6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN DEĞERLENDİRİLMESİ
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 28.03.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun’un, kişisel verilerin üçüncü kişilere veya yurtdışına aktarılması, ilgili kişinin hakları, başvuru ve şikâyet, suçlar ve idari para cezalarına ilişkin hükümleri, Kanun’un yayımı tarihinden itibaren 6 ay sonra yürürlüğe girmiş olup; bu hükümler haricindeki diğer hükümler ise Kanun’un yayımı tarihiyle birlikte yürürlüğe girmiştir.
Kanun’un yayımı tarihinden önce işlenmiş olan kişisel verilerin, Kanun’un yayımı tarihinden itibaren 2 yıl içinde Kanun’a uygun hale getirilmesi gerektiği belirtilerek, Veri Sorumlularına kanuna uyum ve geçiş süreci için süre tanınmıştır. Kanun’a uyum süreci 28.03.2018 tarihinde sona erecek olup, Veri Sorumluları bu tarihten itibaren kanundaki yükümlülüklerinden sorumlu tutulacaktır.
Kanun’un amacı; kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Uygulamada ve doktrinde kişi kavramında tartışmalar olsa da; Kanun ve gerekçesinden anlaşılacağı üzere gerçek kişilerin kişisel verileri koruma altına alınmıştır. Kanun’un koruması öncelikle gerçek kişilere ait veriler için olmakla birlikte; tüzel kişilere ait veriler gerçek kişilerin verilerini de içeriyorsa ve gerçek kişinin verisi tüzel kişinin verisi sayesinde belirli veya belirlenebilir hale geliyorsa, bu durumda tüzel kişilere ait veriler kişisel verilerin korunması hakkının kapsamı içinde olacaktır.
Kişisel veriler “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu şekilde kişisel veri kavramının tanımı mümkün olduğunca geniş tutulmuştur. Kişisel veriler, kişinin “adı, soyadı, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt plakası, pasaport numarası, özgeçmişi, resmi, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobileri, tercihleri, etkileşimde bulunduğu kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri” gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerdir. Bu kapsamda işverenlerin çalıştırdıkları personelden temin etmiş olduğu, mal ve hizmet sunanların müşterilerinden elde etmiş olduğu veya dernek/vakıfların üyelerinden temin etmiş oldukları tüm veriler, kişisel verilere örnek olarak gösterilebilir.
Kanun’da ayrıca, kişilerin ırkı, etnik kökenleri, siyasi düşünceleri, dini, mezhebi veya diğer inançları, kılık kıyafeti, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri, genetik ve biyometrik verileri ile dernek, vakıf ya da sendika üyeliğine ilişkin verileri gibi bilgiler “Özel Nitelikli Kişisel Veri” olarak tanımlanmış; sağlık ve cinsel hayata ilişkin veriler haricindeki diğer Özel Nitelikli Kişisel Verilerin kanunlarda sayılan istisnai haller dışında ilgili kişinin açık rızası olmaksızın işlenemeyeceği belirtilmiştir.
KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel verilerin işlenmesi ise; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlanmıştır.
Kanun’da kişisel verilerin işlenmesinde uyulması gerekli temel ilkeler “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma”, “Belirli, açık ve meşru amaçlar için işlenme”, “İşlendikleri amaçla sınırlı olma”, İşlendikleri amaç için gerekli olan süreyle sınırlı olarak muhafaza edilme” olarak gösterilmiştir.
Kanun’a göre, yukarıda sayılan temel ilkelere uygun olmak şartıyla kişisel veriler kural olarak ancak ilgili kişinin açık rızası olması koşuluyla işlenebilecektir. Açık rızasının bulunmadığı hallerde veya Kanun’un 5. maddesinde sayılan istisnalar dışında veriler işlenemeyecektir. İşlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.
KİŞİSEL VERİLERİN YURT DIŞINA GÖNDERİLMESİ
Kanun’a göre, ilgili kişinin açık rızası olmadıkça ve Kanun’da sayılan istisnalar dışında kural olarak kişisel verilerin yurtdışına aktarılması Kanun’un 9. maddesinde yasaklanmıştır. Ancak verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunmaması durumunda ise kişisel veriler, yalnızca Türkiye’deki ve ilgili yabancı ülkedeki Veri Sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması kaydıyla ilgili kişinin açık rızası bulunmaksızın yurtdışına aktarılabilecektir.
