Kişisel Verilerin İşlenmesi İçin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi Ne Anlama Gelir?

Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur.

Buna göre, veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak, kişisel verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir.

Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek ya da anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir.

Kişisel Verilerin İşlenmesindeki Temel İlkeler Nelerdir?

Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır. Kişisel verilerin işlenmesinde genel ilkeler şunlardır:

1) Hukuka ve dürüstlük kurallarına uygun olma

2) Doğru ve gerektiğinde güncel olma

3) Belirli, açık ve meşru amaçlar için işlenme,

4) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

5) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

Veri İşleyen Kimdir?

Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir.

Bu kişiler veri sorumlusunun kişisel veri işlemek üzere yetkilendirdiği ayrı bir gerçek veya tüzel kişi de olabilir.

Veri Sorumlusu Tüzel Kişilik İçerisinde Veri İşleme Faaliyetlerinden Sorumlu Olan Kişi veya Kişiler midir?

Kanunda veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak ifade edilmektedir.

Bu kapsamda veri sorumlusu, tüzel kişiliğin kendisi olduğundan tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler Kanunun uygulanması bakımından veri sorumlusu sayılmazlar.

Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Kişisel Verilerin İşlenmesi Ne Anlama Gelmektedir?

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Örneğin, kişisel verilerin sadece bir hard diskte, CD’de veya sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir.

Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.

Kanunun Yürürlüğe Girmesinden Önce İşlenen Kişisel Veriler Hakkında Ne Gibi Bir İşlem Yapılacaktır?

Kanunun Geçici 1. maddesinde, “Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, bu tarihten itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilir.

Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir.” hükmü yer almaktadır.

Bu hüküm uyarınca veri sorumluları, Kanunun yayımı tarihinden önce toplamış olduğu kişisel verilere dayalı olarak gerçekleştirdiği kişisel veri işleme faaliyetlerini bu Kanunun yayımı tarihinden itibaren 2 yıl içerisinde Kanuna uyumlu hale getirmelidir.

Bu çerçevede uyumlu hale getirilmesi gereken kişisel veri işleme faaliyetleri içerisinde Kanuna uyumsuzluğu tespit edilip uyumlu hale getirilmeyen faaliyetlerin işleme faaliyetleri durdurulmalıdır.

Kanuna uyumsuz olan kişisel veri işleme faaliyetlerinin konusu olan kişisel veriler derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Açık Rızanın Verilmesi Herhangi Bir Şekle Tabi midir?

Kanunda açık rızanın verilmesi hususunda herhangi bir şekil şartı öngörülmemiştir.

Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır.

Dolayısıyla, açık rıza sözlü, yazılı, elektronik ortam vb. yöntemlerle verilebilir.

Açık rızanın alındığı konusundaki ispat yükü veri sorumlusuna aittir.

Açık Rıza, Herhangi Bir Ürün ve/veya Hizmetin Sunumunun ya da Herhangi Bir Ürün ve/ veya Hizmetten Yararlandırmanın Bir Ön Şartı Yapılabilir mi?

Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.

Örneğin, bir hizmetten yararlanılmasının üyelik şartına bağlandığı yerlerde, üye olmak isteyen ilgili kişinin parmak izinin alınması ve işlenmesinin üyelik sözleşmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır.

Çünkü bu şekilde alınan açık rıza, özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilkesine aykırı olacaktır.

Açık Rıza Nedir?

Kişinin verilerinin işlenmesine özgürce, konu hakkında yeterli bilgi sahibi olarak ve sadece o işlemle sınırlı kalmak kaydıyla verdiği onay beyanına açık rıza denir

Açık rıza, belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür irade ile açıklanan rızadır.

Başka bir ifade ile ilgili kişinin verilerinin işlenmesine özgürce, konu hakkında yeterli bilgi sahibi olarak ve sadece o işlemle sınırlı kalmak kaydıyla verdiği onay beyanıdır.

