Genel

05 Ara 2016

Kişisel Verilerin Korunması Kanunu Hakkında Bilmeniz Gerekenler

Yazılarımızdan Haberdar Olun!

Teşekkürler!
Teşekkürler, istemiyorum.

Yaptığımız işlerde gün geçtikçe daha da fazla kullandığımız kişisel veriler, artık Türkiye’de kanun koruması altında. Nisan ayından itibaren hayatımızda olan Kişisel Verilerin Korunması Kanunu, kullanıcılarımız da dahil tüm gerçek kişilerin bilgileri üzerinde uyguladığımız her işlemde uymamız gereken önemli kurallar getiriyor. Bu yazımızda Kanun’un getirdiği yükümlülüklerden genel hatlarıyla bahsedecek, bu yükümlülüklerin iyzico üyesi satıcılar üzerindeki etkilerini ve Kanun’a uyumluluk için yapılması gerekenleri inceleyeceğiz.

Kişisel Veri Nedir?

Kanun’da tanımlandığı haliyle kişisel veri, kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgidir. Bu tanımın neyin kişisel veri olup neyin olmadığını gözümüzde canlandırmak için yeterli olmayacağını biliyoruz, bu yüzden örneklerle açıklamaya çalışalım: Müşterilerin ad, soyad, adres ve telefonlarından oluşan bir listenin kimliği belirli gerçek kişilere ilişkin bilgi, yani kişisel veri olduğu konusunda bir şüphe yok. Ama müşterilerin ad ve soyadlarına yer vermeyen, yalnızca adres ve telefon bilgilerinden oluşan bir liste de aslında kişisel veri olarak görülebilir, çünkü bu adres ve telefon bilgileri üzerinden bir gerçek kişinin kimliğinin belirlenmesi mümkündür. Yine gerçek kişilere atanan numaralar da, örneğin bir internet sitesindeki her üyeye atanan üyelik ve işlem numaraları veya bir okuldaki öğrenci numaraları, bir gerçek kişiyle eşleştirilebilir durumda bulunduklarından kişisel veridir.

Kişisel Verileri Ne Zaman Kullanabiliriz?

Kişisel veriler üzerinde gerçekleştirilen kaydetmek, saklamak, değiştirmek, açıklamak, aktarmak gibi tüm işlemler, kişisel veri işlemek olarak tanımlanıyor. Yani bir gerçek kişinin bilgisini öğrendiğimiz andan, bilgiyi tamamen yok ettiğimiz ana kadar yaptığımız tüm işlemlerle Kanun’a göre kişisel veri işlemiş oluyoruz. Bu işleme süreçlerinin hukuka uygun olması için de aşağıdaki şartlardan birisinin gerçekleşmiş olması gerekiyor.

– Kişisel verileri işlenen kişinin açık rızasının bulunması; ki bu açık rıza kişinin bilgilendirilmesine dayanmalı ve onaylayıcı bir hareket içermelidir.

– Kişisel veri işlemenin kanunda öngörülmüş olması, kanuni yükümlülüğün yerine getirilmesi veya bir hakkın kullanılması için zorunlu olması durumunda, kanunda öngörülen veya işlenmesi zorunlu olan kişisel veriler, açık rıza olmadan da işlenebilir.

– Yine bir sözleşmenin kurulması veya sözleşmedeki yükümlülüklerin yerine getirilmesi için gereken bilgiler de sözleşmenin diğer tarafına ait olmaları şartıyla rıza olmadan işlenebilir. Buna göre örneğin; bir müşterinize kargo yoluyla göndereceğiniz ürün için, müşteriden teslimat bilgilerini alır ve yalnızca bu teslimat için kullanırsanız, teslimat bilgisini işlediğiniz bu süreç için müşterinizin açık rızasını almanıza gerek olmaz.

– Rızasını açıklayamayacak kişilere ait kişisel verilerin zorunlu durumlarda işlenmesi veya kişiye zarar vermediği sürece işlemenin veriyi işleyen kişinin menfaatleri için zorunlu olması hallerinde de kişisel veriler açık rızaya gerek olmadan işlenebilir.

Kişisel Verileri İşlerken Dikkat Etmemiz Gereken Başka Kurallar Var Mı?

