6698 SAYILI KANUNA GÖRE BUNLARI BİLİYOR MUYDUNUZ?
-
Kişisel verileri koruma kanunu artık ülkemizde de yürürlüktedir. Bu kanuna göre şu an ilgili kişi hakları ve veri güvenliği konusunda ciddi çalışmalar yapılmaktadır.
-
Veri, yönetilmesi gereken bir risktir. İçerdiği ekonomik değer ile kişisel niteliği arasında denge kurulmalıdır.
-
Kişisel Verileri Koruma Kanunu kapsamında yalnızca gerçek kişilerin verileri korunur. Tüzel kişilerse sadece gerçek kişilere tüzel kişi verileriyle ulaşılması durumunda KVKK koruması kapsamına girer. (Gerçek Kişi; tam ve sağ doğan kişi , Tüzel Kişi; kurum, kuruluş, şirket gibi topluluklardır.)
-
6698 sayılı kanun, Anayasanın 20. Maddesinde yer alan “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” ibaresi gereğince özel hayatın gizliliği ve korunması için oluşturulmuş kanundur. Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.
-
Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerinde uyacakları usulleri belirlemektir.
-
Belirli ya da belirlenebilir gerçek kişiye yönelik bilgiler “kişisel veri” kabul edilir. Bir kişinin adı soyadı, dini inancı, yaşı, ailesinin yaşadığı yer gibi bilgileri o kişinin kişisel verisidir.
-
Kanun kapsamında tüzel kişilerin koruma kapsamına girdiği nokta ise gerçek kişilerin bilgilerine tüzel kişi bünyesinden ulaşılabiliyor ve bu bilgiler gerçek kişiyi belirlenebilir kılıyorsa söz konusu olur. Örneğin insan kaynakları alanında hizmet veren bir şirket iş başvurusu yapan adayların özgeçmişindeki bilgileri bünyesine almasına durumunda şirketten özel kişiye ulaşılabileceği için şirket de koruma kapsamına girmektedir.
-
6698 sayılı kanuna göre ölen kişilerin verisi ancak hayattaki yakınlarının kişilik haklarını belirlenebilir kılıyorsa korunur. Çünkü kanun gerçek kişiler için uygulanır. Gerçek kişi olmak için ise tam ve sağ olmak gerekir. Kişinin sağ olma durumu ölümle sona erdiğinden artık ölen kişi bu kanun kapsamına girmeyecektir. Fakat ölen kişinin verileriyle hayattaki yakınlarına ulaşılması durumunda ölen kişilerin verileri koruma alanına girmektedir. Ölen bir kişinin devam eden davasını mirasçı üstlenmişse davanın bilgileri ölen kişiyle kişisel veri olmaktan çıkmamaktadır çünkü başkalarının verileri hakkında bilgi içermektedir.
-
Takma Ad, Şifreli Veriler bir kişiye bağdaştırılabilmesi durumunda genel nitelikli kişisel veridir. Anonim veriler ise kişisel veri kabul edilmez, bir veri imha projesidir.
-
Ceninin verileri tam ve sağ doğum şartı henüz gerçekleşmediğinden annenin kişisel verileri kabul edilir.
-
Her kişisel bilgi kişisel veri değildir. Kişisel veri olması için bilgi ve veri arasında bir enformasyon olması gerekir. Yani bilgi ile veriyi bağdaştırabilecek özellikte bir bağlam gereklidir. Oluşan bu bağlam neticesinde bir kişi hakkındaki bilgi veri olarak işlenecek hale getirilebilmektedir. Bir büroda bağlı çalışan avukat işe gelirken parmak iziyle giriş yapsa ama o parmak izinin kime ait olduğu bilinmese ortada bir kişisel veri yoktur. Parmak izi var, çalışan (A) kişisi var işe kaçta geldiğini tespit etmek için yapılan bu sistem kurulduğunda ortada enformasyonun da olduğu kabul edilir.
-
Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
-
Bir kişi hakkındaki nesnel olmayan bilgiler hatta düşünce, niyet veya tahmin gibi edinilmiş bilgiler de kişisel bilgidir.
-
Kişisel verilerin işlenmesi; şeffaf , net ve açık olmalıdır.
-
Bir amaçla toplanan kişisel veriler daha sonra amaç değişmesi halinde ilgili kişinin makul beklentisi kapsamında işlenebilir. Kişi işleme faaliyetlerine göre bir öngörüde bulunamıyorsa bu durumda rıza tekrar alınmalıdır.
