Hukuk Güncesi
12 Nisan 2016 Tarihinde yazıldı
Kişisel Verilerin Korunması Kanunu Neler Getiriyor?
Yaşanan teknolojik gelişmeler sonucu kişisel veriler dahil herhangi bir verinin korunması giderek zorlaşmıştır. Günlük yaşantımızdaki gelişmeler, değişimler, internetin ve teknolojik cihazların kullanımının kolaylaşması ve yaygınlaşması; bu alandaki hukuki boşluğun doldurulmasını şart koşmuştur. Bu boşluk Anayasa’ya ve çeşitli kanunlara sınırlı sayıda hükümler serpiştirilerek giderilmeye çalışılmışsa da başarılı olunamamıştır.
Türkiye 1981 senesinde, Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (“Sözleşme”) ile başlayan bir sürece imza atmıştır. 35 yıllık süreçte sözleşmede öngörülen kişisel verilere özgü kanuni düzenlemeler bir türlü yapılamamış ve Sözleşme onaylanarak yürürlüğe konamamıştır.
2016 yılı itibariyle ise toplumun artan ihtiyaçları ve uyumluluk sürecinin ilerlemesi bakımından önce Sözleşme 18.02.2016’da onaylanmış, ardından da Avrupa Birliği’nin 95/46/EC sayılı Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi’nden yola çıkılarak hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 07.04.2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.
1. Kişisel Veri Nedir? Hangi Bilgiler Bu Kapsama Girer?
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir. Dolayısıyla kişilerin adı-soyadı, doğum tarihi, kimlik/sigorta numarası, telefon numarası, fotoğrafı, aracının plakası, özgeçmişi gibi akla gelebilecek her türlü bilgi kişisel veri tanımına girmektedir.
Kanun ayrıca özel nitelikli kişisel veriler başlığı ile de bir tanımlama yapmıştır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli yani hassas kişisel veridir.
2. Kişisel Verilerin İşlenmesinde Rol Oynayan Kişiler Kimlerdir?
İlgili Kişi: Kişisel verisi işlenen gerçek kişidir. (Örneğin; şirket çalışanları)
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. (Örneğin; şirket)
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. (Örneğin; dışardan hizmet alınan bordrolama firmaları)
Kurum: Kişisel Verileri Koruma Kurumu’dur.
Kurul: Kişisel Verileri Koruma Kurulu’dur. Kurum bünyesinde yer alır.
3. Kişisel Verilerin İşlenmesi Ne Anlama Gelir?
Kanun’a göre kişisel verilerin işlenmesi;
“Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi”
kapsamaktadır. Bu tanımdan yola çıkıldığında, kişisel bir verinin insan müdahalesi olmaksızın örneğin bir bilgisayar üzerinde ve yazılım aracılığıyla işlenmesi veya bu gibi bir elektronik cihazdan bağımsız olarak insan tarafından elle bir veri sistemi kullanılarak işlenmesi halleri, Kanun kapsamına girilebilmektedir.
4. Kişisel Verilerin İşlenmesi için Onay Alınması Gerekir Mi?
Hassas/özel veri olup olmadığına bakılmaksızın her türlü kişisel verinin işlenmesi, ancak Kanun’da öngörülen usul ve esaslara uyulması ve ilgili kişinin açık rızası ile mümkündür.
Kanunda özel olarak ve sınırlı sayıda belirlenmiş bazı istisnai hallerde açık rıza aranmayacağı da düzenlenmiştir. Kanunlarla öngörülen bir halin mevcut olması (örneğin Vergi Dairesi talebi üzerine çalışanların maaşıyla ilgili bilgilerin sunulması); ilgili kişi tarafından verinin önceden alenileştirilmiş olması; veya sağlık/cinsel hayatla ilgili verilere ilişkin olarak kamu sağlığını ilgilendiren bir durumun söz konusu olması bu istisnalardandır.
İstisnaların ne şekilde uygulanacağı, dar mı geniş mi yorumlanacağı açık değildir. Zaman içerisinde ve uygulamaya bağlı olarak, istisnaların ve sınırlarının ne şekilde yorumlanacağı netleşecektir.
5. Veri Sorumlularının ve Veri İşleyenlerin Belli Başlı Yükümlülükleri Nelerdir?
Kişisel verilerin elde edilmesi sırasında ilgili kişilere verilerin işlenme amacı ve kapsamıyla ilgili bilgilendirme yapılmalıdır. Veri Sorumlusunun yapacağı bilgilendirmede; veri sorumlusunun ve varsa temsilcisinin kimliği, verilerin işlenme amacı, verilerin kime hangi amaçla aktarılabileceği, verilerin toplama yöntem ve sebebi, ilgili kişinin Kanun kapsamında sahip olduğu bilgi edinme ve başvuru haklarına açıkça belirtilmelidir.
Elde edilen verilerin güvenliğinin sağlanması, verilerin alınan amaca uygun ve hakkaniyetli şekilde işlenmesi ve oluşturulacak Veri Sorumluları Siciline kayıt da Veri Sorumlusunun yükümlülüklerindendir.
Veri İşleyenlerin ise, Veri Sorumlusunun talimatlarına uygun hareket etmesi, verilerin güvenliğini sağlaması, verilerin aktarımına ilişkin kurallara uyması gerekecektir.
Şirketler veya bireyler aynı anda hem Veri Sorumlusu hem de Veri İşleyen sıfatını haiz olabilirler.
