrudan tanımlayıcı bilgilerin yanı sıra; konum, IP adresi, çerez kayıtları, ses ve görüntü kayıtları gibi kişiyi dolaylı olarak belirlenebilir kılan veriler de bu kapsamdadır. Bir bilginin kişisel veri sayılması için tek başına kimlik göstermesi şart değildir; başka bilgilerle birleştirildiğinde kişiyi belirlenebilir kılması yeterlidir.
Kanun ayrıca özel nitelikli (hassas) kişisel veriler için daha sıkı bir koruma öngörür. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri bu grupta yer alır. Bu verilerin hukuka aykırı işlenmesi çok daha ağır sonuçlar doğurabileceğinden, işlenmeleri kural olarak daha ağır şartlara ve daha kapsamlı güvenlik tedbirlerine bağlıdır.
Bu iki kavram arasındaki ayrımın doğru yapılması, uyum çalışmasının temelini oluşturur. Bir işletmenin hangi verileri işlediğini ve bunların hangi kategoriye girdiğini bilmeden doğru hukuki dayanağı ve tedbir düzeyini belirlemesi mümkün değildir. Kızılören'da özel nitelikli veri işleyen sağlık kuruluşları, insan kaynakları birimleri veya güvenlik hizmeti verenlerin, bu verileri ayrı bir risk başlığı olarak ele alması gerekir.
Veri İşleme Şartları ve Genel İlkeler
Kişisel verilerin işlenebilmesi için kural, ilgili kişinin açık rızasının bulunmasıdır; ancak kanun, açık rıza aranmaksızın veri işlenebilecek hâlleri de ayrıca saymıştır. Bunlar arasında; kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi veya korunması için zorunlu olması ile veri sorumlusunun meşru menfaatleri için zorunlu olması sayılabilir. Bu şartlardan herhangi biri varsa, o işleme için ayrıca açık rıza almaya gerek yoktur.
Veri işlemenin hukuka uygunluğu, yalnızca bir işleme şartının varlığıyla sınırlı değildir; işlemenin aynı zamanda genel ilkelere uygun olması gerekir. Bu ilkeler arasında; hukuka ve dürüstlük kurallarına uygun olma, doğru ve güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilme yer alır. Uygulamada işletmeler çoğu zaman doğru işleme şartını belirlese bile bu ilkeleri gözden kaçırabilir; oysa her ikisinin birlikte sağlanması gerekir.
Özel nitelikli verilerin işlenmesi ise daha dar bir çerçevede düzenlenmiştir. Bu verilerin işlenmesi kural olarak açık rızaya bağlıdır; açık rıza bulunmadan işlenebileceği hâller, genel kişisel verilere göre daha sınırlı ve kategoriye göre farklılaşarak belirlenmiştir. Örneğin sağlık ve cinsel hayata ilişkin veriler, yalnızca belirli koşullarda ve sır saklama yükümlülüğü altındaki kişiler ya da yetkili kurum ve kuruluşlar tarafından işlenebilir. Kızılören'daki işletmelerin her işleme faaliyeti için önce hangi veri kategorisiyle karşı karşıya olduklarını belirlemesi gerekir.
Aydınlatma Yükümlülüğü ve Açık Rıza
Kişisel verilerin korunmasında en çok karıştırılan iki kavram olan aydınlatma ve açık rıza, birbirinden bağımsız yükümlülüklerdir ve ayrı ayrı yerine getirilmelidir:
Veri sorumlusu, kişisel verileri işlemeye başlamadan önce ilgili kişiye; kendi kimliğini, işleme amacını, verilerin kimlere ve hangi amaçla aktarılabileceğini, toplama yöntemi ve hukuki sebebini ve ilgili kişinin haklarını bildirmekle yükümlüdür. Bu bilgilendirme rıza gerektirmez; her hâlde yapılması gerekir.
Yalnızca işlemenin hukuki dayanağının rıza olduğu hâllerde gerekir. Açık rızanın geçerli olması için belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanmış olması gerekir. Bir hizmetin ön koşulu hâline getirilen ya da genel nitelikte alınan rıza geçersiz sayılabilir.
Uygulamada en sık yapılan hatalardan biri, aydınlatma metni ile açık rıza metnini tek bir belgede iç içe geçirmek ya da her işleme için gereksiz yere rıza almaya çalışmaktır. Oysa geçerli başka bir işleme şartı varken (örneğin sözleşmenin ifası) alınan rıza hem gereksizdir hem de ilgili kişiyi yanıltıcı olabilir; ayrıca rıza her zaman geri alınabildiğinden, işlemeyi rızaya dayandırmak veri sorumlusu bakımından risk oluşturabilir. Doğru yaklaşım, her işleme faaliyeti için önce kanundaki diğer şartların uygulanıp uygulanmadığını değerlendirmek, yalnızca başka şart yoksa açık rızaya başvurmaktır.
Aydınlatma yükümlülüğünün yerine getirilmemesi başlı başına bir idari yaptırım sebebidir. Bu nedenle web sitesi, mobil uygulama, üyelik formu, çağrı merkezi kaydı, işe alım süreci ve kamera kayıtları gibi her veri toplama noktasında ayrı ayrı aydınlatma yapılması gerekir. Aydınlatma metinlerinin anlaşılır, açık ve ilgili işleme özgü olması; kalıptan kopyalanmış, genel ve gerçeği yansıtmayan metinlerden kaçınılması önemlidir. Kızılören'daki işletmelerin her temas noktasını bu açıdan gözden geçirmesi yerinde olur.
İlgili Kişinin Hakları
Kişisel verileri işlenen gerçek kişi, kanunda ilgili kişi olarak adlandırılır ve geniş kapsamlı haklarla donatılmıştır. İlgili kişi; kişisel verisinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmişse düzeltilmesini isteme, silinmesini veya yok edilmesini talep etme ve bu işlemlerin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme haklarına sahiptir.
