Kişisel Verilerin Korunması Kanunu Hakkında
ADMD Avukatlık Bürosu
Ali Yurtsever & Efe Can Akıncı
I. GENEL DEĞERLENDİRME
07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayınlanmış olan 6698 Numaralı Kişisel Verilen Korunması Kanunu, yayın tarihi itibariyle yürürlüğe girmiş bulunmaktadır (Kanunun 8, 9, 11, 13, 14, 15, 16, 17 ve 18. maddelerinin yürürlüğü ise yayın tarihinden itibaren 6 ay ertelenmiş olup, 07.10.2016 tarihi itibariyle yürürlüğe girmiş bulunmaktadır).
İşbu Kanun ile kişisel verileri işleyen veri sorumlularına bir takım yeni yükümlülükler getirilmiş bulunmakta olup, Kanunun 31. maddesinin 3. fıkrası uyarınca Kanunun yayın tarihinden önce işlenmiş olan kişisel verileri, yayın tarihinden itibaren 2 yıl içerisinde (dolayısıyla 07.04.2018 tarihine kadar) Kanun hükümlerine uygun hale getirmekle mükelleftir.
II. KİŞİSEL VERİ TANIMI
Kişisel verilerin korunmasına ilişkin 6698 sayılı Kanun’u inceleyebilmek adına ilk önce kanunun kişisel veriyi nasıl tanımladığını tespit etmek gerekmektedir. Kanunun 2. Maddesi kişisel veriyi “Kimliği belirli veya belirlenebilir gerçek kişiye (tüketici, müşteri, acente sahibi, şirket ortağı, işçi, çalışan vb.) ilişkin her türlü bilgi” olarak tanımlamıştır. Bu kapsamda kişisel veri olarak nitelendirilebilecek bilgilerden bazıları aşağıda belirtilmektedir:
- T.C. kimlik numaraları
- Kimlik/pasaport bilgileri
- İkametgah/iletişim bilgileri (telefon numarası, eposta adresi, adres)
- Görüntü/ses kaydı/fotoğraf
- Kredi kartı bilgileri/hesap numaraları
- Vize için gerekli evraklarda yer alan bilgiler
Bunun yanı sıra Kanunun 6. maddesi uyarınca, Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “özel nitelikli kişisel veri” olarak nitelendirilmektedir.
Kanunun 4. maddesi uyarınca, kişisel verilerin hukuka ve dürüstlük kurallarına uygun, doğru ve güncel şekilde, belirli açık ve meşru amaçlar doğrultusunda, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak ve gerekli süre kadar muhafaza edilmesi şartıyla işlenecektir.
Yine Kanunun 5. ve 6. maddeleri ise kişisel veriler ile özel nitelikli kişisel verilen kişilerin açık rızası olmaksızın işlenmesini yasaklamıştır.
Ayrıca Kanunun 8. ve 9. maddeleri uyarınca, ilgili kişilerin açık rızası olmaksızın işbu kişisel verilerin üçüncü kişilere ve/veya yurtdışına aktarımı da yasaklanmış bulunmaktadır.
III. VERİ SORUMLULARI VE YÜKÜMLÜLÜKLERİ
Kanun uyarınca yukarıda sayılan kişisel veriler ile özel nitelikli kişisel verileri elinde bulunduran, bunların işlenme amaç ve vasıtalarını belirleyen kişi ve/veya kurumlara “veri sorumlusu”, işbu veri sorumlularının verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilere ise “veri işleyen” denilmektedir. Dolayısıyla, müşteri ve/veya müvekkil ve/veya diğer kişilerin kişisel verilerini toplayan, elinde bulunduran ve bu verileri kendi kurduğu veri sisteminde kaydederek muhafaza eden gerçek ve/veya tüzel kişiler, veri sorumlusu olarak değerlendirilecektir.
Veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri anılan Kanunun 12. maddesinin 1. fıkrasında belirtilmiştir. Buna göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Bunun yanı sıra, veri sorumluları Kanunun 10. maddesi uyarınca ilgili kişilere aşağıdaki bilgileri vermekle yükümlü olacaktır;
- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçlarla aktarılacağı,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- Kanunun 11. maddesinde belirtilen ilgili kişi hakları kapsamındaki diğer yükümlülükler.
Yukarıda da belirtildiği üzere, veri sorumluları Kanunun 10. maddesinde sayılan yükümlülüklere ek olarak, 11. madde sayılan ilgili kişi haklarından doğan yükümlülüklerini de yerine getirmekle mükelleftir.
Kanunun 11. maddesi uyarınca, kişisel verilerini veri sorumlusuna teslim eden ilgili kişiler veri sorumlusuna başvurarak kendisiyle ilgili; “kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, şartları varsa kişisel verilerin silinmesini veya yok edilmesini isteme, bazı işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen veriler kişinin aleyhine bir sonuç ortaya çıkarmışsa buna itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme” haklarına sahiptir.
IV. VERİ SORUMLULARI SİCİLİ
Veri Sorumlularının yukarıda sayılan yükümlülüklerine ek olarak, Kanunun 16. maddesi uyarınca, veri sorumlusu olarak değerlendirilen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulacak olan Veri Sorumluları Siciline kaydolması zorunlu tutulmuştur. Kanunun 18. maddesinin ç bendi uyarınca, zamanında veri siciline kaydolmayan kişilere 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilecektir. Ancak, henüz söz konusu veri sicili oluşturulmamış olduğundan, veri sorumlularının henüz işbu kayıt yükümlülüğü geçerli değerlidir. Bu hususta çıkarılacak bir yönetmelik ile veri sicili oluşturulacak ve sicile kayda ilişkin usul ve esaslar belirlenecektir.
