BİLGİLENDİRME KONULARI
Yoy Bilişim Turizm Ltd. Şti. (“Şirket) olarak kişisel verilerinizin güvenliğine önem vermekteyiz. Şirket olarak ürün ve hizmetlerimizden faydalanan kişiler dahil, Şirket ile ilişkili tüm şahıslara ait her türlü kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”)’na uygun olarak işlenerek, muhafaza edilmesine büyük önem atfetmekteyiz. Bu sorumluluğumuzun tam idraki ile KVK Kanunu’nda tanımlı şekli ile “Veri Sorumlusu” sıfatıyla, kişisel verilerinizi aşağıda izah edildiği surette ve mevzuat tarafından emredilen sınırlar çerçevesinde işlemekteyiz.
AÇIKLAMALAR
Kişisel veri
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eden verilerin bütünüdür.
Kişisel verilerin işlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak değerlendirilir.
Veri sorumlusu
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Veri sorumlusunun aydınlatma yükümlülüğünün kapsamı
Veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorunlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işlendiği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, md. 11’de sayılan ilgili kişinin hakları konusunda bilgi vermekle yükümlüdür. Veri sorumlularının bu anlamdaki yükümlülükleri kapsamında;
Veri sorumlusuna yönelik yaptırımlar
Veri sorumlusu, işbu Kanun’dan kaynaklanan yükümlülüklerine aykırı hareket etmesi halinde, hukuki, cezai ve idari yaptırımlarla karşılaşabilecektir.
• Hukuki Sorumluluk
Kişisel verileri hukuka aykırı olarak işlenen kişiler, Kanun’un 11/1-ğ maddesi doğrultusunda, bu sebeple uğradıkları zararlarının tazminini talep edebileceklerdir. Kişisel veri sahiplerinin, şartlarının oluşması kaydıyla, Türk Medeni Kanunu’nun 24 vd. maddelerindeki hukuki korumalardan yararlanarak, mevcut hukuka aykırılığa son verilmesini, sona ermiş olsa bile etkileri devam eden hukuka aykırılığın tespitini ve/veya manevi zararlarının tazminini talep etmeleri söz konusu olabilecektir. Yine aynı şekilde, kişisel veri sahiplerinin, somut durumun özelliklerine göre, 6098 sayılı Türk Borçlar Kanunu’nun 526 vd. maddelerinde düzenlenen vekâletsiz iş görme hükümlerine dayanarak taleplerde bulunması da gündeme gelebilecektir.
• Cezai Sorumluluk
Kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, aktarılması, yok edilmemesi fiilleri, suç olarak tanımlanmakta ve söz konusu suçlar için 1 yıldan 7 yıla kadar değişen hapis cezaları öngörülmektedir.
Yine Kanun’un m.17/f.2 hükmünün atfı ile kişisel verileri, kanuna aykırı olarak, silmeyen veya anonim hale getirmeyen kişilerin de Türk Ceza Kanunu’nun 138. maddesine göre cezalandırılması gündeme gelecektir.
Şirketlerin tüzel kişiliği haiz yapılar olması sebebiyle cezai sorumluluk yönetim kurulu üyeleri üzerinde olacaktır. 6102 Sayılı Türk Ticaret Kanunu’nun 367 vd. maddeleri çerçevesinde, kişisel verilerin işlenmesine ilişkin olarak yönetim kurulu üyelerinin yönetim ve temsil yetkilerinin bir üçüncü kişiye devri (chief data officer ataması) ile yönetim kurulu üyelerinin cezai sorumluluk risklerinin azaltılması sağlanabilecektir. Bu şekilde gerçekleştirilecek bir yetki devri ile cezai sorumluluk bu kişinin üzerinde olacak, ancak yine de Türk Ticaret Kanunu’nun 553. maddesi doğrultusunda, yönetim yetki ve görevleri 3. kişiye delege edilse de, yönetim kurulu üyelerinin 3. kişi işlemlerini gözetim görevi devam edecek; yönetim kurulu üyeleri bu görevlerini yerine getirmemeleri halinde cezai açıdan sorumlu tutulabilecektir.
