Kişisel Verilerin Korunması Hakkındaki Kanun ile Getirilen Yükümlülükler

Bu yazıyı paylaş

Tweet It! Facebook
Kobitek Takip Servisi
Kişisel Verilerin Korunması Hakkındaki Kanun ile Getirilen Yükümlülükler

Kişisel verilerin korunması konusu 80’li yıllardan itibaren uluslararası belgelerde yer almaya başlamıştır.

Avrupa Konseyi tarafından hazırlanan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına ilişkin 108 sayılı Sözleşme” Türkiye tarafından 1981 yılında imzalanmış olsa da, iç hukukta bu konuda yasal düzenleme yapılmamış olması nedeniyle onaylanamamıştır. Türkiye, hem Avrupa Birliği’ne uyum sağlamak, hem de 108 sayılı sözleşmenin onaylanmasını sağlamak amacıyla Avrupa Birliği’nin 95/46/EC sayılı “Kişisel Verilerin İşlenmesi sırasında Gerçek kişilerin Korunması ve Serbest Veri Trafiği Direktifinden” yola çıkarak Kişisel Verilerin Korunması hakkında kanun tasarısını hazırlamıştır.

Hazırlanan tasarı 10 yılı aşkın süre geçtikten sonra Kişisel Verilerin Korunması Hakkında Kanun (Bundan sonra “Kanun” olarak anılacaktır) adıyla 7.4.2016 tarihinde Resmi Gazete yayınlanmıştır.

Kişisel Veri Nedir?

Kanun, “Kişisel Veri” kavramını “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlamaktadır. Bu nedenle de kişinin adı, soyadı, TC kimlik numarası, kredi kartı bilgileri, ev ya da iş adresi, aracının plakası, fotoğrafı ve bunlarla sınırlı olmayan kişinin kimliğini belirlemeye yönelik her türlü bilgi kişisel veri olarak kabul edilmektedir.

Kanun, kişilere ait bilgilerin toplanması, depolanması, işlenmesi, üçüncü kişilere aktarılması ve yurt dışına transferi konusunda bazı düzenlemeler/ek yükümlülükler ve sınırlamalar getirmektedir. Bu nedenle de kanun bütün şirketleri ilgilendirmekte olup şirketlerin kanun ve yönetmelikler çerçevesinde iç yapılarında, sözleşmelerinde düzenleme yapmaları gerekmektedir.

Kişisel Veriler İşlenirken Hangi Kurallara Uygun Davranılmalıdır?

Kişisel Verilerin İşlenmesi Hakkındaki Kanunun 4. Maddesinde kişisel verilerin işlenmesinde uyulması gereken ilkeler tek tek sayılmıştır. Buna göre kişisel verileri toplayan, işleyen, depolayan, 3. kişilere ya da yurt dışına transfer eden kişi ya da şirketlerin aşağıdaki kurallara uygun hareket etmeleri gerekmektedir. Kişisel Verilerin İşlenmesi:

  1. Hukuka ve dürüstlük kurallarına uygun olmalı,
  2. Doğru ve gerektiğinde güncel olmalı,
  3. Belirli, açık ve meşru amaçlar için işlenmeli,
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı,
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Kişisel Verilerin İşlenme Şartları Nelerdir?

Kanun hangi durumlarda kişisel verilerin işleneceğini açıkça düzenlemiştir. Ana ilke olarak kişisel verileri işlenecek kişinin açık rızasının olması gerekmektedir. Ancak bazı durumlarda açık rıza olmasa dahi kişisel verilerin işlenmesi mümkündür. Bu durumlar aşağıda sayılmıştır.

  1. Kanunlarda açıkça öngörülmesi,
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

Özel Nitelikli Veri Nedir, Nasıl İşlenir?

Kanun, “Özel Nitelikli Kişisel Veri” kavramını “Kişilerin ırkı, etnik kökeni, siyasî düşüncesi, felsefî inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometik verileri” şeklinde tanımlamıştır. Özel Nitelikli Kişisel Veriler Hassas Veri olarak da tanımlanmaktadır. Bu verilerin işlenmesi ise daha sıkı kurallara tabi tutulmuştur.

Kişisel Verilerin 3. Kişilere ve/veya Yurt Dışına Transferi Mümkün müdür?