Bunlara ek olarak ilgili kişi; işlenen verilerin münhasıran otomatik sistemlerle analiz edilmesi sonucu aleyhine bir sonuç ortaya çıkmasına itiraz etme ve kişisel verilerin kanuna aykırı işlenmesi sebebiyle zarara uğraması hâlinde bu zararın giderilmesini talep etme hakkına da sahiptir. Bu haklar, kişisel verilerin korunmasının bireysel boyutunu oluşturur ve ilgili kişilere kendi verileri üzerinde etkili bir denetim imkânı tanır.
İlgili kişi bu haklarını doğrudan Kurula değil, önce veri sorumlusuna başvurarak kullanır. Veri sorumlusu talebi kural olarak en geç otuz gün içinde sonuçlandırır. Bu ön başvuru, sürecin zorunlu ilk adımıdır; Kızılören'da bir hak ihlali yaşandığı düşünülüyorsa süreç bu başvuruyla başlar.
VERBİS Kaydı ve Kayıt Yükümlülüğü
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), veri sorumlularının Kişisel Verileri Koruma Kurumu nezdinde kaydolarak, işledikleri kişisel verilere ilişkin belirli bilgileri beyan ettikleri kamuya açık bir sicildir. Kayıt yükümlülüğü bulunan veri sorumluları; işledikleri veri kategorilerini, işleme amaçlarını, aktarım yaptıkları alıcı gruplarını, yabancı ülkelere aktarım durumunu, verilerin saklanacağı azami süreleri ve aldıkları teknik-idari tedbirlere ilişkin genel bilgileri VERBİS üzerinden bildirir. Bu sistem, veri işleme faaliyetlerinin şeffaflığını ve denetlenebilirliğini artırmayı amaçlar.
Ancak VERBİS'e kayıt her veri sorumlusu için zorunlu değildir. Kişisel Verileri Koruma Kurulu, belirli kriterlere göre kayıttan istisna tutulacak veri sorumlularını belirlemiştir; yıllık çalışan sayısı, yıllık mali bilanço toplamı ve ana faaliyet konusu gibi ölçütler bu değerlendirmede rol oynar. Bu nedenle Kızılören'da bir işletmenin kayıt yükümlüsü olup olmadığı, otomatik bir varsayımla değil, somut kriterlerin değerlendirilmesiyle belirlenmelidir.
Kayıt yükümlüsü olduğu hâlde VERBİS'e süresinde kayıt olmamak veya bildirim yükümlülüğünü yerine getirmemek, idari para cezasına konu olabilir. Ayrıca VERBİS beyanının gerçek durumu yansıtması gerekir; sistemde beyan edilen veri işleme faaliyetleri ile gerçekte yürütülen faaliyetler arasında tutarsızlık bulunması, bir denetim hâlinde risk oluşturur. Bu nedenle VERBİS kaydı yalnızca bir formalite olarak değil, işletmenin gerçek veri işleme envanterine dayanan doğru ve güncel bir beyan olarak ele alınmalıdır.
Veri İhlali Bildirimi ve 72 Saat Kuralı
Kişisel verilerin korunması yükümlülüklerinden biri de veri güvenliğinin sağlanmasıdır. Veri sorumlusu; işlediği kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı erişilmesini önlemek ile verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almak zorundadır. Buna rağmen bir veri ihlali, yani kişisel verilerin hukuka aykırı olarak başkaları tarafından ele geçirilmesi gerçekleşirse, kanun özel bir bildirim yükümlülüğü öngörür.
Veri sorumlusu, böyle bir ihlali öğrendiği tarihten itibaren en kısa sürede ve Kurul düzenlemeleri çerçevesinde kural olarak yetmiş iki saat içinde Kişisel Verileri Koruma Kuruluna bildirmekle yükümlüdür. Bildirim; ihlalin ne zaman ve nasıl gerçekleştiği, hangi veri kategorilerini ve yaklaşık kaç kişiyi etkilediği, olası sonuçları ile alınan ve alınması planlanan tedbirler gibi bilgileri içermelidir. Ayrıca ihlalden etkilenen ilgili kişilerin de makul en kısa sürede bilgilendirilmesi gerekir; bu bilgilendirme, kişilerin kendi verilerini korumak için önlem almasına imkân tanır.
Uygulamada veri ihlali anında en büyük zorluk, süreye uyulmasıdır. Yetmiş iki saat; teknik incelemenin tamamlanması, ihlalin kapsamının belirlenmesi ve bildirimin hazırlanması için sınırlı bir zamandır. Bu nedenle veri sorumlularının önceden bir ihlal müdahale planı hazırlamış olması büyük önem taşır; bu plan, kimin hangi adımı atacağını, teknik ekip ile hukuk ekibinin nasıl koordine olacağını ve bildirimin hangi bilgileri içereceğini önceden belirler. Kızılören'da faaliyet gösteren işletmelerin, olası bir ihlale hazırlıklı olması hem hukuki riski hem itibar kaybını azaltır.
İlgili Kişi Başvurusu ve Kurula Şikâyet Süreci
İlgili kişinin haklarını kullanması belirli bir usule tabidir ve bu usule uyulması sonucu doğrudan etkiler. İlgili kişi, haklarını kullanmak için önce veri sorumlusuna yazılı olarak veya Kurulun belirlediği diğer yöntemlerle başvurur. Veri sorumlusu, başvuruyu talebin niteliğine göre en kısa sürede ve kural olarak en geç otuz gün içinde ücretsiz olarak sonuçlandırır; işlemin ayrıca bir maliyet gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücret alınabilir. Bu ön başvuru, sürecin zorunlu ilk adımıdır ve doğrudan Kurula gidilmesi kural olarak mümkün değildir.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması ya da süresinde hiç cevap verilmemesi hâlinde, ilgili kişi bu durumu öğrendiği tarihten itibaren belirli bir süre içinde Kişisel Verileri Koruma Kuruluna şikâyette bulunabilir. Kurul, şikâyeti inceleyerek veri sorumlusundan bilgi ve belge isteyebilir, gerekli gördüğü tedbirlerin alınmasına ve ihlal tespit edilirse idari para cezası dâhil yaptırımlara karar verebilir.
