Kişisel Verilerin Korunması Kanunu, Nisan 2016

Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 itibariyle Resmi Gazete’de yayınlanarak kısmen yürürlüğe girdi. Kanunla, Türk Hukukunda varolan kilit maddelerin Avrupa’daki kişisel verilerin korunması modeli’nin benimsenmesi ile düzenlenmesi ve açıklığa kavuşması sağlandı. Şunu belirtmek gerekir ki, bu Kanun Türkiye’nin ilk Kişisel Verilerin Korunması Kanunu’dur. Kanun, Türkiye’deki tüm şirketleri veya müşterilerinin, çalışanlarının veya diğer bireylerin kişisel verilerini işleyen her kişiyi ilgilendirmektedir.

Yeni Kişisel Verilerin Korunması Kanunu’na Bakış

Yeni Kanun, gerçek kişiye ilişkin her türlü bilgiye”kişisel veri”, kişisel verilerin “tamamen veya kısmen otomatik olan ya da otomatik olmayan” yollarla işlenmesine uygulanır. “Kişisel Veri”, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. “Depolama sistemi” kanunda ayrıca açıklanmadığından, şirketler kişisel veri depolama sistemlerinin kanunla uyumlu olup olmadığı konusunda zorluk çekebilirler.

Kanun, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi ile özel nitelikli kişisel veri arasında ayrım yapmıştır ve özel nitelikli kişisel verilerin işlenme şartlarını farklı hükümlere tabi tutmuştur. Kanunda Özel nitelikli kişisel veri’nin tanımına; ırk,etnik köken, siyasi görüş, dernek,vakıf veya sendika üyeliği gibi veriler de dahil edilerek Avrupa Birliği yönergesiyle uyumlu hale getirilmiştir. Ayrıca, sağlık ve cinsel hayata ilişkin veriler özel nitelikli kişisel veriler içerisinde açıklanmış fakat yalnızca kamu sağlığının korunması,koruyucu hekimlik, tıbbi teşhis,tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca işlenmesi düzenlenmiştir.

Kişisel verilerin ve Özel nitelikli kişisel verilerin, ilgili’nin “açık rıza”sı olmaksızın işlenmesi yasaktır. “Açık rıza”, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydı, veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ve kanunda belirtilen diğer haller haricinde “açık rıza” olmaksızın kişisel veriler işlenemez.

Genel olarak kişisel verilerin işlenme şartları:

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli,açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı,sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veyaa işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kanunda ayrıca “Veri işleyen” ile “Veri sorumlusu” arasında bir ayrım yapılmış olup, sorumlulukları da buna göre farklı olarak düzenlenmiştir. Veri Sorumluları, bu yıl 7 Ekim’e kadar kurulması öngörülen “Veri Kayıt Sistemi” ne kaydolmalıdır.

  • Veri sorumlusu, ilgili kişilere kişisel veri toplamanın yöntemi ve hukuki sebebi ve transferi hakkında bilgi vermelidir.
  • İlgili kişiler, veri sorumlusuna başvurarak kişisel veri işlenip işlenmediğini ve buna ilişkin bilgiyi talep etme, yurtiçi veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme hakkını haizdir.
  • İlgili kişiler, kişisel verilerin kanuna aykırı işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme hakkına sahiptir.
  • Veri sorumluları kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla “ uygun güvenlik düzeyini” temin etmeye yönelik her türlü tedbiri almalıdır.
  • İşlenen kişisel verillerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Veri Sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

Kişisel Verilerin Korunması Kanunu’yla getirilen diğer gereklilikler;

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Bu Kanun ve ilgili diğer kanun hükümlerine uygun işlenmiş olmasınna rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgilinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. Buna ilişkin usul ve esasların ayrıca yönetmelikle düzenleneceği belirtilmiştir.

Kişisel verilerin aktarılması

Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Yeterli önlemler alınmak kaydıyla, sır saklama yükümlülüğü altındaki kişilere, yine kanunda belirtilmiş olan kısıtlı koşullar altında olması halinde ilgili kişinin açık rızası aranmaksızın aktarılması mümkündür.

Fakat kişisel verilerin yurt dışına aktarımı daha detaylıca düzenlenmiştir. Buna göre;

Kişisel verinin aktarılacağı yabancı ülkede Kişisel Verileri Koruma Kurumu tarafından belirlenmiş olan standartlarda yeterli korumanın bulunması gerekir.

Yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularınınaktarımdan önce yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Burada bahsettiğimiz Kişisel Verileri Koruma Kurumu ve Teşkilat hanüz kurulmadığından, Kişisel verilerin aktarılması ile ilgili hükümler kanunun yayınlanmasından ancak 6 ay sonra yürürlüğe girecektir.

Kişisel verilere ilişkin suçlar bakımından 1.000.000 Türk Lirasına ve hatta hapis cezasına varan ceza hükümleri düzenlenmiştir. Kanun, yayın tarihi itibariyle yürürlüğe girmiş olsa da, Verilerin kaydı ve aktarımı ile ilgili düzenlemeler bakımından bu yılın Ekim ayına kadar bir geçiş süreci öngörülmüştür.

Yeni Kişisel Verilerin Korunması Kanunu, Türkiye’nin, AB  düzenlemeleri ile uyumlu hale gelme süreci konusunda ne kadar ısrarcı olduğunun bir yansımasıdır. Kanunla öngörülen geçiş sürecinde, Türkiye’de faaliyet gösteren her şirketin ve özellikle yurt dışı bağlantılı çalışanların Ekim 2016’ya kadar sistemlerini yeni Kanunla uyumlu hale getirmesi gerekmektedir. Böylece kişisel verilere ilşkin suçlar bakımından düzenlenen muhtemel idari para cezalarının ve diğer öngörülen cezaların önüne geçilmiş olunacaktır.