“Kişisel Verilerin Korunması” kanun oldu

 

İnternet kullanımının artışıyla akıllı mobil cihazlardaki kişisel bilgilere erişimin kolaylaşması arasındaki doğru orantı dünyada birçok kişinin sorun yaşamasına sebep oluyor. Her an yanımızda olan mobil cihazlar ya da şahsi bilgisayarlarda sakladığımız özel bilgileri korumak ciddi bir iş haline geliyor.

Resmi Gazete’de yayımlanan “Kişisel Verilerin Korunması” kanunu hakkında  Avukat Bora Yazıcıoğlu, önemli detayları paylaştı.

1-Kişisel veri nedir?

Kanunda kişisel veriler “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu şekilde kişisel veri kavramının tanımı mümkün oldukça geniş tutulmuştur.

Kişisel veriler, kişinin “adı, soyadı, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt plakası, pasaport numarası, özgeçmiş, resim, görüntü ve ses yatıları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri,  aile bilgileri, sağlık bilgileri” gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerdir.

İşverenlerin çalıştırdıkları personelden temin etmiş olduğu, mal ve hizmet sunanların müşterilerinden elde etmiş olduğu veya dernek/vakıfların üyelerinden temin etmiş oldukları yukarıda sayılan tüm veriler kişisel verilere örnek olarak gösterilebilir.

2-Kişisel verilerin işlenmesi ne demekt?

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlanmıştır.

Kişisel verilerin herhangi bir işlem ya da platformda kullanılmadan ya da üçüncü kişilerle paylaşılmadan yalnızca bu verilerin ilgili kişilerden elde edilmesinin veya depolanmasının dahi kişisel veri işleme olarak kabul edileceği dikkate alınmalıdır. 

3-Kişisel verilerin işlenme şartları neler?

Kanunda kişisel verilerin işlenmesinde uyulması gerekli temel ilkeler; (i) hukuka ve dürüstlük kurallarına uygun olma, (ii) doğru ve gerektiğinde güncel olma, (iii) belirli, açık ve meşru amaçlar için işlenme, (iv) işlendikleri amaçla sınırlı olma ve (v) işlendikleri amaç için gerekli olan süreyle sınırlı olarak muhafaza edilme ilkeleri gösterilmiştir.

Kanuna göre, yukarıda sayılan temel ilkelere uygun olmak şartıyla kişisel veriler kural olarak ancak ilgili kişinin açık rızası olması koşuluyla işlenebilecektir. Bununla birlikte Kanunda sayılan aşağıdaki istisnalardan birinin varlığı halinde açık rıza olmaksızın da kişisel verilerin işlenmesi mümkün olabilecektir:

-Kanunlarda açıkça öngörülmesi,

-Rızasını açıklayamayacak durumda bulunan veya rızası hukuken geçersiz olan kişinin ya da bir başkasının hayatı ya da beden bütünlüğünün korunması için zorunluluk olması,

-Sözleşmenin kurulması veya ifasıyla ilgili olmak kaydıyla, taraflara ait kişisel verilerin işlenmesinin gerekli olması,

-Veri sorumlusunun (aşağıda Bölüm 4’te tanımlandığı şekilde) hukuki yükümlülüğünün yerine getirebilmesi için zorunlu olması,

-İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

-İlgili kişinin kendisi tarafından alenileştirilmiş olması,

-Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

İşlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekiyor.

4-Veri sorumlusu ve Veri işleyen kimler?

Kanunda Veri Sorumlusu ve Veri İşleyen olarak birbirinden ayrı kavramlara yer verilmiştir. Veri Sorumlusu Kanunda; veri kayıt sisteminin bir birim, kurum ya da temsilci bünyesinde kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi (“Veri Sorumlusu”) olarak tanımlanırken Veri İşleyen, Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi (“Veri İşleyen”) olarak tanımlanmıştır.

Veri Sorumlusu, kanun hükümlerine göre kişisel verilerin güvenliğinin sağlanmasına yönelik gerekli güvenlik düzeyini temin etmekle yükümlü kılınmıştır. Kişisel verilerin, Veri sorumlusu adına Veri işleyen tarafından işlenmesi halinde ise, kişisel verilerin güvenliğinin temini amacıyla gerekli tedbirlerin alınmasından Veri Sorumlusu, Veri İşleyenle birlikte müştereken sorumlu tutulmuştur.

5-Kişisel verilerle ilgili bilgilendirme yükümlülükleri neler?

