Kişisel Verilerin Korunması Kanunu-VERBİS

30 okunma Ağustos 2020

Kişisel Verilerin Korunması Kanunu 24.03.2016 tarihinde kabul edilmiş ve 07.04.2016 tarihinde yayımlanarak yürürlüğe girmiştir. MADDE 1- Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

 

Madde birde açıklandığı üzere kanun tüm kişisel veri ile ilgili olayları ve özel ve kamu tüm kurum ve kuruluşları işaret etmektedir.  Hepimizin takip ettiği veri sorumluları siciline kayıt tarihleri 23.06.2020 tarihinde alınan kurul kararı ile aşağıdaki son halini almıştır. 

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
  • Kamu kurum ve kuruluşu veri sorumlularının sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine kadar uzatılmıştır.

VERBİS- Veri Sorumluları Sicil Bilgi Sistemine yukarda açıklanan kriterleri karşılayanların kayıt  zorunluluğu olduğunu bildirmektedir. Kanunun 16. maddesine göre kurulca istisna getirilmiş olan veri sorumluları için VERBİS’e kayıt yükümlülüğü bulunmamaktadır. 6698 sayılı  kanuna uyum hazırlığı yapmak ve VERBİS’e kayıt dışındaki tüm yükümlülükleri yerine getirmekte sorumludurlar. 

 

Örneğin; mali müşavilerimiz VERBİS’e kayıt şartlarını taşısalar dahi VERBİS’e bilgileri yüklemekten istisna kapsamına alınmışlardır. Mali müşavirler, müşterilerinin hesapları ile ilgili kayıtları tutarken bu kayıtlardaki kişisel verilerin işlenmesi bakımından veri sorumlusudurlar. 

 

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler faaliyetleri kapsamında elde ettikleri verileri; aydınlatma ve açık rıza beyanları, veri işleme ve aktarım prosedürleri, disiplin prosedürü, gizlilik politikaları, çerez politikaları, bilgi güvenliği ve kişisel verilerin korunması taahhütnameleri ve sözleşmeleri düzenleyerek hem kanuna hazırlanmış hem de veri güvenliklerini arttırmış olurlar.

 

Verilerin amaç dışında kullanılmasına ilişkin kurul kararı paylaşılmıştır.

 

 “Bir bankanın, ilgili kişinin cep telefonu numarasını bankaya veriliş amacı dışında kullanması” hakkında Kişisel Verileri Koruma Kurulunun 18/09/2019 Tarihli ve 2019/227 Sayılı Karar Özeti

 

Karar Tarihi

: 18/09/2019

Karar No

: 2019/277

Konu Özeti

: İlgili kişinin, kişisel verisi olan cep telefonu numarasının bir banka tarafından veriliş amacı dışında kullanılması hakkında

 

Şikâyetçinin bir banka çalışanının kendisini arayarak eşinin müdürü olduğu şirket ile ilgili olarak eşine ulaşamadığını ve eşiyle iletişime geçebilmesi konusunda kendisine yardımcı olmasını talep ettiği, bunun üzerine müşterisi olarak bankaya kendisiyle ilgili işlemlerde kullanılması için vermiş olduğu iletişim bilgilerine amacı dışında nasıl ve neden ulaşıldığı hakkında bilgi almak için bankaya başvuru yaptığı ve bankanın kendisine yazılı bir cevap vermediği iddiasıyla yapılan başvurusunun incelenmesi sonucunda;

Şikâyetçinin talebini bankaya e-posta yoluyla ilettiği ancak bankadan cevap verilmediği yönündeki iddiası ile ilgili olarak bankanın şikâyetçinin e-posta adresine mesaj gönderdiği ve gönderilen mesajda “… paylaşımınız hakkında detaylı bilgilendirme yapabilmek amacıyla iletişim numaranız üzerinden size ulaşmayı denedik ancak yanıt alamadık. İşleminiz ile ilgili detayları …hizmet hattını arayarak öğrenebilirsiniz…” ifadelerine yer verilerek şikayetçinin bilgilendirilmesi yoluna gidildiği görülmüştür.

Bu çerçevede;

  • Banka tarafından, şikâyetçiye gönderilen e-posta mesajında başvurusuna ilişkin detayları banka hizmet hattını arayarak öğrenebileceğine dair bilgilendirme yoluna gidilmesinin, veri sorumlusunca şikâyetçiye başvurusunda talep ettiği hususları açıklayıcı nitelikte yazılı veya elektronik ortamda bir cevap olarak değerlendirilemeyeceği kanaatine ulaşılmış olduğundan, şikâyetçinin başvurusuna Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine uygun cevap verilmemiş olması nedeniyle bankaya kanun ve tebliğ hükümlerine uyum hususunda azami dikkat ve özenin gösterilmesi konusunda hatırlatmada bulunulmasına,
  • Şikâyetçinin müşterisi olduğu bankaya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, eşine ulaşılmasında yardımcı olunabilmesi adına işlenmesinin, 6698 sayılı Kanunun 4. maddesinin (2) numaralı fıkrasının (c) ve (ç) bentlerinde yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunluluğuna aykırı olduğu ve bu çerçevede Kanunun 12. maddesinin 1. fıkrasının (a) bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığını göstermesi nedeniyle Banka hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.