Bu iki aşamalı yapı, sürelerin doğru takip edilmesini gerektirir. Ön başvuru yapılmadan doğrudan şikâyete geçilmesi ya da şikâyet süresinin kaçırılması, hakkın kullanımını zorlaştırabilir. Kızılören'da bir hak ihlali yaşadığını düşünen ilgili kişilerin, başvuru ve şikâyet aşamalarını doğru sırayla ve süresinde yürütmesi önemlidir; bu süreçlerde bir avukatın desteği, hem başvurunun içeriğinin hem de zamanlamanın doğru yönetilmesine katkı sağlar.
Görevli ve Yetkili Merci: Kurul ve Yargı Yolları
Kişisel verilerin korunmasına ilişkin uyuşmazlıklar tek bir merci ile sınırlı değildir; idari, adli ve cezai boyutlar farklı yollarda işler. Doğru yolun belirlenmesi süreç açısından kritiktir:
| Uyuşmazlık / İşlem | Görevli Merci ve Yol |
|---|---|
| İlgili kişinin hak ihlali başvurusu | Önce Veri Sorumlusu (kural olarak 30 gün), ardından Kişisel Verileri Koruma Kuruluna şikâyet. |
| Kurulun idari işlemine itiraz | İdari Yargı — Kurul kararına karşı iptal davası (idare mahkemesi). |
| Maddi/manevi tazminat talebi | Adli Yargı — genel hükümlere göre tazminat davası. |
| Verilerin hukuka aykırı işlenmesi (suç) | Ceza Yargısı — Cumhuriyet savcılığına suç duyurusu ve soruşturma. |
| Veri ihlali bildirimi | Kişisel Verileri Koruma Kurulu — kural olarak 72 saat içinde. |
Kişisel Verileri Koruma Kurulu ülke genelinde tek bir merkezi otorite olduğundan, idari şikâyet bakımından Kızılören'da ayrı bir yerel Kurul bulunmaz; şikâyetler doğrudan Kuruma yapılır. Buna karşılık tazminat ve ceza yönünden açılacak davalarda genel yetki kuralları uygulanır ve Kızılören'daki adli işler bakımından Afyonkarahisar Adliyesi yargı çevresi referans oluşturur.
Bu çok yönlü yapı, aynı olayın birden fazla süreç doğurabileceği anlamına gelir. Örneğin bir veri ihlali; Kurul nezdinde idari inceleme ve idari para cezası, savcılık nezdinde ceza soruşturması ve etkilenen kişiler tarafından açılacak tazminat davaları gündeme getirebilir. Bu nedenle bir uyuşmazlıkta yalnızca tek bir yola odaklanmak yerine, olayın tüm hukuki boyutlarının birlikte değerlendirilmesi ve hangi yolun hangi sıra ve sürede işletileceğinin planlanması gerekir.
Kızılören'da Uyum Süreci Nasıl Yürütülür? Adımlar
Kişisel verilerin korunması uyumu, tek seferlik bir belge hazırlama işi değil; işletmenin veri işleme faaliyetlerini bütünüyle gözden geçirmesini ve sürekli yönetmesini gerektiren bir süreçtir. Aşağıda tipik bir uyum çalışmasının aşamaları özetlenmiştir; her işletmenin ölçeğine ve faaliyetine göre adımlar ve süreler farklılaşabilir:
İşletmenin işlediği tüm kişisel veriler; kategorileri, kaynakları, işleme amaçları, aktarıldığı taraflar ve saklama süreleri belirlenerek bir kişisel veri işleme envanteri çıkarılır. Genellikle sürecin en fazla zaman alan adımıdır.
Her işleme faaliyeti için doğru işleme şartı belirlenir; açık rıza mı yoksa kanundaki diğer şartlardan biri mi geçerli olduğu tespit edilir ve genel ilkelere uygunluk kontrol edilir.
Aydınlatma metinleri, gerektiğinde açık rıza metinleri, saklama ve imha politikası ile kişisel veri işleme politikaları hazırlanır ve temas noktalarına yerleştirilir.
Kayıt yükümlülüğü değerlendirilir; yükümlüyse VERBİS kaydı yapılır ve beyanların gerçek işleme faaliyetleriyle uyumlu olması sağlanır.
Erişim yetkilendirmesi, şifreleme, yedekleme, loglama, gizlilik taahhütnameleri ve ihlal müdahale planı gibi güvenlik tedbirleri alınır ve belgelendirilir.
Çalışanlar bilinçlendirilir, süreçler düzenli olarak denetlenir ve mevzuat değişikliklerine göre metin ve politikalar güncellenir. Bu adım süreklilik gerektirir, sona ermez.
Bu adımların her biri, bir öncekinin çıktısına dayanır; örneğin doğru bir veri envanteri çıkarılmadan uygun aydınlatma metinleri hazırlanamaz. Bu nedenle uyum çalışmasının sıralı ve bütünlüklü yürütülmesi, hem eksik kalan alanların tespit edilmesi hem de gereksiz işlemlerden kaçınılması bakımından önemlidir. Kızılören'daki işletmelerin bu süreci, hukuki ve teknik boyutu birlikte ele alan bir yaklaşımla planlaması yerinde olur.