Kanunda Veri Sorumlusu ya da yetkilendirdiği kişi için, kişisel verilerin işlenmesi sırasında aşağıdaki hususlar hakkında ilgili kişilere bilgilendirme yapma yükümlülüğü getirilmiştir:

-Veri sorumlusunun ve varsa temsilcisinin kimliği

-Kişisel verilerin hangi amaçla işleneceği

-İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği

-Kişisel veri toplamanın yöntemi ve hukuki sebebi

-Kanunda sayılan ilgili kişinin hakları

Belirtilen bilgilendirme yükümlülüğünün, kişisel verilerin işlenmesinde kişinin rızasına gerek olmayan durumlarda dahi geçerli olacağı dikkate alınmalıdır.

6-Özel nitelikli kişisel veriler neler?

Kanunda ayrıca, kişilerin ırkı, etnik kökenleri, siyasi düşünceleri, dini, mezhebi veya diğer inançları, kılık kıyafeti, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri, genetik ve biyometrik verileri ile dernek, vakıf ya da sendika üyeliğine ilişkin bilgiler gibi bilgiler “Özel Nitelikli Kişisel Veri” olarak tanımlanmış, sağlık ve cinsel hayata ilişkin veriler haricindeki diğer Özel Nitelikli Kişisel Verilerin kanunlarda sayılan istisnai haller dışında ilgili kişinin açık rızası olmaksızın işlenemeyeceği belirtilmiştir.

Sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.

7-Kişisel verilerin üçüncü kişilere aktarılma şartları neler?

Kişisel verilerin aktarılmasına örnek olarak, gerçek ya da tüzel kişilerin müşterilerine ya da çalışanlarına ilişkin bilgileri reklam, pazarlama şirketleriyle paylaşması ya da müşterilerine/çalışanlarına ilişkin istatistiki bilgiler oluşturmak amacıyla bu verileri üçüncü kişilerle paylaşması gösterilebilir.

Kanuna göre, ilgili kişinin açık rızası olmadıkça kural olarak kişisel verilerin üçüncü kişilere aktarılması yasaklanmıştır. Bu kurala istisna olarak ise kişisel veriler,

-Yukarıda Bölüm 3’te sayılan kişisel verilerin rıza aranmaksızın işlenme şartlarından birinin varlığı halinde,

-Sağlık ve cinsel hayata ilişkin veriler ise, yeterli önlemler alınması ve yukarıda Bölüm 6’da sayılan rıza aranmaksızın işlenme şartlarının varlığı halinde

ilgilinin açık rızası aranmaksızın aktarılabilecektir.

8-Kişisel verilerin yurtdışına gönderilme şartları neler?

Kişisel verilerin yurtdışına gönderilmesine ilişkin olarak ise uygulamadaki en yaygın örnek olarak gerçek ya da tüzel kişilerin müşterileri/çalışanlarına ilişkin kayıtları yurtdışındaki sunucularda (server) barındırması gösterilebilir.

Kanuna göre, ilgili kişinin açık rızası olmadıkça kural olarak kişisel verilerin yurtdışına aktarılması yasaklanmıştır. Bu kurala istisna olarak ise kişisel veriler,

-Yukarıda Bölüm 3’te sayılan kişisel verilerin rıza aranmaksızın işlenme şartlarından birinin varlığı halinde,

-Sağlık ve cinsel hayata ilişkin veriler ise, kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması ve yukarıda Bölüm 6’da sayılan rıza aranmaksızın işlenme şartlarının varlığı halinde yurtdışına aktarılabilecektir.

Kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunmaması durumunda ise kişisel veriler, yalnızca Türkiye’deki ve ilgili yabancı ülkedeki Veri Sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un (aşağıda Bölüm 9’da tanımlandığı şekilde) izninin bulunması kaydıyla ilgili kişinin açık rızası bulunmaksızın yurtdışına aktarılabilecektir. Yeterli korumanın bulunduğu ülkeler ise Kurulca belirlenerek ilan edilecektir.

Ayrıca Kanun taslağındaki son değişikler ile kişisel verilerin, uluslararası sözleşme hükümleri saklı kalmak kaydıyla, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kurum veya kuruluşun görüşü alınarak Kurul’un izniyle yurtdışına aktarılabileceği düzenlenmiştir.

9-Kişisel Verileri Koruma Kurulu ve Veri Sorumluları Sicili Nedir?

