Kişisel Verilerin Korunmasına Dair Kanun uzun bir süre, neredeyse 10 seneden beri, TBMM gündeminde bekleme halindeydi. Kanunun bir türlü kabul edilmemesi, uygulamaya girmemesi bilişim alanındaki özellikle dış kaynaklı yatırımcılar için piyasaya giril noktasında tüketiciye ulaşma kolaylığına dair avantajını korurken diğer yandan bu durum ülkemizin veri güvenliği veya veri güvenilirliği noktasında güvenilir ülke olmasını imkansız hale sokuyordu. Kimsenin hakkında sağlıklı bir öngörüde bulunamadığı bu yasal düzenleme Schengen bölgesi pazarlıklarındaki şartlardan birisi olması sayesinde kısa bir süre evvel kabul edildi. Şimdi sıra bilişim sektöründe ve oyun endüstrisindeki aktörlerinbu kanuna uyum sağlamasına geldi. Bu yazımızda kanunu kısaca tanıtıp, getirdiği temel ilkeleri ve kanuna uyum sağlanması için yapılması gerekenleri kısaca ele alacağız.
Kişisel verilerin işlenmesine ilişkin temel ilkelerin belirlenmesi, temel hak ve özgürlüklerin korunması ve bu kapsamda kişisel verileri işleyen gerçek veya tüzel kişilerin yükümlülüklerinin belirlenmesi amacıyla getirilen 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun 07.04.2016 tarihinde Resmi Gazete’de yayınlanmıştır.
Kanun’a tabi olacak kişi veya kurumların kanun hükümlerine uyum sağlayabilmeleri adına bazı hükümlerin yayım tarihinden 6 ay sonra, diğer hükümlerin ise yayım tarihinde yürürlüğe gireceği ifade edilmiştir.
Kanun, “kişisel verileri “işlenen” gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin[1] parçası olmak kaydıyla otomatik olmayan yollarla “işleyen” gerçek ve tüzel kişiler” hakkında uygulanacaktır.
Bu bağlamda “işleme” eylemine konu edilen veriler ancak bir gerçek kişinin kişisel verileri olabilir.
Bu verilerin herhangi bir şekilde işlenmesi ile bağlantılı olan diğer sujeler ise “veri sorumluları” ve “veri işleyenler” olarak ifade edilmiştir.
Kanun’a göre “veri sorumlusu”; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler”dir.
“Veri işleyen” ise, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler”dir.
Veri işleyenler, veri sorumlusunun talimatlarına uygun şekilde verileri işleyen veri sorumlusu çalışanları olabileceği gibi veri sorumlusunun bu verilerin işlenmesi yönünde hizmet satın aldığı kişiler de olabilir.[2]
Kişisel Veri Kavramı:
Kişisel Verilerin Korunmasına Dair Kanunu’nun 3. maddesinde kişisel veri kavramı, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kanun gerekçesinde ise belirli veya belirlenebilir olma hali, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesiyle o kişinin tanımlanabilir hale getirilmesini ifade etmektedir.
Bu kapsamda, kişinin yalnızca adı, soyadı, doğum tarihi gibi kesin olarak kişinin belirlenmesini sağlayan bilgilerin yanı sıra, kişinin fiziki, ailevi, sosyal, psikolojik, ekonomik ve benzeri özelliklerine ilişkin bilgiler de kişisel veri olarak nitelendirilmektedir.[3]
Uluslararası mevzuatta da öngörüldüğü şekilde, Kanun kapsamında bazı kişisel veriler, “özel nitelikli kişisel veri” olarak nitelendirilmiş olup aşağıda detaylandırılacağı üzere, bu verilerin herhangi bir şekilde işlenmesi bakımından ayrı usul ve esaslar belirlenmiştir.
“Özel nitelikli kişisel veriler”, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileridir.
Kişisel Verilerin İşlenmesi:
Kanun gereği, kişisel verilerin işlenmesi;
“kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi’
ifade etmektedir.
Kişisel veriler, yalnızca mevzuatta öngörülen usul ve esaslar çerçevesinde işlenebilecektir.
Kişisel verilerin işlenmesi bakımından temel ilkeler, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme olarak ifade edilmiştir.
Kişisel veriler, kural olarak, ilgililerin “açık rızası” olmaksızın işlenemez.
Kişisel Verilerin Korunmasına Dair Kanuna göre “açık rıza”, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir. Bu bağlamda, ilgilinin kişisel verilerinin işlenmesi konusunda yeterli derecede bilgilendirilmiş olması, özgürce ve tereddüde yer bırakmayacak şekilde ve sadece o işlemle sınırlı olmak üzere onay vermesi önem arzetmektedir.
