MARMARA CAM SANAYİ VE TİCARET A.Ş.’NİN KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA BİLGİLENDİRME YAZISI

BİLGİLENDİRME KONULARI

  1. Kişisel veri 
  2. Kişisel verilerin işlenmesi
  3. Veri sorumlusu
  4. Veri sorumlusunun aydınlatma yükümlülüğünün kapsamı
  5. Veri sorumlusuna yönelik yaptırımlar
  6. İlgili kişinin hakları
  7. Kişisel verilerin toplanması, hangi ilkeler ölçüsünde işlenebileceği
  8. Kişisel verilerin aktarılması
  9. AB Veri Koruma Yönergesi’nde belirlenen  veri işlemeyi meşru kılan ölçütler
  10. Özel nitelikli kişisel verilerin korunması


MARMARA CAM (“Şirket) olarak kişisel verilerinizin güvenliğine önem vermekteyiz.  Şirket olarak ürün ve hizmetlerimizden faydalanan kişiler dahil, Şirket ile ilişkili tüm şahıslara ait her türlü kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”)’na uygun olarak işlenerek, muhafaza edilmesine büyük önem atfetmekteyiz. Bu sorumluluğumuzun tam idraki ile KVK Kanunu’nda tanımlı şekli ile “Veri Sorumlusu” sıfatıyla, kişisel verilerinizi aşağıda izah edildiği surette ve mevzuat tarafından emredilen sınırlar çerçevesinde işlemekteyiz.

AÇIKLAMALAR

Kişisel veri 

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eden verilerin bütünüdür.

Kişisel verilerin işlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak değerlendirilir.

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri sorumlusunun aydınlatma yükümlülüğünün kapsamı

Veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işlendiği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, md. 11’de sayılan ilgili kişinin hakları konusunda bilgi vermekle yükümlüdür. Veri sorumlularının bu anlamdaki yükümlülükleri kapsamında ;

Veri sorumlusuna yönelik yaptırımlar

Veri sorumlusu, işbu Kanun’dan kaynaklanan yükümlülüklerine aykırı hareket etmesi halinde, hukuki, cezai ve idari yaptırımlarla karşılaşabilecektir.

•             Hukuki Sorumluluk

Kişisel verileri hukuka aykırı olarak işlenen kişiler, Kanun’un 11/1-ğ maddesi doğrultusunda, bu sebeple uğradıkları zararlarının tazminini talep edebileceklerdir. Kişisel veri sahiplerinin, şartlarının oluşması kaydıyla, Türk Medeni Kanunu’nun 24 vd. maddelerindeki hukuki korumalardan yararlanarak, mevcut hukuka aykırılığa son verilmesini, sona ermiş olsa bile etkileri devam eden hukuka aykırılığın tespitini ve/veya manevi zararlarının tazminini talep etmeleri söz konusu olabilecektir. Yine aynı şekilde, kişisel veri sahiplerinin, somut durumun özelliklerine göre, 6098 sayılı Türk Borçlar Kanunu’nun 526 vd. maddelerinde düzenlenen vekaletsiz iş görme hükümlerine dayanarak taleplerde bulunması da gündeme gelebilecektir.

•             Cezai Sorumluluk

Kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, aktarılması, yok edilmemesi fiilleri, suç olarak tanımlanmakta ve söz konusu suçlar için 1 yıldan 7 yıla kadar değişen hapis cezaları öngörülmektedir.

Yine Kanun’un m.17/f.2 hükmünün atfı ile kişisel verileri, kanuna aykırı olarak, silmeyen veya anonim hale getirmeyen kişilerin de Türk Ceza Kanunu’nun 138. maddesine göre cezalandırılması gündeme gelecektir.

Şirketlerin tüzel kişiliği haiz yapılar olması sebebiyle cezai sorumluluk yönetim kurulu üyeleri üzerinde olacaktır. 6102 Sayılı Türk Ticaret Kanunu’nun 367 vd. maddeleri çerçevesinde, kişisel verilerin işlenmesine ilişkin olarak yönetim kurulu üyelerinin yönetim ve temsil yetkilerinin bir üçüncü kişiye devri (chief data officer ataması) ile yönetim kurulu üyelerinin cezai sorumluluk risklerinin azaltılması sağlanabilecektir. Bu şekilde gerçekleştirilecek bir yetki devri ile cezai sorumluluk bu kişinin üzerinde olacak, ancak yine de Türk Ticaret Kanunu’nun 553. maddesi doğrultusunda,  yönetim yetki ve görevleri 3. kişiye delege edilse de, yönetim kurulu üyelerinin 3. kişi işlemlerini gözetim görevi devam edecek; yönetim kurulu üyeleri bu görevlerini yerine getirmemeleri halinde cezai açıdan sorumlu tutulabilecektir.

•             İdari Sorumluluk

Kanun’un “Kabahatler” başlıklı 18. maddesinde, Kanun’da öngörülen yükümlülüklerin ihlali halinde Kurul tarafından idari para cezası uygulanabileceği öngörülmüştür. Buna göre, Kurul;

Aydınlatma yükümlülüğüne aykırılık halinde, 5.000 TL’den 100.000 TL’ye kadar idari para cezası,

Veri güvenliğini sağlama yükümlülüğüne aykırılık halinde, 15.000 TL’den 1.000.000 TL’ye kadar idari para cezası,

Veri Sorumluları Sicili’ne kayıt ve bildirimde bulunma yükümlülüğüne aykırılık halinde, 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası,

Veri Koruma Kurulu’nun kararlarını yerine getirme yükümlülüğüne aykırılık halinde, 25.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulayabilecektir.