Kişisel verilerin üçüncü kişilere ve yurtdışındaki üçüncü kişilere aktarılabilmesi için ilgili kişinin rızasının alınması gerekmektedir. Rızanın alınamadığı durumlarda ise kanunda kişisel verilerin işlenebilmesi için gerekli olan istisnai durumlardan birinin gerçekleşmesi halinde bu veri 3. Kişilere aktarılabilecektir. Ancak yurt dışına aktarım için bu şartların yanında kişisel verilerin aktarılacağı ülkede yeterli koruma olması şartı getirilmiştir. Bu ülkelerin hangi ülkeler olduğu Veri Koruma Kurulu tarafından açıklanacaktır. Yeterli koruma olmayan ülkelere transfer için ise hem veriyi transfer edecek tarafın hem de alacak tarafın kişisel verinin korunacağına ilişin taahhüt vermesi gerekmektedir.

Şirketlerin Bundan Sonra İzlemesi Gereken Yol Ne Olacaktır?

Kanun 7.4.2016 tarihinde yayınlanmış olsa da bazı hükümler yönünden yürürlüğü 6 ay sonraya bırakılmıştır, dolayısıyla Kanun 7.10.2016 tarihi itibariyle tamamen yürürlüğe girmiştir. Ancak kanunda belirtilen Veri İşleme Sicili, Veri Koruma Kurulu vb. yönetmelikler henüz yayınlanmamıştır. Buna ek olarak kanunun yayınlanmasından önce elde edilen kişisel verilerin kanun ile uyumlu hale getirilmesi için şirketlere 2 sene ek süre tanınmıştır.

Kişisel Verisi İşlenecek Kişiden Alınacak İznin İçeriği Ne Olacaktır?

Kişisel Verileri toplayan, işleyen, depolayan kişi ya da şirketlerin prensip olarak veri sahibinden izin alması gerektiğini belirtmiştik. Ancak bu izni alırken veri sahibini belli konularda aydınlatmış olmak ve ondan sonra iznini almış gerekmektedir.

Veri sahibine,

  • veri sorumlusunun ve varsa temsilcisinin kimliği,
  • kişisel verilerin hangi amaçla işleneceği,
  • işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • kişisel veri toplamanın yöntemi ve hukuki sebebi
  • veri sahibinin bu verilere istediği zaman ulaşıp değiştirme hakkı olduğu,
  • verilerin kimler ile paylaşıldığını öğrenme hakkı olduğunu
  • istediği zaman vermiş olduğu bu izni geri alarak kişisel verilerinin kullanımını durdurabileceği

konularında bilgi verilmesi gerekmektedir.

Şirketlere Getirilen Diğer Yükümlülükler

Kanun, kişisel verilerin kanun hükümlerine uygun olarak işlendikten sonra işlenme sebebinin ortadan kalkması halinde bu verilerin resen ve ilgili kişinin talebi üzerine silinmesi veya anonim hale getirilmesi gerekliliğini ortaya koymaktadır. Bu nedenle, şirketlerin işlenme sebebi kalkar kalkmaz söz konusu verileri silmeleri gerekmektedir. Silme ve anonim hale getirilmesi usulünün ne şekilde olacağı ise yönetmelikler ile belirlenecektir.

Kanun Veri İşleme Sicilinin oluşturulacağı ve Veri işleme Kurulu’nun kurulacağı belirtilmiştir. Buna ilişkin Yönetmelikler yayınlandığında kişisel veri işleyen şirketlerin Veri İşleme Kurulu’na bildirimde bulunmaları ve sicile kaydolmaları gerekmektedir.

Şirketler ayrıca veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, bu verilere hukuka aykırı olarak erişilmesini önlemek ve uygun düzeyde muhafazalarını sağlamak için gerekli olan her türlü teknik ve idari tedbirleri alma yükümlülükleridir. Ayrıca kişisel verilerin herhangi bir şekilde hukuka aykırı olarak ele geçirilmesi halinde şirket bu durumu veri sahibine ve kurula bildirmekle yükümlüdür.

Kanuna Aykırı Olarak Kişisel Veri İşlemenin Yaptırımı Nedir?