Yeterli derecede bilgilendirmenin yapıldığının kabul edilebilmesi için ilgili kişilere işlemenin içeriği, amacı, süresi, kapsamı, nerelerde kullanılabileceği ve sair konularda açık ve anlaşılır bir dille bilgilendirme yapılması gerekir.
Açık rıza olmaksızın, verilerin işlemenin mümkün olduğu “istisnalar” Kanunun 5. maddesinde sıralanmıştır:
- a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, - c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması[4]
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması[5]
- d) İlgili kişinin kendisi tarafından alenileştirilmiş olması
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması[6]
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması[7]
Kanunda özel nitelikli kişisel verilerin aykırı kullanımının kişilere daha fazla zarar doğurabileceği öngörülerek bu verilerin işlenmesi bakımından ayrı hükümler getirilmiştir. Bu kapsamda, ilgililerin açık rızası olmaksızın bu türde verilerin işlenmesi yasaktır.
Kanunun ifadesine göre bu rızanın sözlü ya da yazılı herhangi bir yolla verilebileceği anlaşılmaktadır. Konuyla ilgili AB’nin 95/46 Direktif içerisinde de rızanın açık bir biçimde alınması gerektiği belirtilmiş ancak yöntemine ilişkin bir bilgi öngörülmemiştir. Dolayısıyla ikincil mevzuat olan yönetmeliklerde de açık rızanın alınma usulüne ilişkin bir detay verilmemesi halinde Veri Sorumlusu’nun tabi olduğu mevzuatta belirtilen yöntemler kullanılarak rıza alınması gerekeceği düşünülmektedir. Ancak tedbiren mümkünse rızanın yazılı şekilde alınması ve arşivlenmesi değerlendirilebilir.
Kişisel Verilerin Korunmasına Dair Kanununun geçici 1. maddesi uyarınca; Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayım tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hale getirilmesi yükümlülüğü bulunmaktadır. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Kanun gereği, açık rızanın zorunlu olduğu veya olmadığı her koşulda Kişisel Verileri Koruma Kurulu (‘Kurul’)[8] tarafından belirlenen yeterli önlemlere uyularak işleme gerçekleştirilebilecektir. Açık rıza kuralının istisnaları ise yukarıda bu tür verilerin tanımında belirtilen kategorilere göre belirlenmiştir. Buna göre, sağlık ve cinsel hayat dışındaki bu tür veriler, yalnızca kanunlarda öngörülen hallerde açık rıza aranmadan işlenebilecektir. Sağlık ve cinsel hayata ilişkin bu tür veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilir.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi:
Kişisel veriler hukuka uygun olarak işlenmiş fakat daha sonra işlenmesini gerektiren sebepler ortadan kalkmışsa bu veriler resen veya ilgilisinin talebi üzerine veri sorumlusu tarafından silinecek, yok edilecek veya anonim hale getirilecektir.[9]
Kanun’da bu tür işlemlere ilişkin diğer kanunlarda yer alan düzenlemeler saklı tutulmuş olup bu işlemlere ilişkin usul ve esasların ayrıca yönetmelikle düzenleneceği belirtilmiştir.
Kişisel Verilerin Aktarılması:
Kişisel verilerin, kural olarak, ilgililerin açık rızası olmaksızın üçüncü kişi veya kurumlara aktarılamayacağı kabul edilmiştir. Bu ilke Kanun gereği özel nitelikli olarak kabul edilen veya edilmeyen tüm kişisel verileri kapsamaktadır.
Kanun gereği özel nitelikli olmayan kişisel verilerin ilgililerin açık rızası olmaksızın yurtiçinde aktarılması ancak bu türde verilerin rıza olmaksızın işlenmesine ilişkin olarak getirilen istisnai hallerde mümkündür. Benzer şekilde, özel nitelikli olmayan kişisel verilerin açık rıza olmaksızın yurtiçinde aktarılması da yukarıda ilgili kısımda belirtilen istisnai hallerde ve Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla gerçekleştirilebilecektir.
Kişisel verilerin yurtdışına aktarılmasında da temel kural ilgililerin açık rızasının alınmasıdır. Bu verilerin açık rıza olmaksızın yurtdışına aktarılması için, yurtiçinde rıza olmaksızın aktarım işlemi için getirilen ve özel nitelikli olan ve olmayan verilere göre ayrı ayrı düzenlenen istisnai hallerden birinin varlığı ve verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması şartları aranmaktadır. Yeterli korumanın bulunmadığı hallerde ise bu türde bir aktarım işlemi ancak Türkiye ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması durumunda mümkündür. Yeterli korumanın bulunup bulunmadığının tespiti ise Kanun’da yer alan kriterlere uygun şekilde Kurul tarafından belirlenerek ilan edilir.