• İdari Sorumluluk
Kanun’un “Kabahatler” başlıklı 18. maddesinde, Kanun’da öngörülen yükümlülüklerin ihlali halinde Kurul tarafından idari para cezası uygulanabileceği öngörülmüştür. Buna göre, Kurul;
Aydınlatma yükümlülüğüne aykırılık halinde, 5.000 TL’den 100.000 TL’ye kadar idari para cezası,
Veri güvenliğini sağlama yükümlülüğüne aykırılık halinde, 15.000 TL’den 1.000.000 TL’ye kadar idari para cezası,
Veri Sorumluları Sicili’ne kayıt ve bildirimde bulunma yükümlülüğüne aykırılık halinde, 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası,
Veri Koruma Kurulu’nun kararlarını yerine getirme yükümlülüğüne aykırılık halinde, 25.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulayabilecektir.
İlgili kişinin hakları
Kişisel verilerin toplanması ,hangi ilkeler ölçüsünde işlenebileceği
Kişisel verileriniz, Şirketimiz tarafından sağlanan hizmet ve Şirketimizin ticari faaliyetlerine bağlı olarak değişkenlik gösterebilmekle birlikte; otomatik ya da otomatik olmayan yöntemlerle, Şirketimiz birimleri ve ofisler, , internet sitesi, sosyal medya mecraları, mobil uygulamalar ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilecektir. Şirketimiz ve Topluluk Şirketlerimizin sunduğu ürün ve hizmetlerden yararlandığınız müddetçe oluşturularak ve güncellenerek kişisel verileriniz işlenebilecektir.
Buna göre kişisel veriler,
• Hukuka ve dürüstlük kurallarına uygun işlenmeli,
• Belirli, açık ve meşru amaçlar için toplanmalı,
• Toplanma ve daha sonrasında işlenme amaçlarına uygun, ilgili bulunmalı ve aşırı olmamalı,
• Doğru ve eğer gerekli ise güncel olarak tutulmalı,
• Amacın gerektirdiğinden daha uzun bir süre tutulmamalıdır.
- Hukuka uygun olma gerekliliği kendi kendini açıklar niteliktedir. Bu gereklilik, kişisel verilerin işlenmesinde yasalarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade eder. AB Yönergesi’nde işleme oldukça geniş bir şekilde tanımlanmıştır. Buna göre:
“‘kişisel verinin işlenmesi’ (‘isleme’) toplama, kaydetme, düzenleme, saklama, uyarlama veya değiştirme, geri alma, danışma, kullanma, ileti ile açığa çıkarma, yayma veya başka şekilde oluşturma, sıraya koyma ve ya birleştirme, engelleme, silme veya yok etme gibi otomatik olan veya olmayan araçlarla, kişisel veri üzerinde uygulanan her türden işlem veya işlem dizisi anlamına gelir”.
-Kişisel verilerin işlenme sürecinin tamamında belirli, açık ve meşru amaçlar doğrultusunda hareket edilmelidir. Bir başka anlatımla, verilerin hem toplanma, hem de daha sonraki bütün işlenmelerinde bu ilkeye uyulmalıdır. Bütün temel veri koruma düzenlemelerinde kabul edilen bu ilkenin üç parçadan oluştuğu görülmektedir:
Verilerin toplanma amacının belirli ve açık olması, her şeyden önce bu konuya ilişkin hukuksal düzenlemelerde belirsiz ifadelerden kaçınılmasını gerektirir. Ayrıca verilerin anonimleştirilmeden yalnızca depolanmak üzere, bir başka anlatımla olası kullanımdan hareketle tutulması da bu ilkeye aykırılık oluşturur.
