Kişisel Verilerin Korunması Hakkındaki Kanun ile Getirilen Yükümlülükler

Avrupa Konseyi tarafından hazırlanan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına ilişkin 108 sayılı Sözleşme” Türkiye tarafından 1981 yılında imzalanmış olsa da, iç hukukta bu konuda yasal düzenleme yapılmamış olması nedeniyle onaylanamamıştır. Türkiye, hem Avrupa Birliği’ne uyum sağlamak, hem de 108 sayılı sözleşmenin onaylanmasını sağlamak amacıyla Avrupa Birliği’nin 95/46/EC sayılı “Kişisel Verilerin İşlenmesi sırasında Gerçek kişilerin Korunması ve Serbest Veri Trafiği Direktifinden” yola çıkarak Kişisel Verilerin Korunması hakkında kanun tasarısını hazırlamıştır.

Hazırlanan tasarı 10 yılı aşkın süre geçtikten sonra Kişisel Verilerin Korunması Hakkında Kanun (Bundan sonra “Kanun” olarak anılacaktır) adıyla 7.4.2016 tarihinde Resmi Gazete yayınlanmıştır.

Kişisel Veri Nedir?

Kanun, “Kişisel Veri” kavramını “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlamaktadır. Bu nedenle de kişinin adı, soyadı, TC kimlik numarası, kredi kartı bilgileri, ev ya da iş adresi, aracının plakası, fotoğrafı ve bunlarla sınırlı olmayan kişinin kimliğini belirlemeye yönelik her türlü bilgi kişisel veri olarak kabul edilmektedir.

Kanun, kişilere ait bilgilerin toplanması, depolanması, işlenmesi, üçüncü kişilere aktarılması ve yurt dışına transferi konusunda bazı düzenlemeler/ek yükümlülükler ve sınırlamalar getirmektedir. Bu nedenle de kanun bütün şirketleri ilgilendirmekte olup şirketlerin kanun ve yönetmelikler çerçevesinde iç yapılarında, sözleşmelerinde düzenleme yapmaları gerekmektedir.

Kişisel Veriler İşlenirken Hangi Kurallara Uygun Davranılmalıdır?

Kişisel Verilerin İşlenmesi Hakkındaki Kanunun 4. Maddesinde kişisel verilerin işlenmesinde uyulması gereken ilkeler tek tek sayılmıştır. Buna göre kişisel verileri toplayan, işleyen, depolayan, 3. kişilere ya da yurt dışına transfer eden kişi ya da şirketlerin aşağıdaki kurallara uygun hareket etmeleri gerekmektedir. Kişisel Verilerin İşlenmesi:

1. Hukuka ve dürüstlük kurallarına uygun olmalı,
2. Doğru ve gerektiğinde güncel olmalı,
3. Belirli, açık ve meşru amaçlar için işlenmeli,
4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı,
5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Kişisel Verilerin İşlenme Şartları Nelerdir?

Kanun hangi durumlarda kişisel verilerin işleneceğini açıkça düzenlemiştir. Ana ilke olarak kişisel verileri işlenecek kişinin açık rızasının olması gerekmektedir. Ancak bazı durumlarda açık rıza olmasa dahi kişisel verilerin işlenmesi mümkündür. Bu durumlar aşağıda sayılmıştır.

1. Kanunlarda açıkça öngörülmesi,
2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

Özel Nitelikli Veri Nedir, Nasıl İşlenir?

Kanun, “Özel Nitelikli Kişisel Veri” kavramını “Kişilerin ırkı, etnik kökeni, siyasî düşüncesi, felsefî inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometik verileri” şeklinde tanımlamıştır. Özel Nitelikli Kişisel Veriler Hassas Veri olarak da tanımlanmaktadır. Bu verilerin işlenmesi ise daha sıkı kurallara tabi tutulmuştur.

Kişisel Verilerin 3. Kişilere ve/veya Yurt Dışına Transferi Mümkün müdür?

Kişisel verilerin üçüncü kişilere ve yurtdışındaki üçüncü kişilere aktarılabilmesi için ilgili kişinin rızasının alınması gerekmektedir. Rızanın alınamadığı durumlarda ise kanunda kişisel verilerin işlenebilmesi için gerekli olan istisnai durumlardan birinin gerçekleşmesi halinde bu veri 3. Kişilere aktarılabilecektir. Ancak yurt dışına aktarım için bu şartların yanında kişisel verilerin aktarılacağı ülkede yeterli koruma olması şartı getirilmiştir. Bu ülkelerin hangi ülkeler olduğu Veri Koruma Kurulu tarafından açıklanacaktır. Yeterli koruma olmayan ülkelere transfer için ise hem veriyi transfer edecek tarafın hem de alacak tarafın kişisel verinin korunacağına ilişin taahhüt vermesi gerekmektedir.

Şirketlerin Bundan Sonra İzlemesi Gereken Yol Ne Olacaktır?