İdari Para Cezaları ve Belirlenme Ölçütleri
Kişisel Verilerin Korunması Kanunu, çeşitli yükümlülüklerin ihlali için farklı ağırlıkta idari para cezaları öngörür. Cezaya konu olabilecek başlıca ihlaller arasında; aydınlatma yükümlülüğünün yerine getirilmemesi, veri güvenliğine ilişkin yükümlülüklere uyulmaması, Kurul tarafından verilen kararların yerine getirilmemesi ve VERBİS'e kayıt ile bildirim yükümlülüğüne aykırı davranılması sayılabilir. Her bir ihlal türü için kanunda alt ve üst sınırları belirlenmiş ceza aralıkları öngörülmüştür.
Bu tutarlar sabit değildir; her yıl yeniden değerleme oranında güncellenir. Bu nedenle güncel miktarlar için Kurulun ilgili yıla ait duyurularına bakılması gerekir; belirli bir rakamın ezberlenmesi yanıltıcı olur. İdari para cezasının miktarı belirlenirken tek bir ölçüt değil, birden çok unsur birlikte değerlendirilir: ihlalin niteliği ve ağırlığı, ne kadar süre devam ettiği, kaç ilgili kişiyi etkilediği, veri sorumlusunun ekonomik durumu, kusurunun derecesi ve ihlali giderme yönünde iş birliği yapıp yapmadığı gibi hususlar dikkate alınabilir. Bu nedenle aynı tür bir ihlal, farklı işletmeler bakımından farklı tutarlarda cezaya yol açabilir.
Bir idari para cezası kararıyla karşılaşan veri sorumlusunun, kararın hukuka uygunluğunu değerlendirmesi ve gerekiyorsa idari yargıda iptal davası açması mümkündür. Diğer yandan, ceza öncesinde ve sonrasında alınacak tutum da önemlidir: ihlalin varlığını kabul ederek gerekli düzeltmeleri yapmak, eksikleri gidermek ve Kurulla iş birliği yapmak, sürecin daha az zararla atlatılmasına katkı sağlayabilir. Bu değerlendirmelerin hem hukuki hem teknik boyutuyla birlikte ele alınması gerektiğinden, bir avukat desteği yararlı olur.
Kişisel Verilerin Yurt Dışına Aktarılması
Günümüzde birçok işletme bulut hizmetleri, yurt dışı merkezli yazılımlar, e-posta ve pazarlama araçları ya da grup şirketleri arasındaki paylaşımlar nedeniyle kişisel verileri fiilen yurt dışına aktarmaktadır. Kanun, kişisel verilerin yurt dışına aktarılmasını serbest bırakmamış, özel şartlara bağlamıştır. Bu nedenle bir işletmenin kullandığı yabancı menşeli her dijital araç, aslında bir yurt dışı veri aktarımı anlamına gelebilir ve ayrı bir hukuki değerlendirme gerektirir.
Yurt dışına aktarımın hukuka uygun olabilmesi için kural olarak; işleme şartlarından birinin bulunması ve mevzuatta öngörülen güvence mekanizmalarının sağlanması gerekir. Bu güvenceler arasında; yeterli korumaya sahip olduğu ilan edilen ülkelere aktarım, tarafların uygun güvenceleri yazılı olarak sağlaması, bağlayıcı şirket kuralları gibi mekanizmalar ile kanunda sınırlı biçimde sayılan istisnai hâller yer alabilir. Uluslararası veri aktarımına ilişkin kurallar zaman içinde önemli değişikliklere uğrayabildiğinden, güncel düzenlemelerin dikkate alınması gerekir.
Bu alanda en sık karşılaşılan risk, işletmelerin kullandıkları yurt dışı kaynaklı hizmetlerin farkında olmaması ya da bunları bir aktarım olarak değerlendirmemesidir. Sunucusu yurt dışında bulunan bir yazılıma müşteri verisi girmek dahi bir aktarım oluşturabilir. Bu nedenle Kızılören'daki işletmelerin, kullandıkları tüm dijital araçları ve tedarikçileri bir aktarım envanteri kapsamında gözden geçirmesi ve her aktarım için uygun hukuki zemini oluşturması gerekir. Bu değerlendirme teknik ve hukuki bilgiyi birlikte gerektirir.
Kişisel Veri Saklama ve İmha Politikası
Kişisel verilerin korunmasında sıklıkla gözden kaçan bir yükümlülük, verilerin işlenme amacının ortadan kalkması hâlinde silinmesi, yok edilmesi veya anonim hâle getirilmesidir. Kanun, kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesini öngörür; bu sürenin dolmasıyla birlikte verilerin tutulmaya devam edilmesi hukuka aykırı hâle gelir. Bu nedenle her işletmenin, hangi veriyi ne kadar süreyle sakladığını ve süre sonunda nasıl imha edeceğini gösteren bir politikaya ihtiyacı vardır.
Kişisel veri saklama ve imha politikası; hangi veri kategorilerinin hangi hukuki dayanakla ne kadar süre saklanacağını, saklama sürelerinin dolmasının periyodik olarak nasıl takip edileceğini ve imhanın hangi yöntemle (silme, yok etme veya anonimleştirme) gerçekleştirileceğini belirler. Belirli kriterlere göre VERBİS'e kayıtla yükümlü veri sorumluları için bu politikanın hazırlanması ayrıca beklenen bir yükümlülüktür. Politikanın yalnızca kâğıt üzerinde kalmaması, periyodik imha işlemlerinin gerçekten uygulanması ve kayıt altına alınması gerekir.
Uygulamada işletmeler çoğu zaman veri toplama tarafına odaklanır ancak imha tarafını ihmal eder; oysa amacı sona ermiş verilerin gereksiz yere saklanması hem bir ihlal riski oluşturur hem de olası bir veri sızıntısında etkilenen kişi sayısını artırır. Verilerin gerektiğinde ve süresi geldiğinde düzenli olarak imha edilmesi, işletmenin risk yükünü azaltan önemli bir uyum davranışıdır. Kızılören'daki işletmelerin saklama sürelerini belirlerken ilgili özel mevzuattaki (vergi, iş, ticaret gibi) saklama yükümlülüklerini de dikkate alması gerekir.
