KVKK POLİTİKAMIZ

Kişisel Verileri Koruma Kanunu Uyarınca Kişisel Verilerin İşlenmesi Politikamız ve Aydınlatma Metni

Olimpiyat Sürücü Kursu veri sorumlumuz Yavuz Oğraştır. Olimpiyat sürücü kursu olarak kişisel verilerinizin işlenmesi sırasında verdiğimiz önem doğrultusunda bünyemizde barındırdığımız verileri Kişisel Verilerin Korunması Kanunu’nun ölçütleri doğrultusunda işlemekte ve barındırmaktayız. Kişisel Verileri Koruma kanunu temel hak ve özgürlüklerin korunması amacıyla çıkarılmış bir kanundur.

İlk olarak 20.yy’da tartışılmaya başlayan bireyin mahremiyet hakkı günümüzde teknolojinin gelişmesi ile birlikte artık yasalarla korunması zaruret haline gelen bir hak olmuştur. Kişisel bilgilerimiz/verilerimiz; kullandığımız telefondan, yaptığımız alışverişten, girdiğimiz bir internet sitesinden tutun da hastanelerde veya iş yerlerimizde bile alınmakta ve işlenmektedir. Bu veriler kimi zaman başka kişilerle de paylaşılabilmektedir. Bu paylaşımlar veya verilerimizin işlenmesi de bizlerin mahremiyetini zaman zaman tehdit edebilmektedir. İşte bu hak ihlallerinin durdurulması için bir süredir kişisel verilerin korunması tartışılan bir konuydu. Avrupa Konseyi’nin 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” ile de oldukça önemli kararlar alındı. Türkiye bu sözleşmeye 1981 yılında taraf oldu ancak Sözleşmeyi 2016’da Kişisel Verileri Koruma Kanununu çıkararak yürürlüğe koymuş oldu. Bu kanun ile Kişisel Verileri Koruma Kurumu kuruldu ve ülkemizde kişisel verilerimizin korunması için yapısal önlemler alınmış oldu. Öte yandan kişisel verilerin korunması için 2005 yılında yürürlüğe giren TCK’de öngürülen hapis cezaları da bulunmaktaydı. Ancak kişisel verilerin kapsamı, gereken tedbirlerin ortaya konulması ve sistemsel bir yöntem izlenmesi ülkemizde oldukça yenidir. Bu anlamda bu konu üzerine hem akademik çalışmaların yapılmasına hem de bu hakkın toplumsal olarak anlaşılıp ne kadar önemli olduğunun farkına varılması için bilinçlendirme çalışmalarına oldukça ihtiyaç vardır. Bu yazı dizisinin de bir süredir çalıştığım bu önemli konunun hem anlaşılmasına hem de dünyada ve ülkemizde uygulama alanlarını/örneklerini ele almaya bir nebze katkı sağlayacağı umudundayım.

İlk olarak temel kavramlara giriş yapalım:
Kişisel veri; belirli veya belirlenebilir (yani bahsettiğinin kişinin anlaşılır olması durumu) gerçek kişilere ait bilgilerdir. Örneğin ismimiz bir kişisel veridir, telefon numaramız bir kişisel veridir. Bazı kişisel veriler ise kanunda özel nitelikli kişisel veri olarak tanımlanmıştır. Bu verilerin korunması veya bağlamında kullanılması oldukça önemlidir. Özel nitelikli kişisel verilerin hangileri olduğu ise kanunda sayılmıştır (KVKK madde 6) ve sınırlı sayıdadır. Irkımız, dinimiz, inancımız, siyasi düşüncemiz, dernek, vakıf, sendika üyeliklerimiz, etnik kökenimiz, sağlığımız, cinsel hayatımız, ceza mahkumiyeti ve güvenlik tedbirlerine dair bilgilerimiz, biyometrik ve genetik bilgilerimiz özel nitelikli kişisel verilerdir. Bu veriler bazı istisnai durumlar dışında kural olarak açık rızamız olmaksızın işleme tabi olamazlar. Burada açık rızadan kasıt, bilgilendirilmeye dayalı olarak alınan rızadır. Bu bilgilendirme, yani aydınlatma yükümlülüğü, belli bir şekle bağlı olmaksızın veri sorumlusunun yükümlülüğündedir.
Öte yandan özel nitelikli kişisel verilerin işlenmesi için açık rızaya dayalı onay alındıktan sonra bu verilerin korunması için tedbirlerin de alınması gerekir. Bu tedbirleri almak da veri sorumlusunun yükümlülüğündedir. Fiziki ve internet ortamındaki güvenlik noktasında ve alınacak tedbirler ile ilgili Kişisel Verileri Koruma Kurulu’nun kararı bulunmaktadır. (2018/10 sayılı karar)
Kişisel verilerimizin korunması hususunda bilmemiz gereken bazı diğer temel kavramlara da değinmekte fayda vardır.