-
Kişisel veriler genel ve hassas veriler olarak 2 gruptan oluşur.
-
Sınırlı olarak sayılan hassas veriler kişilerin ayrımcılığa uğrayabileceği düşünülen verilerdir. Kanunda sınırlı olarak sayılmıştır, örnekleme yoluyla çoğaltılamaz.
-
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biometrik ve genetik verileri özel nitelikli kişisel veridir.
-
Özel veya genel nitelikli kişisel bilgilerin işlenmesi, bu verilerin üzerinde yapılan her türlü işlemi kapsamaktır. Bu kapsamda saklamak, toplamak, kullanmak, aktarmak gibi işlemler sayılabilir.
-
Veri kayıt sisteminin bir parçası olmak şartıyla bilgisayar gibi sistemlerle ya da otomatik olmayan yollarla mesela defterlere tutulmak suretiyle veriler işlenebilir.
-
Kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelere uyulması zorunludur.
-
Kişisel veriler bireyin geleceğini tayin hakkı bakımından bir kişilik hakkıdır. Bir mülk değil kişisel hak olması bakımından kişiye sıkı sıkıya bağlı bir hak olduğundan vazgeçilemez niteliktedir. “Kişisel veriler geleceğin yakıtıdır.” sözüyle de bu anlatılmaktadır. Bir kişinin verisi çok işe yarayan bir şey değil gibi gözükse dahi aslolan büyük veri” big data” yöntemiyle insanların tahmin edilebilirlikleri artmaktadır. Kişinin kamuya açık bir internet adresinde paylaştığı verileri onun mülkiyet hakkına girmez, bu onun kişiliğiyle alakalı olduğundan kişilik hakkıdır.
-
Veri sorumlusu; kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir. Mesela kurumlar, bakanlıklar veri sorumlusu tüzel kişilerken avukatlık ofisleri, eczaneler veri sorumlusu gerçek kişilerdir.
-
Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek ya da tüzel kişilerdir. Veri bilişim bulut sistemi, avukatlık ortaklığındaki ortaklık call centerlar ya da kuryeler veri işleyen olarak kabul edilir.
-
Tüzel kişiliği bulunan kurumlar açısından veri sorumlusu, her halükarda tüzel kişiliğin kendisidir.
-
İlgili kişi, verisi işlenen kişidir.
-
Veri güvenliği, verilerinin işlenmesinde çok önemlidir. Örneğin özel nitelikli kişisel verileri işleyen küçük ölçekli bir şirket, genel nitelikli veri işleyen görece daha büyük bir şirketten daha sıkı güvenlik önlemi almak zorundadır.
-
Veri güvenliği; veri tutulan ve aktif kullanılan bilgisayarları şifreleme, belirli süreli işlem yapılmayan bilgisayarları kilitleme, yalnızca belirli hafıza kartlarına erişim izni verilmesi, kurumun dışında kullanımının sınırlandırılması, veri sızıntısına karşı daha önce aksiyon planlanması gibi yöntemlerle sağlanabilir.
-
Türk Standartları Enstitüsü Veri Güvenliğini sağlamak için ISO 27001:2005 numaralı Bilgi Güvenliği Yönetim Standartını (kuruluşun bilgi varlıklarını korumasına ve yönetmesine olanak sağlar.) veri güveliğinin temini bakımından yayınlamıştır. Bu kapsamda ilgili veri sorumluları veri güvenliğinin sağlanması için yapması gerekenleri bulabilmektedir.
-
Sözleşme görüşmeleri sırasında dahi karşıdaki kişiden alınan veriler sözleşme yapılmayacaksa imha edilmelidir.
-
Klavye izleyicisiyle birlikte internette bir sitede bir form doldurulması durumunda formdaki bilgiler kaydetmeden çıkılsa IP adresinden sitenin verileri kaydetmesi hukuka aykırıdır.
-
Kişisel verilerin işlenmesinin, edim yükümlülüğü veya ifaya yardımcı yan yükümlülük olarak kullanıldığı durumlarda zarardan borçlu sorumlu olur. Yani asıl olarak yapılan sözleşmenin konusu farklı olsa dahi yapılacak olan sözleşme kapsamında bir taraf diğerinin kişisel verisini işleyecekse, muhafaza edilirken oluşabilecek zararlardan kişisel veriyi saklama borcu olan kişi sorumludur.
-
2016 yılından itibaren kanun 2 yıllık bir geçiş süreci öngörmüştür. Geçici Madde 1 uyarınca; Veri Sorumluları, kanunun yayımı tarihinden önce işledikleri kişisel verileri, yayımı tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hale getirmekle yükümlüdürler. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.