Çerezler, Web Siteleri ve Dijital Pazarlama
Kişisel verilerin korunması yükümlülükleri, fiziksel süreçler kadar dijital ortamları da kapsar. Bir web sitesi veya mobil uygulama; ziyaretçilerden IP adresi, cihaz bilgisi, gezinme davranışı ve çerez verileri gibi kişisel veri niteliğinde bilgiler toplayabilir. Bu nedenle çerez kullanan siteler için ayrı bir çerez aydınlatması yapılması ve zorunlu olmayan çerezler bakımından kullanıcı tercihinin alınması, bu alanın dijital ayağının önemli bir parçasıdır.
Dijital pazarlama faaliyetleri de özel dikkat gerektirir. Ticari elektronik ileti (e-posta, SMS, arama) gönderimi hem kişisel verilerin korunması hem de ticari iletişim mevzuatı açısından değerlendirilmelidir; kural olarak alıcının önceden onayı aranır ve her iletide ret (iletişimi durdurma) imkânının sunulması gerekir. Profilleme, hedefli reklam ve otomatik karar verme uygulamaları ise ilgili kişinin hakları bakımından ayrıca hassastır. Bu faaliyetlerin hukuki dayanağının ve aydınlatmasının doğru kurgulanması gerekir.
Uygulamada birçok işletme, fiziksel süreçleri için uyum çalışması yaparken web sitesi ve pazarlama süreçlerini ihmal eder; oysa denetim ve şikâyetlerin önemli bir kısmı dijital kanallardan doğar. Web sitesindeki formlar, üyelik ve bülten kayıtları, sosyal medya pikselleri ve analiz araçları tek tek gözden geçirilmelidir. Kızılören'da çevrim içi hizmet sunan işletmelerin, dijital temas noktalarını da uyum kapsamına dâhil etmesi ve bu süreçleri düzenli olarak denetlemesi gerekir.
İşyerinde Kişisel Verilerin Korunması
Kişisel verilerin korunması yükümlülüklerinin en yoğun karşılaşıldığı alanlardan biri de işveren-çalışan ilişkisidir. İşe alım sürecinden başlayarak; özgeçmişler, kimlik ve iletişim bilgileri, banka hesap bilgileri, sağlık raporları, işyeri kamera kayıtları, giriş-çıkış kayıtları ve performans verileri gibi çok sayıda kişisel veri işlenir. Bu verilerin önemli bir kısmı özel nitelikli (örneğin sağlık verileri) olabildiğinden, işveren bakımından uyum yükümlülüğü ayrıca ağırlaşır.
İşyerinde veri işlemenin hukuki dayanağı çoğu zaman açık rıza değildir; çünkü çalışan ile işveren arasındaki bağımlılık ilişkisi nedeniyle rızanın özgür iradeyle verilip verilmediği tartışmalı olabilir. Bu nedenle işyeri veri işlemelerinin büyük bölümü; iş sözleşmesinin ifası, işverenin hukuki yükümlülükleri (örneğin sosyal güvenlik ve iş sağlığı) veya meşru menfaat gibi diğer işleme şartlarına dayandırılır. İşe alım adaylarına, çalışanlara ve ziyaretçilere ayrı ayrı aydınlatma yapılması, kamera kayıtları için ayrıca bilgilendirme sunulması beklenir.
İş ilişkisi sona erdikten sonra çalışan verilerinin ne kadar süreyle saklanacağı da önemli bir konudur; bu süre, iş ve sosyal güvenlik mevzuatındaki saklama yükümlülükleri ile olası uyuşmazlıklarda ispat ihtiyacı dikkate alınarak belirlenmeli, amacı sona eren veriler ise imha edilmelidir. Kızılören'da işçi çalıştıran işletmelerin, insan kaynakları süreçlerini kişisel verilerin korunması açısından ayrı bir başlık olarak ele alması ve bu süreçlere özgü politika ile metinleri hazırlaması yerinde olur.
Uyum İçin Gerekli Belgeler ve Politikalar
Kişisel verilerin korunması uyumu, doğru hazırlanmış bir belge seti üzerine oturur. Aşağıda uygulamada sıkça ihtiyaç duyulan temel belgeler özetlenmiştir; işletmenin faaliyet alanına ve ölçeğine göre ek belgeler gerekebilir:
- Kişisel veri işleme envanteri
- Kişisel veri işleme ve koruma politikası
- Kişisel veri saklama ve imha politikası
- Temas noktalarına özgü aydınlatma metinleri (müşteri, çalışan, ziyaretçi, web sitesi)
- Gerektiğinde açık rıza metinleri ve çerez aydınlatması
- Veri işleyenlerle yapılan veri işleme sözleşmeleri ve gizlilik taahhütnameleri
- Teknik-idari tedbir dokümanları ve erişim yetki matrisi
- Veri ihlali müdahale prosedürü ve başvuru yönetimi süreci
Bu belgelerin yalnızca hazırlanmış olması yeterli değildir; gerçek iş süreçleriyle uyumlu, güncel ve fiilen uygulanan belgeler olması gerekir. Denetim ve şikâyet süreçlerinde, kâğıt üzerinde kalan ancak uygulamada karşılığı olmayan politikalar koruma sağlamaz; aksine tutarsızlık riski doğurur. Kızılören'daki işletmelerin bu belgeleri, kendi faaliyetlerine göre özelleştirilmiş biçimde hazırlaması ve düzenli aralıklarla gözden geçirmesi önerilir.
Kızılören'da Kişisel Verilerin Korunması Avukatı Seçerken Nelere Dikkat Edilmeli?