Kanuna göre, kişisel verileri işleyen gerçek ya da tüzel kişiler, bu verileri işlemeye başlamadan önce, Adalet Bakanlığı’na bağlı olarak kurulacak olan Kişisel Verileri Koruma Kurulu (“Kurul”) bünyesinde tutulacak olan Veri Sorumluları Siciline kaydolmakla yükümlü tutulmuştur.

Görev ve yetkilerini bağımsız olarak yerine getiren Kurul dokuz üyeden oluşacak olup beş üyesi TBMM, iki üyesi Cumhurbaşkanı ve iki üyesi de Bakanlar kurulu tarafından seçilecektir.

10-Kanuna aykırılık halinde uygulanacak ceza ve yaptırımlar neler?

Kanunda yer alan hükümlere aykırı hareket edenler hakkında ise 5.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanması gibi idari yaptırımlar getirilmiştir. Ayrıca cezai yaptırımlar için Türk Ceza Kanunu’nda (“TCK”) bulunan cezaların uygulanacağı belirtilmiştir. Bu cezalar, suçun niteliğine göre 1 ila 6 yıl arasında değişen hapis cezası olarak belirlenmiştir.

Bu çerçevede Kanun’un yürürlüğe girmesinden önceki dönemde de yürürlükte bulunan ancak kişisel veri tanımının net olarak yapılmaması sebebiyle aktif olarak uygulama imkanı bulunmayan TCK’daki kişisel verilere ilişkin suçlar ve yaptırımların ise bu Kanun’un yürürlüğe girmesiyle birlikte uygulama alanı bulacağı düşünülmektedir.

11-Kanun’un uygulanmayacağı haller neler?

Kanunda ayrıca, (i) kişisel verilerin gerçek kişiler tarafından tamamen kendileriyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi, (ii) kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi, (iii) milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi gibi bazı hallerde ise bu Kanun hükümlerinin uygulanmayacağı belirtilmiştir.

12-Kanun’daki yürürlük ve geçiş sürecine ilişkin esaslar neler?

Kişisel verilerin üçüncü kişilere veya yurtdışına aktarılması, ilgili kişinin hakları, başvuru ve şikayet, suçlar ve idari para cezalarına ilişkin hükümleri Kanun’un yayımı tarihinden itibaren 6 ay sonra yürürlüğe girecek olup, bu hükümler haricindeki diğer hükümler ise Kanun’un yayımı tarihiyle birlikte yürürlüğe girecektir.

Kanun’un yayımı tarihinden önce işlenmiş olan kişisel verilerin ise, Kanun’un yayımı tarihinden itibaren 2 yıl içinde Kanun’a uygun hale getirileceği belirtilerek geçiş süreci tanınmıştır. Bununla birlikte Kanun’un yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir beyanda bulunulmaması koşuluyla Kanun’a uygun kabul edilecektir.

Kanundaki diğer ayrıntılı düzenlemelere ilişkin olarak ise Kanun’un yayımı tarihinden itibaren 1 yıl içinde gerekli ikincil düzenlemelerin yayımlanacağı belirtilmiştir.

13-Kanuna uyumluluğun sağlanması için neler yapılabilir?

Yukarıda verilen bilgiler ışığında; Kanun kapsamına giren gerçek veya tüzel kişiler tarafından öncelikle kişisel verilerin işlenmesi ile ilgili mevcut durumun ve olası risklerin tespit ettirilmesi önem arz etmektedir. Bu tespit yaptırılırken; gerçek veya tüzel kişiler tarafından tüm kayıtlar incelenerek müşterilerinin, çalışanlarının ve iş ortaklarının hangi verilerinin hangi amaçlarla ve kimler tarafından işlendiğinin belirlenmesi gerekmektedir. Veri işlemeye ilişkin durum tespitinin ardından ise, (i) ilgili kişilerden kişisel verilerinin işlenmesine ilişkin rıza alınması amacıyla beyan metinleri hazırlanmalı, (ii) çalışanlara gerekli şirket içi eğitimler verilmeli, (iii) gerçek veya tüzel kişiler tarafından çalışanlar, müşteri ve iş ortakları ve veri işleyenlerle imzalanmış ve/veya imzalanacak sözleşmelere ilişkin gerekli tadil çalışmaları yapılmalıdır. Anılan uyumluluk çalışması yapılırken, önümüzdeki günlerde yürürlüğe girmesi beklenen Kanun’da yer alan yaptırımların, yürürlükten itibaren 6 ay sonra uygulanmaya başlayacak olmasına dikkat edilmeli.

 

 

İLGİLİ HABERLER