Veri Sorumlusunun Yükümlülükleri:
- Aydınlatma Yükümlülüğü[10]
Kanun gereği kişisel verilerin elde edilmesi sırasında, veri sorumlusu veya yetkilendirdiği kişi, ilgililere
- veri sorumlusunun ve varsa temsilcisinin kimliği,
- kişisel verilerin hangi amaçla işleneceği,
- işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- kişisel veri toplamanın yöntemi ve hukuki sebebi,
- Kanun’un 11. maddesi gereği sahip olduğu diğer hakları konusunda bilgilendirmekle yükümlüdür.
İlgili 11. madde gereği herkes, veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme; işlenmişse buna ilişkin bilgileri talep etme; verilerin işlenme amacı ile bu amaca uygun kullanılıp kullanılmadığını öğrenme; yurtiçinde ve yurtdışında bu verilerin aktarıldığı üçüncü kişileri bilme; kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme; Kanunun ilgili düzenlemesinde yer alan koşullara uygun şekilde bu verilerin silinmesini veya yok edilmesini isteme; düzeltme, silme, yok etme işlemlerinin bu verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme; işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun çıkmasına itiraz etme[11]; kişisel verilerin kanuna aykırı şekilde işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme hakkına sahiptir.
- Veri Güvenliğine İlişkin Yükümlülükler:[12]
Veri sorumlusu,
– Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
– Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
– Kişisel verilerin muhafazasını sağlamak amacıyla her türlü teknik ve idari tedbiri almakla yükümlüdür.
Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlendiği hallerde ise veri sorumlusu, yukarıda belirtilen tedbirlerin alınması bakımından ilgili kişilerle birlikte müştereken sorumlu olmaya devam edecektir.
Yukarıdaki yükümlülüklerinin yanı sıra veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak için gerekli denetimleri yapmak veya yaptırmak zorundadır.
Veri sorumluları ile veri işleyen kişilerin sır saklama yükümlülükleri bulunmaktadır. Bu bağlamda, öğrendikleri kişisel verileri kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra dahi devam eder.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmekle yükümlüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
- Veri Sorumlusuna Başvuru:
İlgililer, bu Kanun’un uygulanması ile ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletecektir. Veri sorumlusu kendisine gelen talepleri, ilgili talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Diğer yandan, ilgili işlemin ayrıca bir maliyet gerektirmesi halinde Kurulca belirlenen tarifedeki ücret ilgiliden talep edilebilecektir.
Veri sorumlusuna bu şekilde gelen taleplerin incelenmesi sonucunda ilgili talep kabul veya gerekçesi açıklanmak suretiyle reddedilebilir. Veri sorumlusunun bu kararları ilgiliye yazılı olarak veya elektronik ortamda bildirilir. İlgili talebin kabulü halinde veri sorumlusunca doğrudan gereği yerine getirilir ve başvurunun veri sorumlusunun hatasından kaynaklanması halinde varsa başvuru için alınan ücret ilgiliye iade edilir.
Kurula Şikayet Süreci:
İlgililerce veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde veri sorumlusu tarafından başvuruya cevap verilmemesi hallerinde, ilgililer, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurul’a şikayette bulunma hakkına sahiptir. Kurula şikayet hakkının kullanılabilmesi için veri sorumlusuna başvuru prosedürünün işletilmiş olması zorunludur. Diğer yandan, kişilik hakları ihlal edilenlerin her zaman genel hükümlere göre tazminat hakkı saklıdır. Bu kapsamda, veri sorumlusunun hukuki statüsüne göre ilgililer adli veya idari yargıda dava açma hakkına sahiptir.
Kurul şikayet üzerine veya ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda inceleme yapabilir. Bu kapsamda yalnızca şikayet veya resen öğrenilen şikayet konusu ile bağlı olduğundan Kurulun genel inceleme yetki ve görevi yoktur. Veri sorumlusu, Kurulun inceleme için istediği bilgi ve belgeleri, 15 gün içinde göndermek veya gerektiğinde yerinde inceleme yapılmasına olanak sağlamakla yükümlüdür. Kurul tarafından talebin incelenmesi neticesinde ilgililere cevap verilir, şikayet tarihinden itibaren 60 gün içinde cevap verilmemesi halinde talep reddedilmiş kabul edilecektir. Bu halde, ilgilinin bu süre sonunda idari yargıda dava açma süresi başlar. Diğer yandan, Kurulun resen yapacağı incelemelere ilişkin Kanunda bir inceleme süresi öngörülmemiştir.