Herhangi bir kişi, kişisel verisinin kanuna aykırı olarak işlendiğini düşünüyorsa öncelikle veri sorumlusuna başvurarak şikayetini bildirecektir. Veri sorumlusu en geç otuz gün içinde bu başvuruyu değerlendirerek sonuçlandırmalıdır. Bu süre içinde cevap verilmezse ya da başvuru reddedilirse veya verilen cevap yetersiz olursa veri sahibi ilgili şirketi Veri Koruma Kurulu’na şikayette bulunabilir.

Veri Koruma Kurulu’na şikayet yapıldığında bu kurulun yerinde inceleme hakkı bulunduğundan şirketinize gelerek sözleşme ve kayıtlarınızı inceleyecek ve ihlal olup olmadığına karar verebilecektir. İhlalin tespit edilmesi halinde ise Kurul, bu aykırılığın giderilmesi için şirkete bildirimde bulunacaktır.

Uygulanacak Cezalar

Kişisel Verilerin hukuka aykırı olarak işlenmesi, 3. Kişilere transfer edilmesi ve silinmesi gerektiği halde bu yükümlülüğün yerine getirilmemesi halinde Ceza Kanunu’nda 1 yıldan 6 yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir.

Bunun dışında Kanun’daki yükümlülüklere aykırı davranılması halinde ise para cezası uygulanacaktır. Kanun her bir ihlal için ayrı ayrı para cezaları belirlemiştir. Buna göre:

  • Aydınlatma yükümlülüğünün yerine getirilmemesi halinde (5 bin –100 bin)
  • Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde (15 bin –1 milyon)
  • Kurul tarafından verilen kararların yerine getirilmemesi halinde (25 bin –1 milyon)
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünü yerine getirmeyenler hakkında (20 bin –1 milyon)

ücretsiz hizmetlerimizden faydalanmak için üye olun
1833 kere okundu

Nazan Şenol Dokudan

Faaliyet Alanları: Fikri Haklar, Ticaret Hukuku, Sözleşmeler Hukuku, Şirketler Hukuku, İş Hukuku, Miras Hukuku, Aile Hukuku, Vakıf ve Dernek Mevzuatı, 

Eğitimi : Marmara Üniversitesi Hukuk Fakültesi (2001), Yeditepe Üniversitesi (LL.M 2006) 

Diller : Türkçe, İngilizce

Nazan Şenol Dokudan, Dokudan Hukuk Bürosunun kurucusudur. 2001-2011 yılları arasında 10 yıl süresince İnanıcı Tekcan Avukatlık bürosunda yerli ve yabancı müvekkillerine fikri haklar, ticaret hukuku, sözleşmeler hukuku, iş hukuku vb alanlarda danışmanlık ve dava hizmeti vermenin yanı sıra aile ve miras hukuku alanındaki davalarda da görev üstlenmiştir. 

Bunun yanında Masumiyet Vakfı’nın kuruluş işlemlerini gerçekleştirmiş ve 2009-2011 yılları arasında vakıfta Yönetim Kurulu Üyesi olarak görev yaparak vakfın tüm faaliyetleri ile ilgili işlemlerini bizzat gerçekleştirmiştir. 

2012-2014 yılları arasında büyük ölçekli bir büronun danışmanlık biriminde Kıdemli Avukat ve Danışmanlık Birim Direktörü olarak çalışmış ve danışmanlığını yaptığı şirketlerin ticaret, şirketler, sözleşme ve iş hukuku da dahil olmak üzere ihtiyaç duyduğu tüm alanlarda danışmanlık hizmeti ve fikri haklar ve miras hukukundan kaynaklı önemli davaları yürütmüştür. Nazan Şenol Dokudan, Dokudan Hukuk Bürosunu kurarak 12 yıl süresince edindiği tecrübelerden yararlanarak müvekkillerinin ihtiyaç alanlarını belirleyerek uyuşmazlık öncesi önleyici hukuki hizmeti de dahil olmak üzere tüm süreçlerde müvekkillerine hızlı, etkin ve kaliteli hizmet vermeyi ilke edinmiştir. 

