KİŞİSEL VERİ: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. (6698 sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNU alıntı)
Faaliyet gereklilikleriniz, yasal sorumluluklarınız ve şirket kurallarınız / haklı menfaatleriniz doğrultusunda çalışanlarınızın, ziyaretçilerinizin, tedarikçilerinizin ve diğer 3. taraf gerçek kişilerin; kişisel verilerini temin etmekte ve işlemektesiniz. Hatta daha iyi hizmet sunmak veya ticaret hacminizi artırmak için çoğu zaman daha fazla kişisel veri işlemek zorunda kalmaktasınız. Ancak bu durum, temin edilen verilere ilişkin kurumsal bir yaklaşımın benimsenmesini ve ilgili yasal yükümlülüklerin yerine getirilmesi için teknik ve idari tedbirlerin alınmasını ihtiyacını da beraberinde getirmektedir. Çünkü 6698 sayılı kanun kapsamında temin ettiğiniz ve işlediğiniz söz konusu verileri başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlükleri doğrultusunda korunmanız gerekmektedir. Bu husus özelinde bir kanunun yayınlanmış olmasının yanında kişisel verilerin korunmasının ANAYASAL bir hak olduğu da unutulmamalıdır.
 
Bu kapsamda şirket iç sisteminin oluşturulması (İlgili prosedürler, Açık Beyan ve işletmeye alınması hususunda teknik danışmanlık hizmeti verilmektedir. Bu hususa ilişkin gerekli gördüğümüz açıklamalar aşağıda dikkatinize sunulmuştur.
 

TÜRKİYE CUMHURİYETİ ANAYASASI MADDE 20- Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. (Ek fıkra: 12/9/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.

 
Kısaca kişisel veri işleyen gerçek ve tüzel kişilerin; gelişigüzel veya kanuna aykırı olarak kişisel veri işleme, yetkisiz erişim, hukuka aykırı paylaşım, kişilik haklarının ihlal edilmesi gibi konuların önüne geçmesi gerekmektedir.
 
Bu kapsamda yapılması gerekenler aşağıda verilmiştir.

• VERİ ENVANTERİNİN oluşturulması;

Envanter, 30.12.2017 tarihli Resmî Gazete ’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 4. maddesi 1. fıkrası (h) bendinde tanımlanmıştır. (28.04.2019 tarihli Resmî Gazete ‘de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin 1. maddesi ile bentte değişiklik yapılmıştır.)
 

VERİ SORUMLULARI SİCİLİ HAKKINDA YÖNETMELİK MADDE 4 – (1) Bu Yönetmelikte geçen; h) Kişisel veri işleme envanteri: Veri sorumlularının (Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder, kısacası tüzel kişiler bu için veri sorumlusu bizzat tüzel kişiliğin kendisidir) , iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” ifade eder. MADDE 5 – (1) Sicilin oluşturulması, idaresi ve gözetimi hususunda aşağıdaki ilke, usul ve esaslara uyulur: ç) Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır. d) Kanunun 10’ uncu maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13’üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK MADDE 5 – (1) Kanunun 16’ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.

 
Bu kapsamda envanter içeriği (aşağıdakilerle sınırlı olmamak üzere) genel olarak aşağıda dikkatinize sunulmuştur.  

1. İşlenen kişisel verileri
2. İlgili kişiler/gruplar
3. Kişisel veri işleme nedenleri, amaçları
4. Hukuki sebepler
5. Veri kategorisi (VERBİS)
6. Aktarılan 3. Taraflar ve aktarım gerekçeleri (yurt dışı aktarımları ayrıca değerlendirilmeli ve açıklanmalıdır)
7. Muhafaza süresi
8. Muhafaza metotları
9. İşlenmesi, taşınması, muhafazasına ilişkin idari ve teknik tedbirleri
10. Süresi dolan kişisel verilere ilişkin uygulamalar (silme, anonimleştirme)

 
 

• VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) Kaydının gerçekleştirilmesi;

6698 sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNU 16. Maddesine göre; Veri Sorumluları Sicilinin kamuya açık olarak tutulması gerektiği ve kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce VERBİS sistemine kaydolmak zorunda olduğu belirtilmiştir. Buna göre, Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler ve kişisel verilerin işlendikleri amaç için gerekli olan azami süreye ilişkin giriş yapılması gerekmektedir.
 
VERBİS’ e gerçek kişilere ait veriler değil, kategorik bazda bilgi girişleri yapılacaktır.
 

• Aydınlatma yükümlülüğü;

6698 sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN 10. maddesi uyarınca kişisel verileri işlenen ilgili kişilerin asgari olarak kanunda (6698 sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN 10. Maddesi) belirtilen hususlarda aydınlatılması zaruridir. Aydınlatma yükümlülüğü veri işleyen kurumlar ve gerçek kişiler için yasal bir yükümlülük olmakla birlikte kişisel verileri işlenen ilgili kişiler içinde bir haktır.
Bu kapsamda; yasal düzenlemeleri, alınan tedbirleri, sorumlulukları ve hakları içeren eğitim programlarının devreye alınması, kişisel veri içeren matbu ve dijital formların, söz konusu aydınlatma yükümlülüğü şartlarını karşılayacak notları içerecek şekilde hazırlanması, yasal yükümlülükleri karşılar mahiyette ve etik kurallar çerçevesinde politikaların belirlenmesi ve duyurulması ile söz konusu yükümlülüğün yerine getirilmesi önem arz etmektedir.
 
Aydınlatma yükümlülüğü, ilgili kişinin talebine bağlı değildir. İlgili kişinin rızasının ya da yasal yükümlülüklerin bulunması durumunda dahi veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmelidir.
 

KİŞİSEL VERİLERİN KORUNMASI KANUNU MADDE 10- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.   MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 12305 e) 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.