Pazartesi - Cuma / 09:00 - 18:00

Kişisel veri hukuku, gerçek kişilere ait kimliği belirli veya belirlenebilir her türlü bilginin işlenmesi, saklanması, aktarılması, silinmesi, anonim hale getirilmesi ve korunmasına ilişkin kuralları düzenleyen hukuk alanıdır. Bu alan, bireylerin temel hak ve özgürlüklerinin korunmasını esas almakta, şirketlerin, kurumların ve veri işleyenlerin kişisel veri işleme faaliyetlerini hukuka uygun şekilde yürütmesini sağlamaktadır.
Kişisel veri hukuku yalnızca aydınlatma metni veya açık rıza formu hazırlanmasından ibaret değildir. Veri envanteri, saklama ve imha politikası, veri güvenliği tedbirleri, çalışan ve müşteri verilerinin işlenmesi, yurt dışına veri aktarımı, özel nitelikli kişisel veriler ve Kişisel Verileri Koruma Kurulu süreçleri de bu alan kapsamında değerlendirilmektedir.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Ad, soyad, telefon numarası, e-posta adresi, T.C. kimlik numarası, adres, IP bilgisi, müşteri kayıtları, çalışan özlük dosyaları ve kamera kayıtları kişisel veri niteliği taşımaktadır.
Kişisel veri hukukunda temel ölçüt, verinin tek başına veya başka bilgilerle birlikte kişiyi belirlenebilir hale getirip getirmediğidir. Bu nedenle şirketlerin topladığı her veri grubu, kullanım amacı, saklama süresi, aktarım ilişkisi ve işleme şartı bakımından ayrı ayrı değerlendirilmelidir.
Kişisel veri kapsamında değerlendirilen başlıca veri türleri şunlardır:
Kimlik bilgileri
İletişim bilgileri
Finansal bilgiler
Müşteri işlem kayıtları
Çalışan özlük bilgileri
Kamera kayıtları
IP adresi ve dijital işlem kayıtları
Sağlık verileri ve özel nitelikli veriler
Bu verilerin hangi amaçla işlendiği, kimlerle paylaşıldığı ve ne kadar süre saklandığı kişisel veri hukuku bakımından belirleyici nitelik taşımaktadır.
Özel nitelikli kişisel veriler, hukuka aykırı işlenmeleri halinde ilgili kişi bakımından ciddi hak kaybı doğuran verilerdir. Sağlık verileri, biyometrik ve genetik veriler, ceza mahkûmiyeti bilgileri, sendika üyeliği, siyasi düşünce, dini inanç ve kılık kıyafet bilgisi bu kapsamda değerlendirilmektedir.
Bu verilerin işlenmesi, kişisel veri hukuku bakımından daha sıkı şartlara tabidir. Bu nedenle özel nitelikli kişisel veriler işlenirken hukuki sebep, erişim yetkisi, veri güvenliği tedbirleri ve saklama süresi açık şekilde belirlenmektedir.
KVKK uyum süreci, veri sorumlusunun kişisel veri işleme faaliyetlerini mevzuata uygun hale getirmesini amaçlamaktadır. Bu süreçte yalnızca matbu metinlerin hazırlanması yeterli değildir. Kurumun fiili veri işleme yapısı analiz edilmeli, veri akışı ve risk noktaları açık şekilde belirlenmelidir.
KVKK uyum çalışması kapsamında genel olarak şu başlıklar değerlendirilmektedir:
Kişisel veri işleme envanterinin hazırlanması
Aydınlatma metinlerinin düzenlenmesi
Açık rıza süreçlerinin oluşturulması
Saklama ve imha politikalarının hazırlanması
Çalışan, müşteri ve tedarikçi veri süreçlerinin incelenmesi
Kamera, çerez ve dijital veri işleme faaliyetlerinin değerlendirilmesi
Veri güvenliği tedbirlerinin belirlenmesi
Veri ihlali ve Kurul başvuru süreçlerinin yönetilmesi
Bu çalışmaların kurumun faaliyet alanına uygun şekilde yürütülmesi gerekmektedir. Standart ve genel metinlerle yürütülen uyum süreçleri, denetim veya şikâyet halinde yeterli hukuki koruma sağlamamaktadır.
Kişisel veri işleme faaliyetinin hukuka uygun sayılması için kanunda öngörülen işleme şartlarından birine dayanması gerekmektedir. Açık rıza bu şartlardan yalnızca biridir ve her veri işleme faaliyeti için ayrıca açık rıza alınması gerekmemektedir.