VERİ SORUMLULARI VE VERİ SORUMLULARI SİCİLİ
Kanun’un Tanımlar başlıklı 3. maddesinde Veri Sorumlusu “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır.
Kişisel verileri işleyen gerçek ve tüzel kişiler yani Veri Sorumluları, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
Veri Sorumluları Sicili kamuya açıktır. Veri Sorumluları Sicili Yönetmeliği hâlihazırda taslak halinde olup, Kurul tarafından 01.01.2018 tarihi itibari ile yürürlüğe gireceği belirtilmektedir.
VERİ SORUMLULARININ YÜKÜMLÜLÜKLERİ
Kanun’un 11. maddesi Veri Sorumlusunun ilgili kişiyi “Aydınlatma Yükümlülüğünü” düzenlemektedir. Kanun’a göre Veri Sorumlusu veya yetkilendirdiği kişi aydınlatma yükümlülüğü kapsamında ilgili kişiyi; Veri Sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile Kanun’un 11. maddesinde sayılan diğer hakları konusunda bilgilendirecektir.
Ayrıca 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile; Veri Sorumlularının kişisel verilerin saklanması, imha politikası, silinmesi, yok edilmesi veya anonim hale getirilmesini nasıl yapacağını düzenlenmektedir. Bu doğrultuda Yönetmelik’te yer alan düzenlemeler gereği Veri Sorumluları, şirket içinde veri envanterinin oluşturulmasından ve denetlenmesinden de sorumlu olacaktır.
İLGİLİ KİŞİNİN KANUN KAPSAMINDA BAŞVURU SÜRECİ
İlgili kişi, Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak, noter kanalıyla veya e-posta aracılığıyla Veri Sorumlusuna iletecektir. Veri Sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurul’ca belirlenen tarifedeki ücret alınabilir.
Veri Sorumlusu bilgi edinme talebini kabul eder veya gerekçesini açıklayarak reddeder. Veri Sorumlusu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Veri Sorumlusunca gereği yerine getirilir. Başvurunun Veri Sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir. Veri Sorumlusuna başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, Veri Sorumlusunun cevabını öğrendiği tarihten itibaren 30 (otuz) ve her hâlde başvuru tarihinden itibaren 60 (altmış) gün içinde Kurul’a şikâyette bulunabilir. Kurul’a şikâyette bulunma şartlarından en önemlisi başvuru yolunun tüketilmiş olmasıdır. Veri Sorumlusuna başvuru yolu tüketilmeden Kurul’a başvuruda bulunulamaz. Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen, görev alanına giren konularda gerekli incelemeyi yapar. Devlet sırrı niteliğindeki bilgi ve belgeler hariç; Veri Sorumlusu, Kurul’un inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri 15 (onbeş) gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır. Yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların Veri Sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
AYKIRILIKLARDA UYGULANACAK CEZA VE YAPTIRIMLAR
Kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun (TCK) 135 ila 140. madde (kişisel verilerin hukuka aykırı olarak kaydedilmesi ile ilgili olan maddeler) hükümleri uygulanır. Kanun’un 7. maddesine aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler TCK’nın 138. maddesine (verileri yok etmeme suçu) göre cezalandırılır. 6698 sayılı Kişisel Verilerin Korunması Kanun’unda yer alan hükümlere aykırı hareket edenler hakkında ise 5.000-TL’den 1.000.000-TL’ye kadar idari para cezası uygulanması şeklinde idari yaptırım öngörülmüştür.
Recent Posts
See All7194 Sayılı Dijital Hizmet Vergisi ile Bazı Kanunlarda ve 375 sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılması Hakkında Kanun 07.12.2019 tarihli Resmi Gazete’de yayımı ile yürürlüğe girmiş olup,
7061 SAYILI BAZI VERGİ KANUNLARI İLE DİĞER BAZI KANUNLARDA DEĞİŞİKLİK YAPILMASINA DAİR KANUN’DA TAŞI
Birçok önemli düzenlemeyi içeren ve “torba yasa” olarak adlandırılan 7061 sayılı Bazı Vergi Kanunları İle Diğer Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, 05.12.2017 tarihli Resmi Gazete’de ya