Kurul, şikayet üzerine veya resen yapılan inceleme sonucunda, mevzuattaki düzenlemelerin ihlal edildiğini tespit ederse, tespit ettiği bu hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar verir. Karar, ilgililere tebliğinden itibaren gecikmeksizin ve en geç 30 gün içinde yerine getirilmek zorundadır.[13] Kurul telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına da karar verme yetkisine sahiptir. Her koşulda, ilgililerce Kurul tarafından alınan kararlara karşı idari yargı yoluna başvurulabilecektir.
Veri Sorumluları Sicili:[14]
Kurulun gözetiminde Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulacaktır. Bu kapsamda, kişisel verileri işleyecek olan gerçek veya tüzel kişilerin veri işlemeye başlamadan önce ve Kurul tarafından belirlenen ve ilan edilen süre içinde bu sicile kaydolmaları zorunlu hale getirilmiştir. Diğer yandan, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması, üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek kriterlere dayanarak kurul tarafından sicile kayıt zorunluluğuna istisnalar getirilebilecektir. Sicile kayıt başvurusunda veri sorumlusunun ve varsa temsilcinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, veri güvenliğine ilişkin alınan tedbirler, kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre yer almalı ve verilen bu bilgilerde meydana gelecek değişiklikler de aynı şekilde derhal bildirilmelidir. Kanun’da sicile ilişkin diğer hususların ise yönetmelikle düzenleneceği ifade edilmiştir.
Yaptırımlar:
Kanun kapsamında belirlenen yükümlülüklere aykırı hareket edenler hakkında Kurul tarafından idari yaptırımlar uygulanması öngörülmüştür. Bu kapsamda ilgili ihlalin niteliğine göre, 5.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verilmesi söz konusu olabilecektir. Bu aykırılıklar sebebiyle veri sorumlulularının ilgililerin tazminat vb. yasal talepleriyle karşı karşıya gelmeleri de söz konusu olabilir. Son olarak, kişisel verilerle bağlantılı olarak suç teşkil eden eylemlerde bulunanlar ilgili Türk Ceza Kanunu maddelerine göre cezalandırılabilecektir.
Yürürlük:
Yukarıda yer alan hükümlerden, kişisel verilerin aktarımı, ilgililerin hakları, veri sorumlusuna başvuru, Kurula şikayette bulunulması, Kurul tarafından yürütülen incelemelere ve veri sorumluları siciline ilişkin düzenlemeler ile Kanun’da öngörülen yaptırımlara ilişkin düzenlemeler 7 Ekim 2016 itibariyle; diğer düzenlenmeler ise yayım tarihi olan 7 Nisan 2016 tarihinde yürürlüğe girmiştir.
Kanun’un yayım tarihinden önce işlenen kişisel veriler, yayım tarihinden itibaren 2 yıl içinde (7 Nisan 2018’e kadar) Kanun hükümlerine uygun hale getirilmek zorundadır. Kanun hükümlerine aykırı olduğu tespit edilen veriler derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir. Diğer yandan, yayım tarihinden önce hukuka uygun olarak alınmış rızalar, 1 yıl içinde ilgililerce aksine bir irade beyanında bulunulmaması halinde bu Kanuna uygun kabul edilecektir. Son olarak, Kanunda ilgili yönetmeliklerin Kanun’un yayım tarihinden itibaren 1 yıl içinde (7 Nisan 2017’ye kadar) yürürlüğe konulacağı belirtilmiştir. Yönetmeliklerin yayınlanması ile birlikte yükümlülüklere ilişkin detay hususlar netleşmiş olacaktır.