-
2016’dan önce alınan veriler bakımından açıkça belirtilmediği durumlarda verdikleri bilgileri hukuka uygun kabul edilir. İlgili kişi açıkça sorumluya ulaşıp verisini silmesini istemedikçe alınan veriler kanuna uygun kabul edilir.2016-2018 tarihleri arasında veri sorumlusu kanuna uygun olarak veri almalıdır. Daha önce alınan verilerse kanuna uygun hale getirilmelidir. Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde, Kanuna uygun kabul edilir.
-
Kanuna uygun veri işleme; aydınlatma ve rıza beyanıyla yapılmalıdır.
-
Aydınlatma formunda veriyi alacak taraf, ilgili kişiye veriyi neden alacağını, nelerde kullanacağını, aktarıp aktarmayacağını ve ne kadar süre muhafaza edeceğini açıklamadıkça alınan veri hukuka uygun değildir.
-
Aydınlatma yapma yükümlülüğü veri sorumlusundadır. İspat yükümlülüğü de veri sorumlusundadır. Her durumda veri sorumlusu aydınlatma yapmakla yükümlüdür. Bu sebeplerden ötürü aydınlatma beyanı sözlü de yapılabilmesine rağmen ispat külfetini kaldırmak maksatlı yazılı olarak yapılması tercih edilir.
-
Açık rıza beyanı, aydınlatma yapılmış ilgili kişiden alınır.
-
“Her türlü verimin işlenmesine rızam vardır.” diyen ilgili kişi hukuka uygun rızada bulunmamıştır. Çünkü bu battaniye rıza denilen bir tarzda rızadır. Bu tarz rızalar hangi verilere ilişkin olduğu belli olmayan ve detay içermediği için kişinin tam olarak aydınlatılamadığı varsayılmaktadır.
-
İnternet sitelerinin çerez politikaları da 6698 kapsamındadır. Sebebi ise bir internet sitesine girildiğinde giren şahsı, alınan malı hatırlamasıdır. Örneğin site bir e-ticaret sitesiyse sepetinde kalan ürünü ya da daha önce baktığı ürünü göstermesinden kaynaklı olarak sitenin aslında kişisel olan bu veriyi işlediğini kolaylıkla söyleyebiliriz. Bu kapsamda kişiden alınan çerezlerle ne yapılacağı konusunda ilgili kişi aydınlatılmalıdır.
-
Açık rıza şarta bağlanamaz. Belirli bir şart sunularak alınan rızalar geçersizdir.
-
Kanunda belirtilen; kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarında açık rıza şartı aranmaz. Ayrıca açık rıza alınmasa dahi aydınlatma yükümlülüğü devam eder.
-
E-Abonelik üzerinden dergi satışı yapan bir internet mağazasına abone olan kişiden istenebilecek bilgiler yapılacak sözleşmenin özünden kaynaklanacak verilerdir. Alakasız olan veriler talep edilirse ayrıca bu kişiden açık rıza alınması gerekmektedir.
-
Açık rızaya tabi olmayan veriler arasında kişinin kendisi tarafından alenileştirilmiş verileri vardır. İş verenin iş görüşmesine gelen birinin Facebook’dan fotoğrafını bulup özgeçmişine eklenmesi durumunda kanuna bakıldığında hukuka uygundur gibi gözükebilir. Fakat olayın özüne bakıldığında alenileştirilmiş veriler bakımından sınırsız bir işleme özgürlüğü yoktur. Kişi Facebook’a resmini özgeçmişine eklensin diye koymaz. Burada objektif iyiniyet kurallarına gitmek gereklidir.
-
Kişinin kendisi tarafından alenileştirilmemiş, alenileştirilmesinde rızası olmayan verilerin işlenmesi açık rızaya tabidir. Çünkü hukuka aykırı bir alenileştirme yapılmıştır. Bu veriler hukuka aykırı şekilde edinilmiş olduğundan rahatça işlenemez.
-
Açık rıza alınmasına gerek bulunmadığı alanlarda objektif iyiniyete bakmak gerekir. İyiniyet açık rızanın sınırı olarak kabul edilir. İyiniyetten kasıt beklenebilirliktir. Mesela bir kişi sosyal medya paylaşımı yaparken işiyle alakalı bir durumda kullansın diye yapmaz. “Veri alenileştirilmiştir her alanda kullanılabilir.” gibi bir geniş alan sunulmamıştır.
