YASAL DÜZENLEMELER
Hukuksal düzenlemeler ilk olarak Uluslararası Hukuk Arenası’nda Avrupa Konseyi’nde 108 Nolu Sözleşme ile başlamıştır. Bu sözleşmeye taraf olan her ülke kendi yasasını bu sözleşmeye uygun hale getirme yükümlülüğü altına girmiştir. 2010 yılında Anayasa değişikliği ile 20.maddesine ‘Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.’ ifadesi eklenmiş ve kişisel verilerin korunması anayasa ile korumaya alınmıştır.
Yapılan çalışmalar sonucunda ise 6698 sayılı Kişisel Verilerin Korunması Kanunu 2016 yılında yürürlülüğe girmiştir.
KANUNUN AMACI VE KAPSAMI
Öncelikli amaç, kişisel verilerin işlenmesi ile özel hayatın gizliliği ve temel hak ve özgürlüklerin ihlal edilmemesini sağlamaktır. Kanunun amacına uygun olarak da kanunda kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri de belirtilmiştir. İlgili kişi(kişisel verisi işlenen kişi) için haklarını belirten bu kanun aynı zamanda veri sorumluları(kişisel verilerin işlenme amaçlarını belirleyen ve sorumlu olan gerçek ve tüzel kişi) için de birçok usul ve yaptırımlar belirlemiştir.
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS-Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt yükümlülüğü bulunmaktadır. Bu süreç 31.12.2020 tarihine kadar uzatılmış durumdadır.
KANUNUN TEMEL İLKELERİ
Kanunun 4. maddesinde genel ilkeler düzenlenmiştir. ‘Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uyun olarak işlenebilir.’ denilmektedir. Bu ilkeler;
a) Hukuka ve dürüstlük kurallarına uygun olma
b) Doğru ve gerektiğinde güncel olma
c) Belirli, açık ve meşru amaçlar için işlenme
d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Tüm bu ilkeler ışığında veri sorumluları, işledikleri verileri hukuka uygun işlemek, periyodik aralıklarda güncelliğini sağlamak zorunda; veri işleme faaliyetlerini açıkça belirtmek, amacını belirlemek, ölçülülük ilkesine uygun veri işlemek ve işlenen veriler için mevzuatlarda süre öngörülmüş ise bu süre kadar saklamalıdır.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kanunun 5. Ve 6. maddelerinde kişisel verilerin işlenme şartları belirlenmiştir.
5.Madde Kapsamında Kişisel Verileri İşleme Şartları şunlardır:
- Açık Rıza: Öncelikle diğer veri işleme şartlarından birine dayanılıp dayanılmayacağı belirlenmeli. Bunlardan herhangi birine dayanılıyor ise açık rıza alınma yoluna gidilmemelidir.
Açık rıza herhangi bir şekil şartına bağlı olmadan alınabilir. Bu rızanın alındığının ispat yükü veri sorumlusundadır. Açık rıza alınırken belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması hususlarına dikkat edilmelidir.
- Kanunlarda Açıkça Öngörülme: Kanunlarda kişisel verilerin işlenmesine açık hüküm varsa veri işleme uygundur. Örneğin Adli Sicil Kanunu uyarınca Adalet Bakanlığı kişilerin mahkumiyet bilgilerini işlemektedir.
- Fiili İmkânsızlık: Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda bilgilerin işlenmesidir.
- Sözleşmenin Kurulması veya İfası İçin Gerekli Olma: Sözleşmenin taraflarına ait kişisel verilen işlenmesinin zorunlu olması durumunda ilgili kişilerin bu amaçla sınırlı olmak üzere kişisel verilerin işlenmesidir.
- Hukuki Yükümlülük: Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel veri işlemesidir.
- Aleniyet: İlgili kişinin kendisi hakkında bilgileri kamuoyuna açıklaması ile bu açıklanan kişisel veriler işlenebilir.
- Bir Hakkın Kullanılması: Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilir.
- Meşru Menfaat: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri doğrultusunda verileri işlemesidir. Bu yetki sınırsız değildir.
6.madde kapsamında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler sayılmıştır. Bu Madde Kapsamında Kişisel Verileri İşleme Şartları Şunlardır:
- Sağlık ve Cinsel Hayat Verileri: Sadece açık rıza ve kanunda öngörülen özel nitelikli haller ile işlenebilir.
- Diğer Özel Nitelikli Kişisel Veriler: Açık rıza ve kanuni yükümlülük dâhilinde işlenebilir.
VERİ SORUMLUSUNUN TEMEL YÜKÜMLÜLÜKLERİ VE İDARİ PARA CEZALARI
Veri sorumluları;
Aydınlatma Yükümlülüğü: Verilerin kim tarafından, hangi amaçla, nasıl işleneceği; hukuki sebeplerin neler olduğu, kimleler paylaşılabileceği ve ilgili kişinin hakları konularından bilgilendirmedir.
Veri Güvenliğine İlişkin Yükümlülük: Hukuka aykırı işlenmesinin, erişilmesinin önlenmesi ve muhafaza tedbirlerinin alınmasıdır.(Log Kayıtları,Yetki Matrisi, Erişim Logları, Şifreleme, Ağ Güvenliği, Anonim Hale Getirme, Yedekleme vs. teknik tedbirler ile Envanter Hazırlama, Gizlilik Sözleşmeleri, Kurumsal Politikalar, Sözleşmeler ve Denetim gibi idari tedbirler.)
Kurum Tarafından Verilen Kararları Uygulama Yükümlülüğü: Kurul yönetmeliklerle ve tebliğler ile kanunu her süreçte güncellemekte ve uygulanabilir hale getirmeye çalışmaktadır. Bu sebeple verilen kararları her veri sorumlusu uygulamak zorundadır.
VERBİS’e Kayıt Yükümlülüğü: Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları 31.12.2020 ye kadar,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faatliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları 31.03.2020 ye kadar,
Kamu kurum ve kuruluşu veri sorumluları ise 30.06.2020 ye kadar kayıt olacaklardır.
İDARİ YAPTIRIMLAR VE CEZALANDIRMA
Söz konusu süreç içerisinde aykırılıkların tespit edilmesi durumunda,
Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
MADDE 18- Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
Veri işleyen gerçek ve tüzel kişilerin bu yükümlülükler hakkında mutlaka bir hukuki destekten yararlanması ve gereken önlemleri alması gerekliliği ortadadır. Aksi takdirde çok büyük para cezaları ile karşılaşılabilmektedir. Hazırlanması gereken politikalar, sözleşmeler ve yürütülecek bu süreçte alanında uzman avukat meslektaşlarımızdan hukuki yardım almanızı tavsiye eder esen günler dileriz.
Av. Arif Sinan ANAC
YORUMLAR