Oysa kişisel verilerin korunması konusu Almanya’da 1970’lerde başlayan bir tartışma. AB’de ise sürekli gündemde olan bir başlık. Ülkemizin AB üyeliği adaylığından ötürü 10 yıla yakın bir süredir ülkemizin de gündeminde.

Fakat uzun yıllardan bu yana TBMM bu konuda yasal düzenleme yapma sonucuna bir türlü varamadı. Kişisel veri korumasının bulunmaması sebebiyle ülkemiz, yabancı devletler ve milletler arası şirketler tarafından, kendilerinden veri talep edildiğinde, yıllarca veri koruma bakımından güvenilmez ülke olarak ilan edildi ve taleplerimiz bu sebeple yıllarda red olundu.

GDPR vs KVKK – Sonun Başlangıcı Mı? Meğer çözüm vize serbestisindeymiş. Schengen vize bölgesine katılım şartlarının arasına kişisel verilerin korunmasının hukuken düzenlenmesi eklenince, TBMM gündeminde yıllardır bekletilen yasa tasarısı bir anda gündeme alındı, pek anlaşılmadan aynı hızla kabul edildi.

Edildi edilmesine fakat neredeyse hiç kimsenin, belki de hiç bir zaman yasalaşmayacağına kanaat getirmesinden midir bilinmez, ne yasa hakkında net bir fikri ne de yasaya uyum adına atılmış bir adımı bulunmuyordu. Hal böyle olunca yasanın yürürlüğüne birkaç hafta kala Kanun’un kapsamına girenleri bir telaş aldı.

Bir anda kişisel verilerin korunması eğitimleri, uyum programları, aydınlatma metinleri, muvafakatnameler,  veri aktarım çerçeve sözleşmeleri, veri politikaları gibi konu, kavram ve uygulamaları hızlı bir ivme ve gündem kazandı. Buna karşın, aradan geçen süre zarfında, kişisel gözlemim, neredeyse hiç kimsenin Kanun ile yapılmak isteneni tam olarak anlayamamış olduğu yönünde. Zira kişisel veri mevzuatının uygulanmasına dair tartışmalara her gün yeni başlıklar ve örnekler ekleniyor. Bu yapılırken de ortaya çıkan görüşler açıkçası, ağırlıklı şekilde derinlik ve objektiflikten uzak bir görünüm arz ediyor.

GDPR vs KVKK – Sonun Başlangıcı Mı?

KVKK ve GDPR ile getirilen düzenlemeler nelerdir?

Bu yazıda konuya yabancı olanlar için hem KVKK hem de GDPR ile getirilen düzenlemeleri en önemli yönleriyle kısaca ele alacağız. Bunu yaparken bir yandan da az sonra okuyacağınız yeni kuralların elektronik ticarette, dijital reklamcılıkta, online habercilik ve yayıncılıkta yeni bir çağın başlangıcı mı yoksa sonu mu olduğunu da düşünmeye ve değerlendirmeye gayret edeceğiz.

Ülkemizde 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanunun bir bütün halinde kısa bir süre evvel yürürlüğe girmesinden yine kısa bir süre sonra bu defa Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation) yürürlüğe girdi. Önce KVKK açısından konuyu ele almak gerekirse KVKK, temelde 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifini esas almıştır. AB’de kişisel verilerin korunmasına ilişkin 1995’te AP ve AK tarafından, Kişisel Verilerin İşlenmesi ve “Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif” kabul edildi. Direktif temel amaç olarak;

GDPR vs KVKK – Sonun Başlangıcı Mı? AB üye ülkelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerin uyumlaştırılması amacıyla kaleme alınmıştır. AB üyeleri, kişisel verilerin korunmasına ilişkin kanuni düzenlemelerini bu Direktifi esas alarak yapmışlardır. İşte bizim KVKK, AB’nin 95/46 Direktifinin yerel versiyonudur. Kişisel verilerin korunması konusunda kimi, ne mesafeden takip ettiğimiz sanıyoruz bu şekilde daha açık ve anlaşılır şekilde ortaya konulmaktadır. Bu noktada daha sağlıklı bir bilgi ve veri olarak, ülkemizde 95/46 Direktifi KVKK olarak yasalaşırken, AB 95/46 Direktifini, ortaya çıkan yeni ihtiyaçları karşılamadığı için 2012’den itibaren planlı şekilde yürürlükten kaldırmıştır.

Temel olarak kişisel verilerinin korunmasını istemek anayasal bir haktır. Anayasamızda da bu hak tanınmış fakat uygulanması için Kanun referans gösterilmiş, Kanun çıkarılmadığı için anayasal olarak tanımlanan hakkın uygulanması ve sağlanması uzun süre mümkün olmamıştır.

İşin ilginç yanı, KVKK, vatandaşa anayasal hakkını kullanması için değil az evvel işaret ettiğimiz gibi Schengen bölgesine giriş şartı olduğu için kabul edilmiştir. Gerçi vatandaşın da bu anayasal hakkına dair yoğun bir talep içinde olmadığını da dikkatten kaçırmamak gerekir fakat bu husus apayrı bir konu olduğu için bu yazımızda üzerinde durmayacağız.

Nihayet, KVKK kabul edilirken dayanağı AB Direktifi, eskidiği için yürürlükten kalkmıştır. Amaç, veri güvenli ülke olmaksa da GDPR uyumsuzluğundan dolayı kısa bir süre içinde KVKK’dan öncesindeki gibi, yeterli ve etkin yasal düzenleme ve etkin ve uyumlu uygulama olmadığı için, veri güvenilir ülke kabul edilmeme riski, konunun farkındaki kimi yazarlarca bugünlerde sık sık dile getirilmektedir.