6. Grup Şirketleri Arasında ya da Yurtdışına Veri Aktarımı Yapılabilir Mi?
Kişisel veriler, belirli koşullara uyulması kaydıyla yurt içindeki ve yurt dışındaki üçüncü kişilere aktarılabilmektedir. Grup şirketlerin kendi aralarında yapacağı veri aktarımlarında da ilgili prosedürleri takip etmesi esas kuraldır çünkü her bir şirket, ayrı bir tüzel kişiliktir.
Verilerin başka bir kuruma/kuruluşa aktarılması için temel şart, ilgili kişinin açık rızasının alınmasıdır. Ancak, veri aktarımında da açık rızanın aranmayacağı bazı istisnalar mevcuttur.
İlgili kişinin açık rızası aranmaksızın yurt dışına aktarımda aranan özel bir koşul ise verilerin aktarılacağı yabancı ülkede “yeterli koruma bulunması”dır. Yeterli koruma bulunan ülkeler, Kişisel Verileri Koruma Kurulu tarafından belirlenip ilan edilecektir.
Yeterli korumanın bulunmaması halinde; Türkiye’den veriyi yollayan ve yabancı ülkede bu veriyi alacak veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulunun izninin alınması gerekmektedir.
7. Kişisel Verileri İşlenen İlgili Kişilerin Hakları Nelerdir?
Herkesin, veri sorumlusuna başvurarak; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, verilerin işlenme amacına ve bu amaca uygun işlenip işlenmediğin öğrenme, kişisel verilerin düzeltilmesini, silinmesini veya yok edilmesini talep etme, kanuna aykırı işlenen veriler sebebiyle zarara uğraması halinde zararını talep etme hakkı vardır.
8. Kişisel Verilerin İşlenmesini Denetleyecek Bir Kurum Olacak Mıdır? Kanuna Aykırı Hareket Edenlere Uygulanacak Yaptırımlar Nelerdir?
Kanunda denetim mekanizması olarak idari ve mali açıdan özerk bir Kişisel Verileri Koruma Kurumu ve bu kurum içerisinde de karar vermeye yetkili olarak Kişisel Verileri Koruma Kurulu oluşturulması öngörülmüştür.
Kurum ve Kurulun görev ve yetkileri arasında verilerin temel hak ve özgürlüklere uygun işlenmesini sağlamak, ilgili kişilerin şikâyetlerini karara bağlamak, veri sorumluları sicilini tutmak, veri güvenliğine ilişkin yükümlülükleri belirlemek mevzuattaki gelişmeleri takip edip değerlendirmek, uluslararası gelişmeleri izlemek, ihtiyaç halinde kamu kurumları, sivil toplum örgütleri ve üniversitelerle işbirlikleri yapmak bulunmaktadır.
Veri sorumlusu ve işleyenlerin yükümlülüklerine aykırı davranması halinde 5.000-TL’den 1.000.000-TL’ye kadar para cezası ve 1 yıldan 4 yıla kadar hapis cezası öngörülmüştür. Ayrıca şartların oluşması halinde Veri Sorumlularının, maddi-manevi tazminat talepleriyle karşı karşıya kalması mümkündür.
9. Şirketler Kanuna Uyum Sağlamak Amacıyla Neler Yapmalıdır?
Kanun, kişisel verilerin işlenmesine ilişkin ayrıntılı ilk yasal düzenleme olduğundan ve çok sayıda yenilik ve değişiklik gerektiren hüküm içerdiğinden, bir uyum süreci de öngörmüştür. Buna göre 07.04.2016 tarihinden önce işlenmiş olan kişisel veriler, 07.04.2016 tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hâle getirilecektir.
Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler içinse derhâl silme, yok etme veya anonim hâle getirme zorunluluğu getirilmiştir.
Bu kapsamda özellikle Şirketler ve bağımsız hizmet veren danışmanlar yönünden Kanuna uyum çalışmalarının yapılması ve öncelikli olarak;
- Kanun kapsamına giren faaliyetlerde bulunup bulunmadığının, bulunuyor ise bunların neler olduğunun tespit edilmesi,
- Şirket/Danışman adına veri işleyen üçüncü kişi veya kişiler mevcut ise (muhasebe firması, bordrolama şirketi, bulut bilişim firmaları gibi), bunlar ile aralarındaki sorumluk paylaşımının belirlenmesi, bu amaçla gerekli sözleşmelerin akdedilmesi, mevcut sözleşmelerin tadil edilmesi, denetleme prosedürlerinin getirilmesi,
- Şirket tarafından kullanılan iş başvuru formları dahil, tüm sözleşmelerin veri işleme ve aktarımı açısından incelenmesi ve hem Şirket/Danışman faaliyetlerine hem de Kanuna uygun olacak şekilde tadil edilmesi,
- Kişisel veri güvenliğinin sağlanması için gerekli teknik ve hukuki alt yapının kurulması,
- Şirketin/Danışmanın faaliyetleri kapsamında veri aktarımı gerçekleştiriliyor olması halinde, aktarım yapılan yurt içinde veya dışındaki üçüncü kişilere kişi ve ülkelere dair yükümlülüklerin tespit edilmesi ve gerekliyse alternatif modellerin kurulması,
- Veri işleme sürecinde rol oynayacak çalışanların eğitilmesi
faydalı olacaktır.
Av. Nihan Malkoçer