Bunlardan ilki kişisel verilerin işlenmesi kavramıdır. Kişisel verilerin işlenmesi deyince akıllarımıza istatistik bilimi çerçevesinde verilerimizin ele alınması gelebilir. Ancak sadece verilerimizin depolanması bile kişisel verilerimizin işlenmesi anlamına gelmektedir. Kişisel verilerimizin işlenmesi noktasında “veri sorumlusu”, yani kişisel verilerimizin işlenmesini isteyen, menfaati olan kişi ile veri sorumlusu adına verilerimizi işleme tabi tutan “veri işleyen” bulunmaktadır. Veri sorumlusu ve veri işleyen gerçek veya tüzel kişiler olabilmektedir.
Kişisel verilerimizle ilgili en önemli hususlardan birisi de kişisel verilerimizin işlenmesi noktasındaki temel ilkelerdir. Kişisel Verileri Koruma Kanunu’nun 4. maddesinde düzenlenen  temel ilkeler şöyledir:

“a)Hukuka ve dürüstlük kurallarına uygun olma
b)Doğru ve gerektiğinde güncel olma
c)Belirli, açık ve meşru amaçlar için işlenme
ç)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
d)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme”
(KVKK madde 4, 2.fıkra)

Bu madde ile düzenlenen hususlar oldukça önemlidir. Özellikle “ç” maddesi; amaç, bağlam, sınırlılık ve ölçülülük unsurları uygulamada sıkça ihlal edilen unsurlardır.  Kişisel verilerimizin işlenmesi bu unsurlara ve süre sınırına uygun olmalı, kişisel verilerimizin işlenme sebebi ortadan kalkınca resen veya talebe bağlı olarak silinmeli ya da anonim hale getirilmelidir. (Anonim hale getirme işlemi, kimliğin belirsiz yapılması, anlaşılamayacak şekilde düzenlenmesi/değiştirilmesi işlemidir.)

MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Bu kanun uyarınca verileriniz kursumuz tarafından, ölçülülük, hukuka uygunluk ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 4. Maddesinde belirtilen diğer unsurlara uygun olarak işlenmektedir. KVKK madde 4 aşağıdaki ölçüleri getirmiştir:

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Bu kapsamda ve ölçütlerde sürücü kursumuz sizlerden talep ettiği verileri MEBBİS sistemine kaydetmektedir. Öte yandan sizlerden istediğimiz veriler, sürücü kursumuzla ilgili işlemleriniz bittiğinde, makul bir süre içerisinde yok edilmektedir ve sadece MEBBİS sisteminde kalmaktadır. MEBBİS Milli Eğitim Bakanlığı’na bağlı olan bir sistemdir. Bu sisteme verilerinizin aktarılması, sürücü belgesi talebiniz ve işlemleriniz için zorunludur.

Öte yandan Olimpiyat Sürücü Kursu olarak, kurs süresince dersleriniz ve sınava hazırlık sürecinizde yukarıda açıklanan amaçlarla kişisel verileriniz şu kişilerle paylaşabilir:

-Kursumuzun faaliyetlerini ve iş süreçlerini devam ettirmek amacıyla hizmet sunan ilgili departmanlar ile
-MEBBİS ile
-Gerekli durumlarda resmi mercilerle, tedarikçi firmalarla, kamu kurumlarıyla, ölçülülük ilkesine uygun olmak kaydıyla iş ortaklarımızla

Bunların yanı sıra siz kursiyerimizin hakları ise Kişisel Verileri Koruma Kanunu 11. Madde’de sıralanmıştır:

MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.

Bu maddedeki haklarınızın daha iyi anlaşılabilmesine ilişkin infografik de ekte yer almaktadır, lütfen inceleyiniz.

Özel nitelikli kişisel veriler ise kanunun 6. Maddesinde sayılmaktadır:

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Kurumumuz kişisel verilerle ilgili olarak, müşterilerimizin ve çalışanlarımızın verilerine özen göstermekte ve gerekmeyen hiçbir veriyi işlememektedir. Müşterilerimizin özel nitelikli verilerinden sürücü belgesi için sağlık bilgileri verileri (göz, tansiyon rahatsızlıkları, kan grubu sağlık raporu gibi) ve sürücü belgesi için zorunlu olan diğer bazı biyometrik ve genetik veriler (biyometrik fotoğraf vb.) ile sabıka kaydı işlenmekte ve aktarılmaktadır. Öte yandan çalışanlarımızın verileri de ölçülü ve hukuka uygun olarak özlük dosyalarında performans değerlendirmeleri ile kanuni yükümlülükten veya işin gereği olarak verilerin işlenmesi ve aktarılması söz konusu olabilir. Bütün bunlara dair açık rızalar da alınmaktadır.

Kuruluşumuz, insan haklarına ve kişisel verilerin korunması hususuna hem işleme hem aktarım hem de güvenlik noktasında azami dikkat etmektedir.