-
Taşeron olarak çalıştırılan kişiye verilen formda üye olduğu STK’ları soran bir işveren olan veri sorumlusu aslında işçiden özel nitelikli kişisel verisini istemektedir. Bu sebeple işveren ilk olarak aydınlatma yükümlülüğünü yerine getirmelidir. İşçiden de açıkça rızasını almalıdır. Özel nitelikli kişisel veriler kolayca istenmemesi gereken veri güvenilirliği ve sızma durumlarında olukça tehlikeli olabilecek bilgilerdir.
-
Alınacak rıza; sınırları belirli ve aydınlatılmış kişilerden alındığı takdirde geçerlidir.
-
“İşe alacağım personelin sosyal medyasını takip edip önemli gördüğüm verileri bilgi havuzuma alıyorum.” diyen bir işveren hukuka aykırı veri işlemektedir. Kimse sosyal medyada paylaştığı bir bilgisini özlük dosyasına gireceğini düşünerek hareket etmez. Bundan dolayı objektif iyiniyet kapsamı dışında olduğundan veri hukuka aykırı işlenmiş olur ve kullanılamaz.
-
Sözleşme ilişkisinde bulunulan birinin ailesinin bilgilerini ya da başkaca birinin bilgilerini de almak kişiyi ve bilgisi alınarak kişileri aydınlatmakla ve verisi işlenecek diğer kişilerin verdikleri açık rızayla birlikte hukuka uygun olur. Mesela kefil bilgilerini almak böyledir.
-
Altyapı sağlayıcısı olarak hizmet verilen bir şirket, kişisel verileri işlemek konusunda ilgili kişiyi aydınlatmalıdır. Sonuçta kişinin verileri aktarılmış durumdadır. Fakat eğer veri sorumlusu ilgili kişiyi aydınlatırken bu şirketle bilgilerinin paylaşılacağını belirttiyse bu durumda yeniden açık rıza ya da aydınlatma yapmaya gerek yoktur.
-
Kamusal alanda ya da ofis gibi ortak kullanılan alanlarda kamera bulundurunca da kişisel veri işlenmesi gerçekleşmektedir. Bunun için de kişiye bulunduğu yerde kamera olduğu konusunda aydınlatma yapılması gerekmektedir. Bunun için kameranın çekim yaptığı bölgeye bir kamera işareti koymak aydınlatma yükümlülüğü için yeterlidir.
-
Bir ofiste çalışanların odalarının kamerayla izlenmesi ya da girişte parmak izi alınması Yargıtay kararıyla veri ihlali olarak değerlendirilmemektedir. İşverenin haklı bir çıkarı olduğu düşünüldüğünden ihlal değildir.
-
Hukuka aykırı toplanmış veriler kanunun koruma kapsamındadır. Sonuçta toplanan veriler her ne kadar hukuka aykırı toplanmışsa da sonuçta bir kişinin hakkında olan bazı bilgileri göstermektedir. Bundan kaynaklanarak bu veriler de hukuka uygun şekilde toplanmasa bile hukuka uygun şekilde tutulmalıdır.
-
Özel nitelikli kişisel verinin işlenmesi genel nitelikli kişisel veriye göre çok daha güvenlikli tutulmalıdır. Bundan dolayı veri sorumlusu ya da veri işleyenin elinde bulunan özel nitelikli kişisel veriler eğer sorumlunun ihtiyaç duyduğu veriler değilse silinmeli ya da anonimleştirilmelidir. Anonimleştirmeden kasıt aradaki enformasyonu koparmaktır. Yani mesela; işyerinde çalışan toplam bayan oranı erkek oranının %40 fazlasıdır şeklinde oranlamak ya da H* T, Y** A** gibi kimlik belirtmeden, kim olduğu anlaşılmayan bilgiler veri olarak kabul edilmezler. Anonimleştirme bu gibi şekillerde yapılabilir.
-
VERBİS’e kayıt olma zorunluluğu kanunda belirtilen veri sorumluları için vardır. E- devlet üzerinden bu veri sorumluları VERBİS’e kayıt olmak zorundadırlar. Kanunun 16. maddesi gereğince Kişisel Verileri Koruma Kurulu’nun gözetiminde, Başkanlık tarafından kamuya açık olarak “Veri Sorumluları Sicili” tutulur
-
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
-
Kanunun 28. maddesinin 2. fıkrasında belirtilen durumlarda veri sorumlularının sicile kayıt yükümlülüğü bulunmamaktadır. Bunlar; Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenme, Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi, kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi durumlarında veri sorumlusu bu verileri sicile işlemek zorunda değildir.