Kişisel verilerin; ilgili kişinin teşhis edilmesine olanak tanıyacak şekilde, kişisel verilerin toplandığı veya daha sonra işlendiği amaçlar için gerekli olandan daha uzun süre tutulmaması gerekir. Kişisel verilerin amaç açısından gereksiz duruma gelmesi birkaç olasılıkta söz konusu olabilir:
Avrupa sisteminde, kişisel verilerin korunması bağlamında, verilere artık gereksinim duyulmadığı noktada iki yoldan biri tercih edilmek durumundadır: kişisel veriler,
Kişisel verilerin aktarılması
Kanun’un 8. Maddesi uyarınca kişisel veriler kişinin açık rızası olmaksızın 3. Kişilere aktarılamaz. Fakat, kişisel verilerin işlenmesinde ilgilinin rızasının aranmadığı durumlar bu madde kapsamında değildir. Kişisel veriler; 5. maddenin 2. fıkrasında ve yeterli önlemler alınmak kaydıyla, 6. maddenin 3. fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
Kanun içerisinde, kişisel verilerin yurt dışına aktarılması hususunda özel düzenleme bulunmaktadır. Kanun’un 9. Maddesi uyarınca kişisel verilerin yurt dışına aktarılması konusunda da ilgili kişinin açık rızası aranmaktadır. Ancak bu rıza genel değil özel nitelikte olmalıdır. Yani, kişisel verilerin aktarılması için genel bir şekilde bir rıza tanınmış olması, kişisel verilerin yurt dışına da aktarılmasına rıza verildiği anlamına gelmemektedir. Kişisel veriler yurtdışına aktarılırken ilgili kişinin açık rızasının aranmayacağı haller için; kişisel verinin aktarılacağı yabancı ülkede a) Yeterli korumanın bulunması veya b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun (Kişisel Verileri Koruma Kurulu) buna izin vermiş olması gerekmektedir.
AB veri Koruma Yönergesi’nde belirlenen veri işlemeyi meşru kılan ölçütler
Özel nitelikli kişisel verilerin korunması
KVK Kanunu ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere hassasiyetle uygun davranılmalıdır..
KVK Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
KVK Kanunu’na uygun bir biçimde şirketimiz tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
Şirketlerin yükümlülüklerine genel bakış
KVK Kanunu uyarınca, belirli bir kişi (çalışan, müşteri, bayi, rakip, iş ortağı, vs.) ile ilişkilendirilebilen her türlü veri kişisel veridir. Veri ile ilgili yapılabilecek her türlü işlem “kişisel verilerin işlenmesi” olarak tanımlanmıştır.
Şirketler faaliyet alanlarına göre çeşitli sebeplerle kişisel verileri veya özel nitelikli kişisel verileri (sağlık, biyometriközellikler, üyelikler, cinselyaşam, ırk, din, vs.)işlemektedir.
Kişisel verileri işleyen şirketler veri sorumlusu olarak şirket içinde veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olacaktır. Veri sorumlusu olarak şirketler bir gerçek veya tüzel kişiyi veri işleyen sıfatıylatayin edecektir.
KVK Kanunu uyarınca veri sorumlusu olarak şirketler kişisel bilgileri işlemek veya aktarmak için istisnalar hariç açık rıza almak zorundadır.
KVK Kanunu ile veri sorumlusuna belirli görev ve sorumluluklar getirilmiştir. Bu bağlamda, verinin kanuna uygun işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. İlgili kişiler, kendilerine ait kişisel verilerinin silinmesi veya anonim hale getirilmesini veriyi işleyen ilgili şirketten talep edebilecektir.
Herhangi bir kişi veri sorumlusuna başvurarak kendisi ile ilgili kişisel veri işlenip işlenmediğine, işlendiyse, işlenen bilginin ne olduğuna, işleme amacına ve bu amaca uygun kullanılıp kullanılmadığına dair bilgileri talep edebilir. Bununla birlikte, kendisine ait kişisel verilerin üçüncü kişilere aktarılıp aktarılmadığını veya yurtdışına transfer edilip edilmediğini hususlarına ilişkin veri sorumlusundan bilgi talep edebilecektir.
Veri sorumlusunun en önemli yükümlülüklerinden biri kendi kurum veya kuruluşunda KVK Kanunu’nun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmaktır.
Nitekim 4857 sayılı İş Kanununun 75. Maddesi uyarınca işverenler çalıştırdığı her işçi için bir özlük dosyası düzenlemek ve bu dosyada kimlik bilgilerinin yanında İş Kanunu ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve istendiği zaman da bunları yetkili memur ve mercilere göstermek zorunda.
