Kişisel Verilerin Korunması Kanunu’na hazır mıyız?
Av. Kağan Dora
Ülkemiz mevzuatında kişisel verilerin ancak hukuka uygun olarak işlenebileceğini belirten genel kurallar Anayasa ve Türk Ceza Kanunu’nda zaten yer almaktaydı. Ayrıca, sektörel düzenlemeler olan Elektronik Haberleşme Kanunu, Bankacılık Kanunu ve E-Ticaret Kanunu gibi düzenlemelerde de kişisel verilerin işlenmesine ilişkin kurallar getirilmişti. Ancak, tüm kişisel verilerin işlenmesine uygulanacak kuralları belirleyecek bir çerçeve kanun bulunmamaktaydı.
Ayrıca Türkiye’de kişisel verilere ilişkin bir çerçeve kanunun olmamasından kaynaklanan güvensiz ülke durumunun ortadan kaldırılması ve ilerleyen teknolojilerin kişisel veriler üzerinde daha büyük etki ve ihlaller yaratabileceği düşüncesi gibi sebeplerle bir çerçeve kanun gerekli görüldü. Bu doğrultuda Avrupa Birliği’nin 95/46 Direktifi ile paralel bir Kanun çıkarılması son 10 yıldır sıkça gündeme gelmiş, ancak hazırlanan tasarılar Meclis’ten geçerek kanunlaşamamıştı. 7 Nisan 2016 tarihinde yayınlanan Kişisel Verilerin Korunması Kanunu ise, Türkiye’nin uzun süredir duyduğu bir ihtiyacı karşılamak yolunda önemli bir adım olarak görülmekte.
Kişisel veri nedir?
Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi kişisel veridir. Tüzel kişilere ilişkin bilgiler, gerçek kişilerle ilişkilendirilmedikleri sürece kişisel veri kapsamına girmemektedir.
Ayrıca, kişilerin ırk, etnik köken, dernek, vakıf ve sendika üyeliği, sağlık, kılık-kıyafet gibi alanlardaki bilgileri ise özel nitelikli kişisel veri olarak tanımlanmakta ve işlenmesine başlanmadan önce Kişisel Verileri Koruma Kurulu’nun belirleyeceği önlemlerin alınması gerekmektedir.
Kişisel verilerin işlenmesi nedir?
Kişisel verilerin; elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak kabul edilmektedir.
Kişisel verilerin korunması kanununda şu anki durum nedir?
Kişisel Verilerin Korunması Kanunu’nun veri işlemeye ilişkin düzenlemeleri 7 Nisan 2016’da, üçüncü kişilere ve yurtdışına aktarım, veri sorumlusuna başvuru, kurula şikayet, veri sorumluları sicili ve yaptırımlara ilişkin maddeler 7 Ekim 2016’da yürürlüğe girdi. Bunu takiben, Kişisel Verilerin Korunması Kanunu’nda 7 Nisan 2017 tarihi itibariyle ilgili yönetmelikler yayınlanarak yürürlüğe girmesi öngörülmüştü ancak Kişisel Verilerin Korunması Kurulu tarafından çalışmalara başlanmış ve yönetmelik taslakları görüşe açılmış olmakla birlikte henüz ilgili yönetmelikler yayınlanmamıştır.
Kişisel Verilerin Korunması Kanunu ile birlikte; kişisel verilerin işlenmesinde; “hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uyulması zorunlu olacak ve kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemeyecektir. İlgili kişinin açık rızası aranmaksızın kişisel verilerin işlenebilmesi için, Kanun’da sayılan şartlardan en az birinin varlığı aranmaktadır.
Kanun kimleri kapsıyor?
Kanun genel olarak kişisel verileri işleyen tüm gerçek ve tüzel kişileri kapsamına almaktadır.
Kanun kapsamı dışında kalan haller neler?
Kişisel verilerin istihbarat faaliyetleri, ifade özgürlüğü, akademik özgürlük ve kamu güvenliği gibi durumlar kapsamında işlenmesi Kanun’daki yükümlülüklerin kısmen ya da tamamen dışında kalmaktadır.
Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görevli ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi istisna olarak düzenleniyor. Buna göre, Milli İstihbarat Teşkilatı ile diğer istihbarat birimlerinin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik faaliyetler kapsamında işlediği veriler düzenleme kapsamı dışında olacak.
Ek olarak, Kanun’da kişisel verilerin ilgili oldukları kişiyle hiçbir biçimde eşleştirilemeyecek hale getirilmesi anonim hale getirme olarak tanımlanmaktadır. Kişisel veriler anonim hale getirildikten sonra Kanun’un öngördüğü yükümlülüklerin kapsamı dışına çıkmaktadır.
“Veri sorumlusu” ve “Veri işleyen” kimlerdir?
Veri Sorumlusu, kişisel verilerin işlenme amaç ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Örnek olarak çalışanlarının kişisel verilerini toplayan işverenler, kullanıcılarının kişisel verilerini toplayıp kendisi işleyen web siteleri verilebilecektir).
Veri İşleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen kişilerdir. Örnek vermek gerekirse: bulut bilişim hizmet sağlayıcıları, bordrolama şirketleri vb.
Bu tanımlar gereği bir şirketin hem veri sorumlusu, hem de veri işleyen olarak nitelendirilmesi mümkündür.
Kişisel veriler ne zaman işlenebilir?
Kişisel veriler kişinin açık rızası alınarak işlenebilir. Ancak Kanun’da düzenlenen ve aşağıda bulunan şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.
Kanunlarda açıkça öngörülmesi,
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel verilerin işlenmesinde uyulacak kurallar nelerdir?
Kişisel verilerin işlenebilmesi için aşağıdaki kurallara uyulmalıdır:
Doğru ve gerektiğinde güncel olması;
Hukuka ve dürüstlük kurallarına uygun olarak belirli, açık ve meşru amaçlarla işlenmesi;
Yalnızca veri sahibinin açık rızasıyla veya kanunlarda öngörülen durumlarda 3. kişilere aktarılması;
Yurtdışına aktarım için veri sahibinin açık rızasının alınması; rıza dışındaki istisnalara dayanılarak yurtdışına aktarılabilmesi için ise Kurulun güvenli ülke listesinde olması veya Kurulun iznine bağlı olarak aktaran ve aktarılacak kişilerin yeterli korumayı taahhüt etmesi;
İşleme amacı için gereken süre boyunca işlenmesi;
Hukuka aykırı olarak ele geçirilmesini ve işlenmesini engelleyecek güvenlik önlemlerinin alınması;
Veri Sorumlusunun veri sahibini kimliği, verileri işleme amacı ve yöntemi, 3. kişilere aktarımının şartları gibi konularda bilgilendirmesi;
Veri sahibinin talep etmesi halinde, işlenen kişisel veriler hakkında bilgi verilmesi, bunların düzeltilmesi ve silinmesi;
İşlemeye başlamadan önce Veri Sorumluları Siciline kayıt olunması;
Bankacılık Kanunu, Elektronik Haberleşme Kanunu gibi diğer düzenlemelere uygun olarak işlenmesi gerekmektedir.
Yükümlülüklere uyulmazsa ne tür yaptırımlar uygulanacak?
Daha önce işlenen kişisel verilerin 7 Nisan 2018’e kadar kanun ile uyumlu hale getirilmesi gerekiyor. Aksine hareket edenler için hapis cezası ve idari para cezası öngörülüyor. Kişisel Verilerin hukuka aykırı olarak kaydedilmesine 1-3 yıl hapis cezası öngörülürken, kişisel verilerin hukuka aykırı olarak verilmesi, yayılması, ele geçirilmesi 2-4 yıl, yok edilmesi gereken verilerin yok edilmemesi 1-2 yıl hapis cezası öngörülmektedir. İlgili kişiyi aydınlatma yükümlülüğünün yerine getirilmemesi halinde ise 5.000-100.000 TL, sicile kayıt ve bildirim yapılmaması halinde 20.000-1.000.000 TL, veri güvenliği yükümlüklerine aykırılık halinde 15.000-1.000.000 TL, Kişisel Verileri Koruma Kurulu kararlarına aykırılık halinde ise 25.000-1.000.000 TL idari para cezası öngörülmektedir.