Kişisel verilerin korunması; hukuki, teknik ve organizasyonel boyutları birlikte barındıran, sürekli güncellenen bir alandır. Bu nedenle uyum çalışmasını yürütecek ya da bir uyuşmazlıkta destek verecek avukatın, hem mevzuata ve Kurul uygulamalarına hâkim olması hem de teknik süreçleri anlayabilmesi önem taşır. Aşağıdaki başlıklar, bir avukatla ilk görüşmede netleştirmenizde yarar olan konuları özetler:
Veri envanteri çıkarma, aydınlatma ve rıza metni hazırlama, VERBİS değerlendirmesi, veri ihlali yönetimi ve Kurula şikâyet/savunma süreçlerinde benzer dosya deneyimi.
Uyum çalışmasının hangi adımları kapsayacağı, çıktı olarak hangi belgelerin teslim edileceği ve çalışmanın ne kadar sürede tamamlanacağı.
Gelişmelerin nasıl bildirileceği, güncelleme ve bakım hizmetinin kapsamı ile ücretin baştan yazılı olarak açıklanması.
Kızılören, Afyonkarahisar bölgesindeki işletmelerin faaliyet yapısına aşinalık ve ilgili sektöre (sağlık, e-ticaret, eğitim gibi) özgü uyum tecrübesi.
İlk görüşmede uyum çalışmasının kapsamına, teslim edilecek çıktılara ve sürekliliğe ilişkin somut bir yol haritası istemeniz yararlıdır. Kesin sonuç vaat eden ifadeler yerine, riskleri gerçekçi biçimde ortaya koyan ve sürekli yönetim öneren bir yaklaşım daha güvenilirdir. Aşağıdaki soruları görüşmede sormayı düşünebilirsiniz:
- İşletmemin VERBİS kayıt yükümlülüğü var mı, nasıl belirlenir?
- Hangi veri işleme faaliyetlerim için açık rıza gerekir, hangileri için gerekmez?
- Bir veri ihlali yaşanırsa izlenecek adımlar ve süreler nelerdir?
- Uyum çalışması sonrası düzenli bakım ve güncelleme nasıl sağlanır?
- Hizmet kapsamı, teslim edilecek belgeler ve ücret nasıl belirlenir?
Bu platformda listelenen avukatları; uzmanlık alanı, deneyimi ve iletişim tercihleri açısından karşılaştırarak işletmenizin veya dosyanızın ihtiyacına uygun olanı seçebilirsiniz. Nihai kararı, ihtiyaçlarınızı bir avukatla birebir değerlendirdikten sonra vermeniz en sağlıklı yaklaşımdır.
Tazminat ve Zararın Giderilmesi
Kişisel verilerin korunmasına ilişkin ihlaller yalnızca idari yaptırım ve ceza boyutuyla sınırlı değildir; ilgili kişinin uğradığı zararların giderilmesi de ayrı bir hukuki yoldur. Kişisel verileri hukuka aykırı olarak işlenen kişi, bu nedenle bir zarara uğramışsa, genel hükümler çerçevesinde adli yargıda maddi ve manevi tazminat talep edebilir. Örneğin verilerin izinsiz yayılması sonucu itibar kaybı, ticari zarar ya da manevi acı doğmuşsa, bu zararların tazmini gündeme gelebilir.
Tazminat davası, Kurula yapılan idari şikâyetten bağımsız olarak işler; ilgili kişi hem Kurula şikâyette bulunup idari yaptırım sürecini başlatabilir hem de ayrıca zararının giderilmesi için tazminat davası açabilir. Bu iki yol birbirinin alternatifi değildir; farklı amaçlara hizmet eder. Kurul süreci ihlalin tespiti ve idari yaptırıma odaklanırken, tazminat davası doğrudan ilgili kişinin uğradığı zararın karşılanmasını hedefler. Zararın ve ihlal ile zarar arasındaki nedensellik bağının ispatı, tazminat davasında önem taşır.
Veri sorumlusu bakımından ise bu durum, bir veri ihlalinin sadece idari para cezası değil, çok sayıda ilgili kişi tarafından açılabilecek tazminat davaları riskini de içerdiği anlamına gelir. Bu nedenle veri güvenliğine ilişkin tedbirlerin alınması, yalnızca idari yaptırımdan kaçınmak için değil, olası tazminat sorumluluğunu da azaltmak için önemlidir. Kızılören'da bir hak ihlali yaşadığını düşünen kişilerin, tazminat yolunun kendi somut zararları bakımından uygun olup olmadığını bir avukatla değerlendirmesi yerinde olur.
Ceza Hukuku Boyutu
Kişisel verilerle ilgili bazı fiiller, idari yaptırımın ötesine geçerek doğrudan suç oluşturur ve ceza yargılamasına konu olur. Türk Ceza Kanunu; kişisel verilerin hukuka aykırı olarak kaydedilmesini, hukuka aykırı biçimde bir başkasına verilmesini, yayılmasını veya ele geçirilmesini ve kanunların belirlediği sürelere rağmen verilerin sistem içinde yok edilmemesini ayrı suç tipleri olarak düzenlemiştir. Bu suçlar için hapis cezaları öngörülmüş olup, fiilin kamu görevlisi tarafından ya da belirli nitelikli hâllerde işlenmesi cezayı ağırlaştırabilir.
Ceza boyutu, idari süreçten bağımsız olarak işler. Aynı olay hem Kişisel Verileri Koruma Kurulu nezdinde idari inceleme ve para cezası hem de Cumhuriyet savcılığı nezdinde ceza soruşturması doğurabilir. Bu iki süreç ayrı mercilerde, ayrı usullerle yürür; birinin sonucu diğerini kendiliğinden belirlemez. İlgili kişi, verilerinin hukuka aykırı işlendiğini düşünüyorsa savcılığa suç duyurusunda bulunabilir; veri sorumlusu ise böyle bir isnat karşısında ceza hukuku yönünden de savunma hazırlamak durumunda kalabilir.