Kanuna göre açık rızanın üç unsuru vardır: a) Belirli bir konuya ilişkin olma: Açık rıza beyanının kapsamı genel nitelikte olmamalı, belirli bir duruma özgülenmiş olmalıdır. Örneğin; veri sorumlusu tarafından “tüm ürün ve hizmetlerimizin sunulması için kişisel verilerinizin işlenmesine açık rıza veriyor musunuz?” şeklinde rıza alınması durumunda, rıza belirli bir konuya ilişkin olmayacağı için geçerli kabul edilmeyecektir. b) Bilgilendirmeye dayanma: Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesi gerekir. Bu kapsamda, kişiye yapılacak bilgilendirme, mutlaka verinin işlenmesinden önce yapılmalı ve veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir. Elde edilecek kişisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmeli, kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır. c) Özgür iradeyle açıklanmış olma: Bir irade beyanı olan açık rıza beyanının kişinin özgür iradesini etkileyecek hallerden arınmış olması gerekmektedir. Bu doğrultuda, açık rıza beyanını veren ilgili kişinin iradesini bozacak bir durum mevcut olmamalıdır. Örneğin bir hizmetin sunumunun alınacak açık rızaya bağlanması veya hile ile açık rıza alınması.

Özel Nitelikli Kişisel Veri (Hassas Veri) Nedir?

Özel nitelikli kişisel veriler, işlenmeleri halinde ilgili kişilerin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olma riski taşıyan verilerdir.

Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.

Kanunun 6. maddesi gereğince özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”dir.

Bu veriler Kanunda sınırlı sayıda belirlenmiş olduğundan bunların genişletilmesi mümkün değildir

Kişisel Verilerin Korunması Ne Demektir?

Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır.

Kişisel verilerin korunması, temelde verilerin değil, bu kişisel verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır.

Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder.

Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir.

Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.

TÜZEL KİŞİ VERİ SORUMLULARINDA İRTİBAT KİŞİSİ KİM OLMALIDIR, HERKES İRTİBAT KİŞİSİ OLABİLİR Mİ?

Bir tüzel kişi veri sorumlusu, şirket içinden veya dışından bir kişiyi Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olmak şartıyla irtibat kişisi olarak atayabilir. Örneğin bir şirket, yönetim kurulu üyesini veya insan kaynakları departmanında görevli bir çalışanını veya da dışarıdan bir avukatı Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olması kaydıyla 6698 sayılı Kanunun uygulanmasıyla ilgili görevlendirmişse, bu görevlendirilen kişiyi aynı zamanda İrtibat kişisi olarak da atayabilecektir. Buna engel bir durum söz konusu değildir.

SONRADAN KAYIT YÜKÜMLÜSÜ OLANLAR SİCİLE NE ZAMAN KAYIT OLMALIDIR?

 

Kurulun 2018/88 sayılı kararına göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişiler, yurtdışında yerleşik gerçek ve tüzel kişiler, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler ile kamu kurum ve kuruluşları için Sicile kayıt olunması gereken en son tarihler belirlenmiş ve ilan edilmiştir. Veri Sorumluları Sicili Hakkında Yönetmeliğin (“Yönetmelik”) 8 inci maddesine göre sonradan kayıt yükümlüsü haline gelen veri sorumluları için belirlenen 30 günlük süre, Kurul kararıyla belirlenen kayıt sona erme tarihlerinden sonra başlayacaktır. Buna göre bir veri sorumlusu, yukarıda ifade edilen veri sorumlusu gruplarından hangisinin kapsamı içinde ise o grup için belirlenmiş kayıt süreleri içerisinde kayıt yükümlülüğünü yerine getirecektir. Bu sürenin tamamlanmasından sonraki bir tarihte kayıt yükümlüsü haline gelmişse, kayıt yükümlüsü olduğu tarihten itibaren 30 günlük sürede kayıt olmak zorundadır.

VERBİSE NE ZAMAN KAYIT OLUNMALIDIR?

Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında, Veri Sorumluları Siciline kayıt yükümlülüğünün başlama tarihleri ile ilgili karar alma ve bunu ilan etme görev ve yetkisi Kişisel Verileri Koruma Kuruluna (“Kurul”) verilmiştir. Bu kapsamda Kurulca alınan ve 18.08.2018 tarihli Resmi Gazetede yayımlanan 2018/88 sayılı Kararda veri sorumluları için kayıt başlama tarihleri aşağıdaki gibi belirlenmiştir: -Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları 01.10.2018 – 30.09.2019, -Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 – 31.03.2020, -Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 – 30.06.2020, tarihleri arasında Sicile kayıt olmak zorundadır.

VERBİS İLE HANGİ İŞLEMLER YAPILABİLMEKTEDİR?

 

– VERBİS, Sicile kayıt yükümlülüğü olan veri sorumluları için; – Yurtiçinde Yerleşik Gerçek / Tüzel Kişi, – Yurtdışında Yerleşik Gerçek / Tüzel Kişi, – Kamu Kurum ve Kuruluşları olmak üzere 3 farklı yapı şeklinde kurgulanmıştır. Bu kapsamda VERBİS ekranları aracılığıyla; -Veri sorumlusu yönetici girişi, veri sorumlusu temsilcisi bildirimi, kamu kurumlarınca belirlenen koordinasyon görevlisinin bildirimi konularında sistem üzerinden bilgi girişi yapılarak başvuru formu oluşturulmasına, -Başvuru formunun Başkanlığımıza ulaşması üzerine sistem üzerinden kullanıcı adı ve parola oluşturularak veri sorumlusuna iletilmesine, -Kullanıcı adı ve parola kullanılarak sisteme giriş yapılması, irtibat kişisi atamasının yapılması, veri sorumlusunun işlemekte olduğu kişisel verilerle ilgili irtibat kişisince tarafından veri kategorileri, işleme amaçları, saklama süreleri, alınan teknik ve idari tedbirler, kişisel verilerin aktarılabileceği alıcı ve alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler ve veri konusu kişi gruplarına ait kategorik bazda bilgi girişi yapılarak kayıt yükümlülüğünün yerine getirilmesine, -İlgili kişilerce VERBİS’te yer alan kategorik bazdaki bilgilerin görülebilmesine, -Sicilde yer alan bilgilerde her zaman değişiklik yapılabilmesine, imkan tanınmaktadır

VERBİSE KAYIT NASIL GERÇEKLEŞTİRİLİR?

– Kişisel Verileri Koruma Kurumunun (“Kurum”) internet sitesi olan www.kvkk.gov.tr aracılığıyla giriş yapılır. Ekrana gelen sayfada yer alan VERBİS butonuna tıklanır ve ilgili alanlar doldurularak VERBİS’e kayıt olunur.

6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 16 ncı maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline (“Sicil”) kaydolması gerekmektedir. Bu kapsamda, Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) hazırlanmış olup veri sorumluları bu sisteme kayıt olacaklardır.

VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.

Ortaklar Cetveli :

Madde 32- Yönetim kurulu; her genel kurul toplantısından önce, tüm ortakların ortak numaraları, isim ve ikametgahları ile asaleten ve vekaleten imzalanacak yerleri gösterir yönetim kurulunca imzalı bir ortaklar cetveli hazırlamakla yükümlüdür. Bu cetvel toplantıya katılanlar ile genel kurul başkanı ve Bakanlık Temsilcisi tarafından isim yazılarak ayrıca imzalanır

Kooperatiflerin Bağış yapması ile ilgili ana sözleşmelerinde hüküm bulunmamaktadır.  Bağış yapmadan önce genel kurul kararı alınmasının uygun olacağını düşünmekteyiz.

Ancak genel kurul kararı alınmasının beklenmesi kooperatifin aleyhine olacak ise bağış yapılabilir sonrasında genel kurula bilgi verilebilir. Ancak genel kurul tarafından bağışın yapılması kabul edilmemesi halinde yönetim kurulu yapılan işlemden ( kooperatifin zarara uğratılmasından) sorumlu olur.

EVREN ÖZMEN-MALİ MÜŞAVİR