nazan@dokudanhukuk.com
dokudanhukuk.com

yazarın diğer yazıları için tıklayın

Bu Kategorideki Diğer Yazılar

Yeni Türk Ticaret kanununda Şirket kuruluşuna ilişkin değişiklikler
Değişen Türk Ticaret Kanununda Önemli Konular: Teknoloji
İş Kanununda Çalışma Süreleri
Aile Anayasası ile Hem Şirketinizi Hem Ailenizi Koruyun
İkale (Bozma) Sözleşmesi ile Çıkarılan İşçinin İşe İade Davası Açmasını Engellemek Mümkün mü?
Türk Ticaret Kanununda tutulacak Resmi Defterler ve saklama süreleri
Kişisel Verilerin Korunması Hakkındaki Kanun ile Getirilen Yükümlülükler
Şirket Ana Sözleşmelerinin Türk Ticaret Kanunu’na Uyumlu Hale Getirilmesi
İş Kanununa Göre İş Sağlığı ve Güvenliği
TTK'ya göre Ortaklar şirketten para çekemez
Rakibinize Karşı Dava Açmak İster misiniz?
Elektronik Ticaret Kanunu ile Getirilen Yeni Uygulamalar ve Yaptırımlar
İşçi ve İşveren açısından İş Akdinin Feshi
Bedelsiz kiralama işleminin Vergi Kanunları açısından değerlendirilmesi
“Eser” Niteliği Taşıyan Ürünleri Nasıl Satın Alırsınız?

BİLİŞİM VE TEKNOLOJİ

DIŞ TİCARET

Türkiye'de uygulanmakta olan ihracata yönelik Vergi Teşvikleri

Türkiye'de uygulanmakta olan ihracata yönelik Vergi Teşvikleri

İhracatta devlet teşvikleri çok detaylı bilinmeyen bir konu. Bu konunun ilk makalesi Türkiye’de güncel olarak uygulanmakta olan ihracata yönelik vergi teşvikleri

OFİS VE İNSAN

LED Nedir, Ne Yarar Sağlar?

LED Nedir, Ne Yarar Sağlar?

Yüzyılın devrim yaratan aydınlatma teknolojisi ile elektrik harcamalarında yüksek tasarruf sağlanıyor. Rengarenk ışıklar ile elde edilen görsel efektler de cabası.

Ofis aydınlatması nasıl olmalıdır?

Ofis aydınlatması nasıl olmalıdır?

Ofislerde, aydınlatma ihtiyacı, mekanda yapılan işin gerekliliğine göre farklılık gösterir. İhtiyacımız olan aydınlatma, iki yol ile sağlanır: doğal ışık ve yapay ışık. Yeşil binaların arttığı ve enerji tasarrufunun çok önemli olduğu günümüzde doğal aydınlatmanın önemi büyüktür.

İŞ DÜNYASI

İş Planı Hazırlarken Yararlanmamız Gereken Bazı Araçlar

İş Planı Hazırlarken Yararlanmamız Gereken Bazı Araçlar

İş Planı, şirketinizin geçmişini, gelecek için vizyonunuzu ve bu vizyondaki hedeflerinize varmak için uygulayacağınız planları anlatan çok önemli bir stratejik planlama dokümanı (aracı) ve şirketinizin yol haritasıdır." diye tanımlıyoruz.

HUKUK / MUHASEBE

Şirketlerin Verdiği Eğitim Bursları Gider Yazılır mı?

Şirketlerin Verdiği Eğitim Bursları Gider Yazılır mı?

Gelir Vergisi Kanunumuzda bu konuda yer alan düzenlemelere göre, verilen bursların gider olarak değerlendirilmesi için öncelikle bursun işle ilgili olması yani burs alan öğrencinin bursun bitiminde ilgili işletmede görev alması gerektiği yönündedir.

KOBİMOBİL

Krizde Satış Geliştirme

Faruk Şener ile Ekonomik Kriz Yönetimi

Tufan KARACA ile YÖNETİM VİZYONU

Tufan Karaca

ARKAM YOK MARKAM VAR

  • KOBİ’ler için 10 adımda marka yaratma

    Türkiye’nin ilk marka danışmanı ve marka yönetiminin duayeni Güven Borça yıllar önce “Marka İnşaasının 9 Basamağı” başlıklı bir yazı yazmıştı. İlk okuduğumda çok heyecanlandığımı hatırlıyorum. Kısa ve öz bir yazıydı. Ancak hala yüzlerce şirket bu perspektiften yoksun bir şekilde iş yapıyorlar. Güven Borça’nın bu yazısının ana başlıklarını (bir başlıkta –segmentasyon- ben ekledim) son on yılda oluşan gözlem ve deneyimlerimin ışığında yorumlayarak aktarıyorum.