Bu ikili yapı, kişisel verilerin korunması uyuşmazlıklarının neden yalnızca idari değil, aynı zamanda ceza hukuku bilgisi de gerektirdiğini gösterir. Bir veri sızıntısı ya da izinsiz paylaşım, hem işletme için idari ve mali risk hem de sorumlu kişiler için cezai risk taşıyabilir. Kızılören'da faaliyet gösteren işletmelerin, veri güvenliğini yalnızca teknik bir konu değil, aynı zamanda cezai sorumluluk doğurabilecek bir yükümlülük olarak ele alması gerekir. Böyle bir isnatla karşılaşıldığında konunun bir avukatla değerlendirilmesi önemlidir.
İlgili Mevzuat
Kişisel verilerin korunması uygulamasında başvurulan temel mevzuat aşağıda özetlenmiştir. Bu düzenlemeler zaman içinde değişebildiğinden, güncel metin, ikincil düzenlemeler ve Kurul kararlarının dikkate alınması önemlidir:
Mevzuatın yanı sıra Kişisel Verileri Koruma Kurulunun kararları ve rehberleri de uygulamayı önemli ölçüde şekillendirir. Özellikle açık rızanın geçerliliği, veri ihlali bildirimi, VERBİS istisnaları ve idari para cezalarının belirlenmesi gibi konularda Kurul kararlarının izlenmesi, uyumun doğru sürdürülmesi için gereklidir. Güncel mevzuat ve karar değerlendirmesi için bir avukattan destek almanız önerilir.
Yargı ve Kurul Uygulamasında Öne Çıkan İlkeler
Aşağıdaki başlıklar, kişisel verilerin korunması alanında yargı ve Kurul uygulamasında öne çıkan bazı ilkeleri genel biçimde özetler. Bunlar bilgilendirme amaçlıdır; her dosyanın kendi koşulları farklı sonuç doğurabilir:
Bu ilkeler, yargı ve Kurul kararlarının yıllar içinde ortaya koyduğu genel eğilimleri yansıtır ve mevzuat ile uygulama değişiklikleriyle güncellenebilir. Somut olayınıza uygulanabilecek güncel kararların değerlendirilmesi, uzmanlık ve dikkat gerektiren bir iştir. Bu nedenle işletmeniz veya dosyanız için bir avukattan güncel karar analizi almanız yerinde olur.
Sık Sorulan Sorular
Kızılören'da kişisel verilerin korunması ile ilgili hangi durumlarda avukata ihtiyaç duyulur?
Kişisel verilerin korunması alanı hem işletmeleri hem de bireyleri ilgilendirir. İşletmeler bakımından; veri envanterinin çıkarılması, aydınlatma ve açık rıza metinlerinin hazırlanması, VERBİS kaydının değerlendirilmesi, bir veri ihlali yaşandığında bildirim yönetimi ve Kişisel Verileri Koruma Kuruluna yapılan savunmalar sıkça avukat desteği gerektirir. Bireyler bakımından ise verilerinin izinsiz işlendiğini veya paylaşıldığını düşünen ilgili kişilerin başvuru, şikâyet ve tazminat süreçlerinde hukuki desteğe ihtiyaç duyulabilir. Kızılören'da faaliyet gösteren işletmelerin ve verileri işlenen kişilerin, sürecin baştan doğru kurgulanması için bir avukata danışması yerinde olur.
Açık rıza her kişisel veri işleme için gerekli midir?
Hayır. Açık rıza, kişisel verilerin işlenmesi için öngörülen şartlardan yalnızca biridir; kanunda sayılan diğer şartlardan biri varsa açık rıza aranmaz. Örneğin bir kanunda açıkça öngörülmesi, sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi ya da meşru menfaatin bulunması gibi hâllerde açık rıza olmadan da veri işlenebilir. Uygulamada sık yapılan hata, her işleme için baştan rıza almaya çalışmaktır; oysa geçerli başka bir şart varken alınan rıza gereksiz olduğu gibi yanıltıcı da olabilir. Kızılören'daki işletmelerin her işleme faaliyeti için doğru hukuki dayanağı ayrı ayrı belirlemesi gerekir.
Veri ihlali (data breach) yaşandığında ne kadar sürede bildirim yapılmalı?
İşlenen kişisel verilerin hukuka aykırı olarak başkaları tarafından ele geçirilmesi hâlinde veri sorumlusu, bu durumu öğrendiği tarihten itibaren en kısa sürede ve Kurul düzenlemeleri çerçevesinde kural olarak yetmiş iki saat içinde Kişisel Verileri Koruma Kuruluna bildirmekle yükümlüdür. Ayrıca ihlalden etkilenen ilgili kişilerin de makul en kısa sürede bilgilendirilmesi gerekir. Bildirimin gecikmesi ya da hiç yapılmaması ağır sonuçlar doğurabileceğinden, ihlal fark edilir edilmez teknik ve hukuki bir müdahale planının devreye alınması önemlidir. Kızılören'da faaliyet gösteren veri sorumlularının, olası bir ihlale karşı önceden bir müdahale prosedürü hazırlaması bu süreyi yönetmelerini kolaylaştırır.
İlgili kişi olarak kişisel verilerimin silinmesini nasıl talep ederim?
Kişisel verilerinizin işlenip işlenmediğini öğrenme, işleme amacını sorma, yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme, verilerin düzeltilmesini, silinmesini veya yok edilmesini isteme gibi haklarınız kanunla güvence altına alınmıştır. Bu haklarınızı kullanmak için önce veri sorumlusuna yazılı olarak veya Kurulun belirlediği yöntemlerle başvurmanız gerekir. Veri sorumlusu, başvuruyu kural olarak en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Başvuru reddedilir, cevap yetersiz bulunur ya da süresinde cevap verilmezse Kurula şikâyet yolu açılır. Kızılören'da bir hak ihlali yaşadığınızı düşünüyorsanız süreç önce veri sorumlusuna başvuruyla başlar.