Kişisel veri işleme süreçlerinin hukuka uygun olması için, veriler elde edilirken açık rızaya veya kanunlarda öngörülen diğer istisnalara dayanılması yeterli değil. Zira Kanun, kişisel verilerin işlenmesinde uyulacak başka kuralları da sıralıyor. Sektör bazında tabi olunan diğer düzenlemelerle birlikte göz önünde bulundurulması gereken bu yükümlülük ve kurallar şöyle listelenebilir:

– Kişisel verilerin 3. kişilere aktarılabilmesi için, ilgili kişinin açık rızasının bulunması veya kanunlarda gösterilen, örneğin yukarıda açıklanan, istisnalara dayanılması gerekir.

– Kişisel verilerin yurtdışına aktarılabilmesi için ise daha da ağır şartlar öngörülmekte. Yine kişinin açık rızasının alınması yurtdışına aktarımın hukuka uygun olmasını sağlayacaktır. Ancak eğer kanuni istisnalara dayanılarak veriler yurtdışına aktarılacaksa, aktarım yapılacak ülkelerin Kişisel Verileri Koruma Kurulu tarafından belirlenecek güvenli ülkeler arasında yer alması (bu ülkeler bu yazının yayın tarihi itibariyle henüz belirlenmiş değil), ya da yurtdışındaki veri aktarılacak kişilerin Kişisel Verileri Koruma Kurulu tarafından uygun bulunacak şekilde yeterli korumayı taahhüt etmesi gerekiyor.

– İşlenen kişisel verilere yetkisiz kişilerin erişmesini engelleyecek tüm güvenlik tedbirlerinin alınması gerekli. Bu tedbirlerin detaylarını daha sonra yürürlüğe konacak yönetmelik ve tebliğlerin belirlemesi beklense de Avrupa Birliği’ndeki 20 yıllık tecrübe ışığında ilk akla gelen tedbirler verilerin şifrelenmesi, iletim ve saklama esnasında güvenliği sağlayacak firewall gibi teknolojiler, bilişim teknolojileri altyapısının bulunduğu ortamın fiziksel güvenliği ve etkili yetkilendirme ve doğrulama prosedürleri oluyor. Tedbirlere rağmen verilerin yetkisiz kişilerin eline geçmesi durumunda ise, durumun verisi ele geçirilen kişilere ve Kişisel Verileri Koruma Kurulu’na bildirilmesi de zorunlu tutuluyor.

– Kişisel verilerin işlenmesinde uyulması gereken temel ilkeler de Kanun’da sıralanıyor. Bu ilkelere göre kişisel veri işleme faaliyetleri hukuka ve dürüstlük kurallarına uygun olmalı; işlenen kişisel verilerin doğru ve gerektiğinde güncel olması sağlanmalı; veri işleme amaçları belirli, açık ve meşru olmalı; işlenen veriler işleme amacıyla bağlantılı, sınırlı ve ölçülü olmalı ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre boyunca saklanıp, bu sürenin ardından silinmeli veya anonim hale getirilmeli.

– Kişisel verileri işlenen kişilerin; veri sorumlusunun kimliği, veri işleme amaçları, yöntemleri ve hukuki dayanakları, verilerin aktarılabileceği kişiler ve aktarma amaçları, ayrıca kişisel verileri üzerinde kullanabileceği hakları konularında aydınlatılması da Kanun’da öngörülen yükümlülükler arasında. Bu yükümlülüğün yerine getirilmesi için, güncel, kapsamlı ve kişisel verileri işlenen herkesin ulaşıp anlayabileceği kişisel veri bilgilendirilmeleri (daha yaygın adıyla, gizlilik politikaları) oluşturulması önerilmekte.

– Kanun’a göre, verisi işlenen kişilerin; kendisine ait veri işlenip işlenmediğini, işlenmişse şartlarını, amacını ve amaca uygun kullanılıp kullanılmadığını, verilerin aktarıldığı kişileri öğrenme; eksik veya yanlış kişisel verilerin düzeltilmesini, işlenme sebebi ortadan kalkan verilerin silinmesini veya yok edilmesini, bu işlemlerin aktarılan kişilere de bildirilmesini ve işleme sebebiyle zarara uğradıysa bu zararın karşılanmasını isteme, verilerin otomatik sistemlerle işlenmesi sonucu ortaya çıkan olumsuz sonuçlara da itiraz etme hakları bulunuyor.

– Ayrıca, kişisel veri işleme amaç ve yöntemlerini belirleyen gerçek veya tüzel kişiler olarak belirlenen kişisel veri sorumlularının, Kişisel Verilerin Korunması Kurumu bünyesinde oluşturulacak olan Veri Sorumluları Sicili’ne veri işleme faaliyetleri hakkında bilgi verilerek kayıt olması zorunlu tutuluyor.