Tüm bu bilgiler ışığında, ilgili Kanun hükümlerine uygun şekilde faaliyet gösterilmesi için şirketler tarafından;
- Kişisel verilerin hangi kaynaklardan ne şekilde elde edildiği, bu verilerin niteliği, kapsamı, ne şekilde ve ne kadar süreyle kullanıldığı, saklanıldığı, aktarıldığı, bu verilerin korunması bakımından hangi teknik ve idari tedbirlerin alındığı ve sair bu verilerle bağlantılı konuların detaylı bir şekilde analiz edilmesi ve bu uygulamaların Kanun hükümleri ile uyumlu hale getirilmesi,
- Şirket adına üçüncü kişi veya kurumlarca veri işlenmesi söz konusu ise (örneğin, muhasabe şirketi, bordroloma şirketi, bulut bilişim şirketleri) bu kişilerle aralarındaki sorumluluk ve görevlerin kapsamının değerlendirilmesi, verilerin işlenmesi bakımından denetimin sağlanmasına yönelik çalışmalar yapılması,
- Şirket tarafından yurtiçinde veya yurtdışında veri aktarımı gerçekleştiriliyor ise buna ilişkin aktarımların Kanun hükümlerine göre değerlendirilmesi ve uyumlu hale getirilmesi,
- Verilerin işlenmesi için ilgililerden gerekli izinlerin alınması ve bu kapsamda verilerle bağlantılı hususlarda ilgililerin (çalışanlar ve müşteriler dahil ilgili tüm gerçek kişiler) hakları ve bunları ne şekilde kullanabilecekleri konusunda bilgilendirilmelerine ilişkin şirket prosedürlerinin gözden geçirilerek Kanun hükümlerine uygun hale getirilmesi,
- İlgililerce kendisine yapılacak başvuruların Kanuna uygun şekilde değerlendirilmesi, tamamlanması ve Kurul inceleme ve kararları bakımından yapılması gereken işlemlere yönelik şirket içi organizasyonun oluşturulması,
- Kişisel verilerin güvenliğine ilişkin yükümlülüklere uygun şekilde gerekli hukuki, teknik ve idari tedbirlerin alınması, çalışanların bu kapsamda eğitilmesi gerekli ve uygun olacaktır.
[1] Veri kayıt sistemi, Kanun’da kişisel verilere ulaşımı kolaylaştıracak şekilde, belli kriterlere göre yapılandırılarak işlendiği kayıt sistemi şeklinde ifade edildiğinden bu sistemin dijital veya elektronik ortamda oluşturulmuş olması şart değildir.
[2] Kanun gerekçesinde de belirtildiği üzere örneğin bir muhasebe şirketi kendi çalışanları ile ilgili tuttuğu veriler bakımından veri sorumlusu, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından veri işleyen sıfatına haiz olacaktır. Bu kapsamda bir şirketin hem veri sorumlusu hem veri işleyen olarak nitelendirilmesi mümkündür.
[3] Örneğin, telefon numarası, özgeçmişi, resmi, ses kayıtları, sosyal güvenlik numarası gibi dolaylı yoldan kişileri belirlenebilir kılan veriler.
[4] Örneğin, sözleşme ilişkisi gereği, ödemelerin yapılabilmesi için diğer tarafın hesap numarası bilgisinin alınması.
[5] Örneğin, bir şirketin çalışanlarına maaş ödeyebilmesi için hesap numarası, sosyal sigorta numarası gibi verilerin işlenmesi.
[6] Örneğin, bir şirketin kendi çalışanı tarafından açılan bir davada iddialarını ispat edebilmesi için çalışanın bazı verilerini kullanması.
[7] Örneğin, bir şirket sahibinin şirketini yeniden yapılandırmak veya çalışanlarının terfi konularını düzenlemek gibi meşru menfaatleri için bu çalışanların temel hak ve özgürlüklerini ihlal etmemek kaydıyla verilerini işlemesi.
[8] Kanun gereği 9 üyeden oluşan bu Kurul’un 5 üyesi TBMM, 2 üyesi Cumhurbaşkanı, kalan 2 üyesi ise Bakanlar Kurulu tarafından seçilir. Kurul üyelerinin tamamı seçilmiş ve kısa bir süre evvel Kurul çalışmalarına başlamıştır.
[9] Gerekçede belirtildiği üzere, verilerin silinmesi bu verilerin kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi ortamlardan tekrar hiçbir şekilde kullanılamayacak veya geri getirilemeyecek şekilde silinmesini; verilerin yok edilmesi, verilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde kaydedildikleri evrak, dosya, CD ve sair materyallerin imha edilmesini; verilerin anonim hale getirilmesi ise, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir.
[10] Kanun’da aydınlatma yükümlülüğüne aykırı hareket edilmesinin yaptırımı, 5.000 Türk Lirasından 100.000 Türk Lirasına kadar idari para cezası olarak öngörülmüştür.
[11] Gerekçede bu duruma örnek olarak, bir çalışanın performansının onun tarafından yapılan işlerin otomatik bir sisteme işlenmesi suretiyle analiz edilerek, analiz sonucuna göre değerlendirilmesine itiraz edebilmesi gösterilmiştir.
[12] Kanun’da veri güvenliğine ilişkin bu yükümlülüklere aykırı hareket edilmesinin yaptırımı, 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası olarak öngörülmüştür.
[13] Kurul kararlarının yerine getirilmemesi, 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası yaptırımına bağlanmıştır.
[14] Kanunda veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verileeceği belirtilmiştir.
Dr. Mete Tevetoğlu