Kişisel verilerin korunmasına aykırılık hâlinde ne kadar idari para cezası uygulanır?
Kanunda; aydınlatma yükümlülüğünün yerine getirilmemesi, veri güvenliğine ilişkin yükümlülüklere uyulmaması, Kurul kararlarının yerine getirilmemesi ve sicile kayıt ile bildirim yükümlülüğüne aykırılık gibi farklı ihlaller için farklı alt ve üst sınırlara sahip idari para cezaları öngörülmüştür. Bu tutarlar her yıl yeniden değerleme oranında güncellendiğinden, güncel miktarlar için Kurulun ilgili yıla ait duyurularına bakılması gerekir. Cezanın miktarı; ihlalin niteliği, süresi, etkilediği kişi sayısı ve veri sorumlusunun kusuru gibi ölçütlere göre belirlenir. Bu nedenle bir ceza kararı öncesinde ve sonrasında hukuki değerlendirme yapılması önemlidir.
Kişisel verilerin korunmasına ilişkin ihlalde hangi mercie başvurulur?
Kişisel verilerin korunmasına ilişkin uyuşmazlıklarda idari denetim ve yaptırım mercii, bağımsız bir idari otorite olan Kişisel Verileri Koruma Kuruludur. İlgili kişi, veri sorumlusuna başvurusu sonuçsuz kalırsa Kurula şikâyette bulunur; Kurul inceleme yaparak idari para cezası dâhil çeşitli yaptırımlara karar verebilir. Kurulun idari işlemlerine karşı ise idari yargıda iptal davası açılabilir. Verilerin hukuka aykırı işlenmesi aynı zamanda maddi veya manevi zarara yol açmışsa adli yargıda tazminat, suç oluşturuyorsa ceza yargılaması da gündeme gelebilir. Kızılören bakımından bu yollar uyuşmazlığın niteliğine göre ayrı ayrı işletilir; Afyonkarahisar Adliyesi yargı çevresi adli işler için referanstır.
Aydınlatma metni ile açık rıza metni aynı şey midir?
Hayır, bunlar birbirinden farklı ve karıştırılmaması gereken belgelerdir. Aydınlatma metni; veri sorumlusunun kimliği, verilerin hangi amaçla işlendiği, kimlere ve hangi amaçla aktarılabileceği, toplama yöntemi ve hukuki sebebi ile ilgili kişinin hakları hakkında bilgi vermek amacıyla, veri işlenmeden önce sunulan bir bilgilendirmedir ve rıza gerektirmez. Açık rıza metni ise yalnızca işlemenin hukuki dayanağının rıza olduğu hâllerde, kişinin belirli bir konuda bilgilendirilerek özgür iradesiyle onay verdiği ayrı bir beyandır. Bu iki belgenin tek bir metinde iç içe geçirilmesi, rızanın geçerliliğini tartışmalı hâle getirebilir; bu nedenle ayrı düzenlenmeleri önerilir.
Kişisel verilerin yurt dışına aktarılması mümkün müdür?
Kişisel verilerin yurt dışına aktarılması kanunda özel şartlara bağlanmıştır ve serbestçe yapılamaz. Aktarımın hukuka uygun olabilmesi için kural olarak işleme şartlarından birinin bulunması ve mevzuatta öngörülen güvence mekanizmalarının (yeterli koruma sağlayan ülke listesi, taahhütnameler, bağlayıcı şirket kuralları veya kanunda sayılan istisnai hâller gibi) sağlanması gerekir. Uluslararası veri aktarımına ilişkin kurallar zaman içinde güncellenmekte olduğundan; bulut hizmeti, yurt dışı merkezli yazılımlar veya grup şirketleri arasındaki aktarımlar özel dikkat gerektirir. Kızılören'daki işletmelerin yurt dışına veri aktaran her sürecini ayrı bir uyum değerlendirmesinden geçirmesi gerekir.
Kızılören'da kişisel verilerin korunması uyum süreci ne kadar sürer ve neleri kapsar?
Uyum süreci; işletmenin büyüklüğüne, işlediği veri türü ve hacmine, iş süreçlerinin karmaşıklığına ve mevcut altyapısına göre değişen bir çalışmadır ve tek seferlik değil, süreklilik gerektiren bir yönetimdir. Genellikle veri envanterinin çıkarılması, işleme faaliyetlerinin hukuki dayanağa oturtulması, aydınlatma ve rıza metinlerinin hazırlanması, saklama ve imha politikasının oluşturulması, VERBİS kaydının değerlendirilmesi, teknik ve idari güvenlik tedbirlerinin alınması ve çalışanların bilinçlendirilmesi adımlarını içerir. Kızılören, Afyonkarahisar bölgesindeki işletmeler bu çalışmayı bu alanda hizmet veren bir avukat ve teknik ekiple birlikte yürüterek riski azaltabilir.
Kişisel verilerin hukuka aykırı işlenmesi suç oluşturur mu?
Evet, kişisel verilerle ilgili bazı fiiller yalnızca idari yaptırıma değil, ceza yargılamasına da konu olabilir. Türk Ceza Kanunu; kişisel verilerin hukuka aykırı olarak kaydedilmesini, hukuka aykırı biçimde başkasına verilmesini, yayılmasını veya ele geçirilmesini ve kanunların belirlediği sürelere rağmen verilerin yok edilmemesini ayrı suç tipleri olarak düzenlemiştir. Bu suçlar için hapis cezaları öngörülmüştür ve idari para cezasından bağımsız olarak işler. Dolayısıyla bir veri ihlali hem Kurul nezdinde idari süreç hem de savcılık nezdinde ceza soruşturması doğurabilir. Bu ikili boyut nedeniyle uyuşmazlıklarda hem idare hukuku hem ceza hukuku yönüyle değerlendirme yapılması önemlidir.