Veri sorumlusu, ilgili kişiyi işlenen veriler, işleme amacı, hukuki sebep ve aktarım süreçleri hakkında bilgilendirmekle yükümlüdür. Bu nedenle aydınlatma metinleri, genel ifadelerle değil, kurumun gerçek veri işleme faaliyetlerine uygun şekilde hazırlanmalıdır.
Yurt dışına kişisel veri aktarımı, kişisel veri hukukunun en teknik alanlarından biridir. Bulut yazılımlar, e-posta servisleri, CRM sistemleri, dijital reklam araçları, insan kaynakları platformları ve global grup şirketleri üzerinden yapılan aktarımlar bu kapsamda değerlendirilmektedir.
Yurt dışına aktarım sürecinde veri aktarımının dayanağı, aktarımın sürekliliği, aktarım yapılacak ülke, taraflar arasındaki sözleşme yapısı ve alınacak idari ve teknik tedbirler birlikte incelenmelidir. Bu süreçte hatalı veya eksik değerlendirme yapılması, veri sorumlusu açısından idari para cezası, şikâyet süreci ve itibar kaybı riski doğurmaktadır.
Yurt dışına veri aktarımı değerlendirilirken özellikle kullanılan yazılımlar, sunucu lokasyonları, hizmet sağlayıcı sözleşmeleri ve grup şirketleri arasındaki veri akışı dikkatle analiz edilmektedir.
Kişisel veri ihlali, işlenen kişisel verilerin yetkisiz kişiler tarafından erişilmesi, hukuka aykırı şekilde elde edilmesi, kaybolması, ifşa edilmesi veya güvenliğinin sağlanamaması halinde gündeme gelmektedir. Veri ihlalleri, şirketler ve kurumlar açısından yalnızca teknik bir güvenlik sorunu değil, aynı zamanda hukuki sorumluluk doğuran bir süreçtir.
Veri ihlali halinde ihlalin kapsamı, etkilenen kişi sayısı, veri kategorisi, ihlalin kaynağı, alınan güvenlik tedbirleri ve bildirim yükümlülükleri birlikte değerlendirilmektedir. Kişisel Verileri Koruma Kurulu nezdinde yürütülen süreçlerde olayın zamanında tespit edilmesi, gerekli bildirimlerin yapılması ve teknik-idari tedbirlerin belgelenmesi önem taşımaktadır.
Lexnova İçli Hukuk, kişisel veri hukuku kapsamında şirketlere, sağlık kuruluşlarına, teknoloji firmalarına, e-ticaret işletmelerine, eğitim kurumlarına ve işverenlere KVKK uyum, sözleşme, politika, başvuru ve denetim süreçlerinde hukuki destek sunmaktadır.
Bu kapsamda veri işleme süreçleri analiz edilmekte, hukuki riskler belirlenmekte, gerekli metinler hazırlanmakta ve kurumun faaliyet alanına uygun veri koruma yapısı oluşturulmaktadır. Kişisel veri hukuku alanında düzenli danışmanlık alınması, hem idari yaptırım riskinin azaltılmasını hem de kurumun veri güvenliği kültürünün güçlendirilmesini sağlamaktadır.
Kişisel veri hukuku, kişisel verilerin işlenmesi, saklanması, aktarılması, silinmesi, anonim hale getirilmesi ve korunmasına ilişkin süreçleri kapsamaktadır. Ayrıca KVKK uyum çalışmaları, aydınlatma yükümlülüğü, açık rıza, veri ihlali bildirimi ve Kurul süreçleri de bu alan içinde değerlendirilmektedir.
Her kişisel veri işleme faaliyeti için açık rıza alınması gerekmemektedir. Veri işleme faaliyeti kanunda öngörülen diğer işleme şartlarından birine dayanıyorsa açık rıza yerine ilgili hukuki sebep esas alınmaktadır. Bu nedenle her veri işleme süreci ayrı değerlendirilmelidir.
KVKK uyum süreci yalnızca aydınlatma metni veya açık rıza formu hazırlanmasıyla tamamlanmamaktadır. Kurumun fiili veri işleme süreçleri, saklama süreleri, aktarım ilişkileri, teknik tedbirleri, idari prosedürleri ve çalışan uygulamaları birlikte değerlendirilmelidir.
Yurt dışına kişisel veri aktarımı, verinin Türkiye dışındaki kişi, kurum, sunucu, yazılım veya hizmet sağlayıcıya aktarılması halinde gündeme gelmektedir. Bulut sistemleri, global yazılımlar, e-posta altyapıları, CRM programları ve grup şirketi aktarımları bu kapsamda dikkatle incelenmektedir.