-
Alınan verilerin belirli bir saklanma süresi olmalı ve bu süreler de aydınlatma metni ya da sözleşme kurulan bir bağlantı varsa sözleşmede belirtilmelidir. Süresiz yapılan işlemeler sözleşmeden kaynaklıysa kanunda belirtilen zamanaşımı süresiyle sınırlı olarak yapılabilir.
-
Aydınlatma metni şekil şartına tabi değildir. Fakat ispat külfeti veri sorumlusunda olduğundan yazılı olarak yapmak ispat için önemlidir.
-
KVKK, Avrupa Birliğinde uygulanan GDPR’a benzemektedir. Farklı olarak örneğin çocuklara dair verilerle veri işleyen ve veri sorumlusu ayrıntısına KVKK yeterince değinmemiştir.
-
Kişinin fotoğrafı biometrik olmadığı süre boyunca özel nitelikli bir kişisel veri değildir. Fakat kişinin fotoğrafından dini ya da ırkı doğrudan anlaşılabilecek özellikteyse özel nitelikli kişisel verisi olur. Mesela iş başvurularında doğrudan resimli özgeçmiş istemek açık rızayı şarta bağladığından ve açıkça yapılmayan bir aydınlatma olduğundan hukuka aykırı olarak istenmiş sayılmaktadır.
-
GDPR Avrupa sınırları içinde geçerlidir. Örneğin fuar için Avrupa’ya giden bir Türk şirket oraya gittiği zaman GDPR’a uygun olarak veri kaydetmek zorundadır.
-
Alınacak verilerin güncel tutulması, veri sorumlusuna kanunun yüklediği bir yükümlülüktür. İlgili kişi verilerin güncellenmesini veri sorumlusundan talep edebilir.
-
İlgili kişinin bazı hakları vardır. Bunlardan birisi de veri sorumlusunu başvuru yaparak hakkında işlenmiş verileri öğrenmektir. Sorumluya yapılan başvuruya 30 gün içinde cevap verilmesi ve ilgili kişi hakkında tutulan verilerin kişiye bildirilmesi gerekmektedir.
-
Veri sorumlusu ilgili kişinin ona yapacağı başvuru yolunu kendi göstermelidir ve bu yol ücretsiz olmalıdır.
-
İlgili kişinin diğer bir hakkı da saklama süresinin sonunda verilerinin silinmesini, anonimleştirilmesini ya da imha edilmesini veri sorumlusundan isteyebilir. Veri sorumlusu 30 gün içinde ilgili kişinin talebini yerine getirmediği takdirde kişi Kişisel Verileri Koruma Kurumu’na şikâyet yoluyla başvuruda bulunabilecektir.
-
Kurum tarafından şikâyete bağlı olarak yapılan araştırma sürecinden sonra hakkında ihlal kararı Kurum tarafından verilmiş veri sorumlusuna 5.000-1.000.000 TL arasında para cezasına hükmedilebilinir. Ayrıca kurum kendi web sayfasından ihlal yapılan sorumluları ifşa edebilmektedir.
-
Ayrıca Türk Ceza Kanuna göre de veri sorumluları özel hayat gizliliği ihlaline dayalı olarak ya da kişisel bilgileri izni olmaksızın toplamak gibi sebeplerle sorumlu tutulabilmektedir. (TCK md.135) Hukuka aykırı olarak kişisel verileri kaydetme, 1-3 yıl arası hapis cezasına hükmedilir, (TCK md.136) Kişisel verileri, hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme 2-4 yıl (TCK md.138) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmeme 1-2 yıl (KVK Kanunu md.17) KVK Kanunu m. 7 hükmüne aykırı olarak kişisel verileri silmeme veya anonim hale getirmeme 1-2 yıl hapis cezasıyla cezalandırılırlar.
-
Veri sorumlusu silinmesi istenen verileri silebilir, anonimleştirebilir yahut ima edilebilir.
-
Kanun kapsamında silinen veriler için bulut veri sistemlerinde kalanlar koruma kapsamı dışındadır.
-
Avrupa’da son dönemde dini inanç olarak sayılan bazı dini örgütlenmeler ve felsefi inançlar (vejeteryanlık, anti militarizm gibi) da özel nitelikli kişisel veri olarak kabul edilebilmektedir. Çünkü bazı yaklaşımlara göre inançlar da din gibi kişinin ayrımcılığa uğrayabileceği niteliktedirler.