V. YÜKÜMLÜLÜKLERE AYKIRILIK VE YAPTIRIMLAR
Kanunun 17. maddesi uyarınca, kişisel verilere ilişkin suçlar bakımından 5237 Sayılı Türk Ceza Kanununun 135 ila 140 madde hükümleri uygulanmaya devam olunacaktır (kişisel verilen kaydedilmesi, verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi ve verilerin yok edilmemesi suçları).
Kanunun 7. maddesi uyarınca söz konusu verilerin işlenme sebeplerinin ortadan kalkması ve/veya ilgili kişilerin talepleri doğrultusunda bilgileri silmeyen, yok etmeyen veya anonim hale getirmeyen kişiler hakkında 5237 Sayılı Kanunun 138. maddesinde yer alan “Verileri Yok Etmeme Suçu” hükümleri uygulanacaktır.
Türk Ceza Kanununun ilgili maddeleri dışında, Kanunda belirtilen yükümlülüklere uymayanlar bakımından 5.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezalarına hükmolunabilecektir.
Kanun kapsamındaki yükümlülüklerin denetlenmesi ve ilgili yaptırımların uygulanması bakımından ise Kişisel Verilerin Korunması Kurulu yetkili olacaktır.
VI. KİŞİSEL VERİLERİN KORUNMASI KURULU VE GÖREVLERİ
Kanunun 19 ve 20. Maddeleri uyarınca Başbakanlığa bağlı Kişisel Verilerin Korunması Kurumu kurulacaktır. Kurum görevleri kanun ile belirlenmiş ve idari ve mali açıdan özerkliğe sahip bir kamu tüzel kişiliği olmakla beraber Avrupa Konseyinin ‘’Kişisel Verilerin Otomatik İşleme Tabi Tutulma Sürecinde Bireylerin Korunmasına İlişkin 108 sayılı Sözleşmesi’’ ve Avrupa Birliğinin ‘’95/45/EC sayılı Veri Koruması Direktifi’ne uygun olarak oluşturulmuştur.
Bu kurumun mevcut iki organı Kişisel Verilerin Korunması Kurulu ve Başkanlığı olacaktır ‘Kurul’un görevleri şu şekildedir:
- Veri sorumluları sicilinin tutulmasını sağlamak
- Kanunda belirtilen idari yaptırımları uygulamak
- Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek
- Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.
- Şikâyet üzerine veya kendiliğinden ihlal iddiasını öğrenmesi durumunda görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.
- Kurul’un görev alanı ile Kurum’un işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak.
VII. KANUN KAPSAMINDAKİ YÜKÜMLÜLERİN DİKKAT ETMESİ GEREKENLER
Yukarıda da belirtildiği üzere, 07.10.2016 tarihi itibariyle yeni kaydedilecek ve işlenecek verilerin işbu Kanun hükümlerine uygun olarak işlenmesi ve muhafaza edilmesi gerekmektedir.
Bunun yanı sıra, Kanunun yayın tarihi olan 07.04.2016 tarihinden önce kaydedilmiş ve işlenmiş olan verilerin, en geç 07.04.2018 tarihine kadar işbu Kanun hükümleri ile uyumlu hale getirilmesi gerekecektir. Bu noktada ayrıca belirtilmelidir ki, işbu Kanun kapsamındaki tüm yükümlülüklerin 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun hükümleri ile birlikte değerlendirilmesi ve her iki Kanun yükümlülüklerine uygun ortak çözümler üretilmesi gerekmektedir. 6563 sayılı Kanun ve 6698 sayılı Kanun uyarınca getirilen yükümlülükler bazı konularda benzerlik gösterse de yetkili merciiler, alınan izinler ve yapılan denetimler bakımından farklılık göstermektedir. Bu sebeple bir kanun uyarınca ihlal teşkil eden bir durum, diğer kanun kapsamında da ayrıca ihlal teşkil edebilir ve yaptırıma tabi olabilir.
Tüm bu olası ihlal ve yaptırımların ortaya çıkmasını engellemek amacıyla, Kanun uyarınca Veri Sorumlusu olarak değerlendirilen kişi ve kurumların bazı önlemleri alması gerekmektedir. Bu kapsamda, Veri Sorumlularının kendilerine kişisel verilerini sağlayacak olan kişi veya kurumlar ile işbu Kanun hak ve yükümlülüklerine uygun olarak yeni bir Kişisel Verilerin Korunması Sözleşmesi (veya Gizlilik Sözleşmesi) imzalaması yerinde olacaktır.
Ayrıca 07.10.2016 tarihinden önce yapılan sözleşmelerle elde edilmiş olan kişisel veri sahiplerine yeni Kanun kapsamındaki hak ve yükümlülüklerini belirtir bir bilgilendirme hazırlanması ve işbu bilgilendirmenin müşterilere iletilmesi gerekecektir (söz konusu bilgilendirme içerisinde ilgili veri sahiplerine kişisel verilerinin silinmesini veya anonim hale getirmesini talep hakkını haiz oldukları da bildirilmelidir).
Yukarıdaki açıklamalara paralel olarak söz konusu kişisel verileri işleyecek olan şirket personelinin, işbu yeni koşul ve yükümlülükler ile ilgili bilgilendirilmesi amacıyla şirket personeline yönelik bir bilgilendirme yapılması ve ilgili personelden iş sözleşmelerine ek olarak söz konusu kural, koşul ve yükümlülüklerine uyacaklarına ilişkin ilave bir taahhütname/beyan metni alınması da yerinde olabilecektir.