Kanun’a uymamamız halinde ne olabilir?

Kişisel verilerin korunması konusu, Avrupa’da ve paralel olarak da Türkiye’de bir temel insan haklarından biri olarak görüldüğünden, bu konudaki kurallara aykırılıklarda giderek artan ağırlıkta yaptırımlarla karşılaşıyor. Kanun’un aydınlatma yükümlülüğüne aykırılık, sicile kaydolmamak, veri güvenliğini sağlamamak ve Kurul kararlarına aykırılık için öngördüğü cezalar 1.000.000 Türk Lirasına kadar çıkıyor. Ayrıca Türk Ceza Kanunu’nda, kişisel verilerin hukuka aykırı olarak kaydedilmesi, yayılması, ele geçirilmesi ve yok edilmesi gerektiği halde yok edilmemesi gibi durumlar için 4 yıla varan hapis cezaları öngörülüyor.

iyzico Üyesi Satıcılar Ne Yapmalı?

Ödeme süreçlerinde iyzico hizmetlerinin kullanılabilmesi için, iyzico’ya birtakım kişisel verilerin aktarılması gerekir. Bu verileri elde etme ve iyzico’ya aktarma aşamasında hukuka uygunluğu sağlamak satıcıların sorumluluğudur. iyzico bu kişisel verileri ödemenin alınabilmesi ve ödeme usulsüzlüklerinin önlenmesi için ilgili kurallara uygun olarak işlemektedir. Satıcıların iyzico’ya aktardıkları veriler konusunda kullanıcılarını bilgilendirmesini ve iyzico’nun elinde bulundurduğu tüm verilerin hukuka uygun elde edilmiş olmasını önemsiyoruz. Bu yüzden tüm satıcılarımıza aşağıdaki adımları atmalarını öneriyoruz:

– iyzico’ya bilgi aktarmadan önce, ki bu bilgilere kredi kartı bilgilerinin yanı sıra üyeye ve işleme ilişkin diğer bilgiler de dahildir, kullanıcılar bu aktarım konusunda bilgilendirilmeli ve onayları alınmalıdır. Örneğin aşağıdaki metnin ödemesi iyzico aracılığıyla tahsil edilecek ve dolayısıyla iyzico’ya bilgileri aktarılacak her kişiye gösterilmesi ve kullanıcının onaylayıcı bir harekette bulunması şeklinde (opt-in) bir onay alınması düşünülebilir: “Ödeme yöntemime, üyeliğime ve siparişime ilişkin bilgilerin, ödemenin gerçekleştirilebilmesi ve ödeme usulsüzlüklerinin önlenmesi amacıyla iyzico Ödeme Hizmetleri A.Ş.’ye aktarılmasına ve iyzico tarafından https://www.iyzico.com/gizlilik-politikasi/ adresinde belirtilen şekilde işlenmesine rıza gösteriyorum.”

– Kullanıcılardan gelen kişisel verilerine ilişkin gelen düzeltme, silme, bilgilendirilme yönündeki talepler, talep konusu verilerin iyzico’ya aktarılan verileri de kapsaması halinde, iyzico’ya iletilmelidir. iyzico bu talepleri kanuni yükümlülüklerine uygun olarak karşılayacak ve talebin sonucuyla ilgili bilgi verecektir.

Bu metin iyzico tarafından yalnızca üye satıcılara genel bilgi vermek amacıyla hazırlanmıştır. Her organizasyonu kişisel veriler açısından hukuka uyumlu kılacak tek bir yol ve yöntem düşünülemeyeceğinden, buradaki bilgilerin yalnızca bir özet niteliğinde görülmesini, her organizasyonun Kanun’a uyum durumunun ayrı ayrı ele alınmasını ve gerekli adımların konunun uzmanlarıyla birlikte atılmasını önermekteyiz. Metindeki açıklamalar Türkiye’de geçerli genel kurallara göre yapılmıştır, faaliyette bulunduğunuz yer ve sektör, veya hedeflediğiniz ve hizmetlerinizi kullanan kişiler nedeniyle farklı kurallara tabi olabilirsiniz. İlgili kuralların tümünü kendiniz inceleyerek uyumluluk için gerekli adımları atmanızı öneririz, ancak bu konuda herhangi bir sorumluluğumuz bulunmadığını hatırlatmak isteriz. Bu doküman hiçbir şekilde hukuki görüş olarak nitelendirilemez ve istinat edilemez.

Her hakkı saklıdır. © iyzico, 2016