İlgili kişinin hakları

Kişisel verilerin toplanması, hangi ilkeler ölçüsünde işlenebileceği

Kişisel verileriniz, Şirketimiz tarafından sağlanan hizmet ve Şirketimizin ticari faaliyetlerine bağlı olarak değişkenlik gösterebilmekle birlikte; otomatik ya da otomatik olmayan yöntemlerle, Şirketimiz birimleri ve ofisler, , internet sitesi, sosyal medya mecraları, mobil uygulamalar ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilecektir. Şirketimiz ve Topluluk Şirketlerimizin sunduğu ürün ve hizmetlerden yararlandığınız müddetçe oluşturularak ve güncellenerek kişisel verileriniz işlenebilecektir.

Buna göre kişisel veriler,

• Hukuka ve dürüstlük kurallarına uygun işlenmeli,

• Belirli, açık ve meşru amaçlar için toplanmalı,

• Toplanma ve daha sonrasında işlenme amaçlarına uygun, ilgili bulunmalı ve aşırı olmamalı,

• Doğru ve eğer gerekli ise güncel olarak tutulmalı,

• Amacın gerektirdiğinden daha uzun bir süre tutulmamalıdır.

– Hukuka uygun olma gerekliliği kendi kendini açıklar niteliktedir. Bu gereklilik, kişisel verilerin işlenmesinde yasalarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade eder. AB Yönergesi’nde işleme oldukça geniş bir şekilde tanımlanmıştır. Buna göre:

“‘kişisel verinin işlenmesi’ (‘isleme’) toplama, kaydetme, düzenleme, saklama, uyarlama veya değiştirme, geri alma, danışma, kullanma, ileti ile açığa çıkarma, yayma veya başka şekilde oluşturma, sıraya koyma veya birleştirme, engelleme, silme veya yok etme gibi otomatik olan veya olmayan araçlarla, kişisel veri üzerinde uygulanan her türden işlem veya işlem dizisi anlamına gelir”.

-Kişisel verilerin işlenme sürecinin tamamında belirli, açık ve meşru amaçlar doğrultusunda hareket edilmelidir. Bir başka anlatımla, verilerin hem toplanma, hem de daha sonraki bütün işlenmelerinde bu ilkeye uyulmalıdır. Bütün temel veri koruma düzenlemelerinde kabul edilen bu ilkenin üç parçadan oluştuğu görülmektedir:

Verilerin toplanma amacının belirli ve açık olması, her şeyden önce bu konuya ilişkin hukuksal düzenlemelerde belirsiz ifadelerden kaçınılmasını gerektirir. Ayrıca verilerin anonimleştirilmeden yalnızca depolanmak üzere, bir başka anlatımla olası kullanımdan hareketle tutulması da bu ilkeye aykırılık oluşturur.

Kişisel verilerin ; ilgili kişinin teşhis edilmesine olanak tanıyacak şekilde, kişisel verilerin toplandığı veya daha sonra işlendiği amaçlar için gerekli olandan daha uzun süre tutulmaması gerekir. Kişisel verilerin amaç açısından gereksiz duruma gelmesi birkaç olasılıkta söz konusu olabilir:

Avrupa sisteminde, kişisel verilerin korunması bağlamında, verilere artık gereksinim duyulmadığı noktada iki yoldan biri tercih edilmek durumundadır: kişisel veriler,

Kişisel verilerin aktarılması

Kanun’un 8. Maddesi uyarınca kişisel veriler kişinin açık rızası olmaksızın 3. Kişilere aktarılamaz. Fakat, kişisel verilerin işlenmesinde ilgilinin rızasının aranmadığı durumlar bu madde kapsamında değildir. Kişisel veriler; 5. maddenin 2. fıkrasında ve yeterli önlemler alınmak kaydıyla, 6. maddenin 3. fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

Kanun içerisinde, kişisel verilerin yurt dışına aktarılması hususunda özel düzenleme bulunmaktadır. Kanun’un 9. Maddesi uyarınca kişisel verilerin yurt dışına aktarılması konusunda da ilgili kişinin açık rızası aranmaktadır. Ancak bu rıza genel değil özel nitelikte olmalıdır. Yani, kişisel verilerin aktarılması için genel bir şekilde bir rıza tanınmış olması, kişisel verilerin yurt dışına da aktarılmasına rıza verildiği anlamına gelmemektedir. Kişisel veriler yurtdışına aktarılırken ilgili kişinin açık rızasının aranmayacağı haller için; kişisel verinin aktarılacağı yabancı ülkede a) Yeterli korumanın bulunması veya b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun (Kişisel Verileri Koruma Kurulu) buna izin vermiş olması gerekmektedir.

AB veri Koruma Yönergesi’nde belirlenen  veri işlemeyi meşru kılan ölçütler


 Özel nitelikli kişisel verilerin korunması

KVK Kanunu ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere hassasiyetle uygun davranılmalıdır..

KVK Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

KVK Kanunu’na uygun bir biçimde şirketimiz  tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:

Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,

Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.

KVKK Aydınlatma Metnine Buradan Ulaşabilirsiniz

Language »