Kişisel verilerin korunması konusu bizi nasıl etkileyecek?
Şirketler her geçen gün yaptıkları işlerin içerisinde kişisel verileri giderek daha fazla kullanıyor. Sağladığı katma değer göz önünde bulundurulduğunda kişisel veriler, bir şirketin know-how’ı ve rekabet gücü gibi özenli bir koruma gerektiren varlıkları arasında yer almaktadır. Kişisel verilerin işlenmesinin toplum açısından da etkilerinin bulunması, bu alanın da tıpkı rekabet gücü gibi düzenlenmesine yol açmış ve açmaktadır. Ayrıca bireyler, hangi kişisel verilerinin ne şekilde işlendiğini ve bu konudaki şeffaflığı giderek daha fazla önemsemektedir. Tüm bu sebeplerle kişisel verilerin korunması konusunun yalnızca hukuki riskleri azaltma açısından yapılması gereken tek seferlik bir uygunluk projesi olduğunu düşünmemek gerektiğine inanıyoruz.
Organizasyonların hemen her biriminde kişisel verilere temas edilmesi, kişisel verilerin iş yapış biçimleri üzerinde giderek daha etkili olması ve kişisel verilerden katma değer yaratmanın yeni yöntemlerinin her gün karşımıza çıkması şeklindeki olgular birlikte değerlendirildiğinde de kişisel verilerin korunması konusunun tek seferlik bir uyum çalışması değil, devamlı bir kişisel veri yönetimi ve uygunluk süreci olmasının önemi belirginleşmektedir.
Bu sebeplerle, organizasyonların aşağıdaki soruları kendilerine sorarak bu uygunluk sürecini bir an önce başlatmasını ve hem şirketin günlük işleyişinde, hem de kişisel verilere temas edileceği öngörülen yeni projelerde bu soruların sürekli tekrarlanmasını öneriyoruz.
Hangi kişisel verileri, hangi kaynaklardan elde ediyoruz?
Hangi kişisel verilere, ne için ihtiyacımız var?
Elde ettiğimiz ama ihtiyacımız olmayan kişisel veriler var mı?
Verileri nitelik, elde etme, kullanım, saklama ve yok edilme bakımından nasıl kategori ve sınıflara ayırıyoruz? Bu süreçlerin tamamında mevcut kurallara uyuyor muyuz? Gelecekteki kurallar bizim uygunluk durumumuzu etkileyecek mi?Bu soruların cevaplarını değerlendirmenize ve kişisel verilerin beraberinde getirdiği riskleri yönetmenize yardımcı olacak “Uyumluluk Durum Değerlendirmesi” ve “Kişisel Veri Uyumluluk Danışmanlığı” hizmetlerimiz hakkında bilgi almak için lütfen bize ulaşın.
AB tarafından da yürürlüğe alınan yeni Genel Veri Koruma Regülasyonu (General Data Protection Regulation – GDPR) Türk firmalarını nasıl etkileyecek?
Avrupa Parlamentosu kısa bir süre önce, AB'nin 2012'den bu yana üzerinde çalışılan AB Veri Koruma Çerçevesi şimdi bir düzenlemeye çevrilme süreci tamamlanmış oldu. 1995 yılında yayınlanan eski çerçeve, internet henüz emeklemeye başladığında yürürlüğe konulmuştu. Şimdi getirilen düzenleme ise sosyal medya, internet bankacılığı, global transferler ve akıllı telefonların dijitalleştirdiği yeni dünyada vatandaşların kendi verileri üzerinde kontrolünü artırıyor. Genel Veri Koruma Düzenlemesi, AB çapında veri korumayı yüksek ve eş düzeye getiriyor. Ancak düzenleme AB üyesi ülkelerle sınırlı değil. Avrupalı vatandaşların verilerini işleyen AB merkezli ya da AB merkezli olmayan Avrupa firmaların da güvenlikten sorumlu kişilerin yeni düzenlemedeki kurallar için hemen hazırlıklara başlamaları tavsiye ediliyor.
*CDCA Hukuk Bürosu Ortağı