Kanun 7.4.2016 tarihinde yayınlanmış olsa da bazı hükümler yönünden yürürlüğü 6 ay sonraya bırakılmıştır, dolayısıyla Kanun 7.10.2016 tarihi itibariyle tamamen yürürlüğe girmiştir. Ancak kanunda belirtilen Veri İşleme Sicili, Veri Koruma Kurulu vb. yönetmelikler henüz yayınlanmamıştır. Buna ek olarak kanunun yayınlanmasından önce elde edilen kişisel verilerin kanun ile uyumlu hale getirilmesi için şirketlere 2 sene ek süre tanınmıştır.

Kişisel Verisi İşlenecek Kişiden Alınacak İznin İçeriği Ne Olacaktır?

Kişisel Verileri toplayan, işleyen, depolayan kişi ya da şirketlerin prensip olarak veri sahibinden izin alması gerektiğini belirtmiştik. Ancak bu izni alırken veri sahibini belli konularda aydınlatmış olmak ve ondan sonra iznini almış gerekmektedir.

Veri sahibine,

• veri sorumlusunun ve varsa temsilcisinin kimliği,
• kişisel verilerin hangi amaçla işleneceği,
• işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• kişisel veri toplamanın yöntemi ve hukuki sebebi
• veri sahibinin bu verilere istediği zaman ulaşıp değiştirme hakkı olduğu,
• verilerin kimler ile paylaşıldığını öğrenme hakkı olduğunu
• istediği zaman vermiş olduğu bu izni geri alarak kişisel verilerinin kullanımını durdurabileceği

konularında bilgi verilmesi gerekmektedir.

Şirketlere Getirilen Diğer Yükümlülükler

Kanun, kişisel verilerin kanun hükümlerine uygun olarak işlendikten sonra işlenme sebebinin ortadan kalkması halinde bu verilerin resen ve ilgili kişinin talebi üzerine silinmesi veya anonim hale getirilmesi gerekliliğini ortaya koymaktadır. Bu nedenle, şirketlerin işlenme sebebi kalkar kalkmaz söz konusu verileri silmeleri gerekmektedir. Silme ve anonim hale getirilmesi usulünün ne şekilde olacağı ise yönetmelikler ile belirlenecektir.

Kanun Veri İşleme Sicilinin oluşturulacağı ve Veri işleme Kurulu’nun kurulacağı belirtilmiştir. Buna ilişkin Yönetmelikler yayınlandığında kişisel veri işleyen şirketlerin Veri İşleme Kurulu’na bildirimde bulunmaları ve sicile kaydolmaları gerekmektedir.

Şirketler ayrıca veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, bu verilere hukuka aykırı olarak erişilmesini önlemek ve uygun düzeyde muhafazalarını sağlamak için gerekli olan her türlü teknik ve idari tedbirleri alma yükümlülükleridir. Ayrıca kişisel verilerin herhangi bir şekilde hukuka aykırı olarak ele geçirilmesi halinde şirket bu durumu veri sahibine ve kurula bildirmekle yükümlüdür.

Kanuna Aykırı Olarak Kişisel Veri İşlemenin Yaptırımı Nedir?

Herhangi bir kişi, kişisel verisinin kanuna aykırı olarak işlendiğini düşünüyorsa öncelikle veri sorumlusuna başvurarak şikayetini bildirecektir. Veri sorumlusu en geç otuz gün içinde bu başvuruyu değerlendirerek sonuçlandırmalıdır. Bu süre içinde cevap verilmezse ya da başvuru reddedilirse veya verilen cevap yetersiz olursa veri sahibi ilgili şirketi Veri Koruma Kurulu’na şikayette bulunabilir.

Veri Koruma Kurulu’na şikayet yapıldığında bu kurulun yerinde inceleme hakkı bulunduğundan şirketinize gelerek sözleşme ve kayıtlarınızı inceleyecek ve ihlal olup olmadığına karar verebilecektir. İhlalin tespit edilmesi halinde ise Kurul, bu aykırılığın giderilmesi için şirkete bildirimde bulunacaktır.

Uygulanacak Cezalar

Kişisel Verilerin hukuka aykırı olarak işlenmesi, 3. Kişilere transfer edilmesi ve silinmesi gerektiği halde bu yükümlülüğün yerine getirilmemesi halinde Ceza Kanunu’nda 1 yıldan 6 yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir.

Bunun dışında Kanun’daki yükümlülüklere aykırı davranılması halinde ise para cezası uygulanacaktır. Kanun her bir ihlal için ayrı ayrı para cezaları belirlemiştir. Buna göre:

• Aydınlatma yükümlülüğünün yerine getirilmemesi halinde (5 bin –100 bin)
• Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde (15 bin –1 milyon)
• Kurul tarafından verilen kararların yerine getirilmemesi halinde (25 bin –1 milyon)
• Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünü yerine getirmeyenler hakkında (20 bin –1 milyon)