Diğer bir anlatımla çalışanların kimlik bilgileri ile SGK, vergi ve sair hususlarda çalışana ilişkin olarak düzenlemek zorunda olduğu belgeler, yapmakla yükümlü olduğu bildirim ve işlemler için gerekli nitelikteki bilgilerin saklanması işverenler için kanuni bir mecburiyet.
Bu doğrultuda iş ilişkisi bakımından öncelikli olarak şu iki sonuca varmak mümkün:
1- İşçilerin özlük dosyalarındaki bilgiler kişisel veridir.
2- Bu verilerin tutulması İş Kanunu icabı olduğundan Kanuna göre “işlemenin kanunlarda açıkça öngörülmesi” hali söz konusudur ve dolayısıyla bunların öngörülen amaç kapsamında işlenmesi için işçiden ayrıca rıza almaya gerek bulunmamaktadır.
İş Kanunu’nun mezkur maddesinde ayrıca “İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” denmektedir. Buna göre işveren, Kanunun yukarıda yer verdiğimiz ilkeleri ile de paralel olarak işçi ile ilgili verileri iş sözleşmesi ve iş ilişkisinin izin verdiği ölçüde kullanmakla yükümlüdür.
İşveren gerçekten de işçi hakkında elde ettiği bilgileri aralarındaki iş sözleşmesinin her iki tarafça ifa edilebilmesi için gerekli olduğu ölçüde kullanabilecektir. Ancak sadece bu amaç ve kapsamla sınırlı olmak üzere. Kanunda ayrıca rıza almaya gerek olmadığı öngörülen “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hali kanımızca işçi-işveren arası hizmet sözleşmeleri için de geçerli. Diğer yandan; iş ilişkisi amaç ve kapsamını aşan her türlü işleme için Kanun ile getirilen pozitif yükümlülük gereği işçinin bilgilendirilmesi ve açık rızasının alınması gerekecektir.
İş ilişkisinin kurulmasına ve devamına ilişkin süreçle ilgili olarak;
Kişisel Verilerin Korunması Kanunu gerekse İş Kanunu hükümlerine uygun olarak işlenmiş olmasına rağmen, işlemeyi gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi zorunluluğu. Dolayısıyla iş ilişkisinin sona ermesi halinde, işçi ile ilgili derdest bir dava, inceleme, soruşturma yok ise, SGK, vergi ve sair hukuki ve mali yükümlülüklere ilişkin yasa hükümleri uyarınca da bilgilerin saklanması, kullanılması zorunluluğu sona ermiş ise, işveren işçiye ait elindeki kişisel verileri silmek, yok etmek veya anonimleştirmek zorunda.Kanuna göre bir verinin anonim hale getirilmiş sayılması için kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi gerekiyor. Yani anonim hale getirilerek tutulacaksa, bu bilgilerin kiminle ilgili olduğunu tespit edebilmek hiçbir şekilde mümkün olmamalı.
Kanun ile tüm şirketler için geçerli olmak üzere getirilen bir başka yükümlülük ise Kişisel Verilerin Korunması Kurumu gözetiminde tutulması öngörülen Veri Sorumluları Siciline kaydolma zorunluluğu. Kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, verilerin yapılandırılarak işlendiği kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüm gerçek ve tüzel kişiler Kanun kapsamında veri sorumlusu olarak kabul ediliyor. Kişisel verileri işleyen tüm gerçek ve tüzel kişiler verileri işlemeye başlamadan önce Sicile kaydolmak zorunda.
İşveren işçiye ait kişisel verileri iş ilişkisinin kurulması, devamı ve sona ermesi için gerekli ise sadece kendisi için kullanabilir. Kanuni yükümlülükler ve işçinin rızası olmaksızın üçüncü kişilerle paylaşamaz ,kişisel dosyasının içerisinde yer alan işverenin yahut denetmenin şahsi kanaati dahi kişisel veri olarak kabul edilir.
Özellikle şirketler ; kaydettikleri kişisel verileri kişinin kabulü ve imzası ile kayıt altına aldıklarını belgelemeliler ve ayrıca kişi işten ayrıldığında bu bilgileri ya anonimleştirip saklamaya devam etmeli ya da tamamen silmeliler.