Tabi ki 95/46 Direktifi ve bu Direktifin ülkemize yansıması KVKK ile GDPR arasında taban tabana zıt ve farklı hükümler bulunmamaktadır. Fakat kabaca ifade etmek gerekirse 95/46 ve KVKK, zamanın güncel veri koruma ihtiyaçlarını karşılamaya yeterli, uygun görünmemektedir.

GDPR vs KVKK – Sonun Başlangıcı Mı? GDPR ise kişisel verilerin korunması konusunda uygulama alanını hem coğrafi hem de hak türleri ve bu hakların içerikleri noktasında oldukça ileri taşımıştır. Bunun ana gerekçesi 95/46 kabul edilirken bulut bilişimin, sosyal ağların, konum bazlı verilerin ve akıllı cihaz ve araçların bulunmaması ve kişisel verilere erişim araç, usul ve süreçlerinin oldukça değişmesidir.

Bu noktada GDPR ile KVKK arasında kısa bir mukayese yapmak faydalı olabilir. KVKK ile temelde kişisel verilerin tanımı oldukça geniş şekilde yapılmıştır. Yine ana prensip kişisel verilerin, sahibinin izni olmadan toplanamaması, işlenememesi, aktarılamaması, depolanamaması, elde edilmemesi, muhafaza edilmemesi, değiştirilmemesi, yeniden düzenlenmemesi, açıklanmaması, aktarılmaması, devralınmaması, elde edilebilir hâle getirilmemesi, sınıflandırılmaması ya da kullanılmamasıdır. Özetle, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. İşleme ile yukarıda sayılanların tamamı kastedilir. KVKK ulusaldır. Sadece Türkiye için geçerli ve yürürlüktedir.

GDPR ise sadece AB üyelerinin coğrafi sınırlarını hedef almamakta, bunu aşan bir uygulama alanı öngörmektedir. GDPR, veri işleme faaliyeti kapsamında sunulan mal veya hizmetin AB içerisinde sunuluyor olması veya AB içinde sunulan ürün – hizmet sunumunun AB dışından takip ediliyor veya daha doğru bir ifadeyle gözlemleniyor olması halinde de uygulama alanı bulmaktadır.

GDPR, AB içerisinde veri sahiplerine, ücretli olup olmadığına bakılmadan,  mal veya hizmet sunan veya bu veri sahiplerinin davranışlarını gözlemleyen veri kontrolörleri ve işleyiciler bakımından uygulanır. AB içerisinde mal veya hizmet sunmak yalnızca bir internet sitesi ile olabilir. Ancak bundan ibaret değildir. Örneğin, AB’de kullanılanlardan birini içeren çok dilli bir websitesi, AB’de tedavülü olan alternatif ödeme birimlerinin websitesine entegre edilmesi, AB’deki  müşterilerin izlenmesi vasfındadır. Bir veri kontrolörü veya işleyicisinin bir veya daha fazla AB üyesi ülkede bireylere veri hizmeti sunması durumunda GDPR uygulama alanı bulur.

GDPR vs KVKK – Sonun Başlangıcı Mı? GDPR, KVKK’dan kişisel verilerin tanımı bakımından ayrılmamakta, sadece gerekçelerinde ilgili örnek sayısını çoğaltmaktadır.

KVKK’dan farklı olarak GDPR AB üye ülkelerinde doğrudan uygulanacak, KVKK gibi 20 sene sonra iç hukuka aktarılması beklenmek zorunda kalınmayacaktır.

GDPR’da, KVKH’dan farklı olarak, veri işleyen kavramının kapsamı genişlemektedir. Alt hizmet sağlayıcılar da verinin hukuka uygun işlendiğini kontrol etmekle mükellef klınmaktadır.

GDPR, para cezaları 20 Milyon Euro veya hizmet sağlayıcının global gelirinin %4’ü üzerinden hesaplanabilecektir ki bu KVKK yaptırımları ile karşılaştırılınca ciddi miktarda bir artışı ifade etmektedir.

GDPR, veri ihlallerinde class-action davalarını mümkün kılarken, KVKK hala bireysel ihlallerde bireysel yaptırım ve idari para cezası yaptırımı perspektifiyle sınırlıdır.

GDPR onay şartını ve unutulma hakkını somut ve güçlü şekilde kullanıma sokarken KVKK unutulma hakkına doğrudan değinmemektedir. AYM’nin 2014/10685 numaralı Unutulma Hakkı esasındaki bireysel başvuruya mukabil güncel kararındaki gerekçe ve ret sonucu hatırlanırsa GDPR ile unutulma hakkına sağlanan geniş uygulanabilirliğin kıymeti sanıyoruz ki daha net anlaşılacaktır.

GDPR vs KVKK – Sonun Başlangıcı Mı? KVKK ve somut uygulama itibarı ile Kurul, avukatlar, mali müşavirler gibi bazı meslek gruplarını KVKK’dan muaf tutarken GDPR aksine bu mesleklere yönelik düzenlemeler ve sorumluluklar getirmektedir

GDPR’in özellikle e-ticaret platformları için önerdiği yükümlülüklerin neredeyse hiçbiri KVKK’da yer almamaktadır.

GDPR, KVKK’dan farklı ve daha net şekilde, Silme Hakkı, Erişim Hakkı, Düzeltim Hakkı, Veri Taşıma Hakkı, İşlemenin Kısıtlanması Hakkı, Otomatik Profillenmeme Hakkı şeklinde özel ve yeni hak süjelerini de tanımlamaktadır.

KVKK’da bulunmayan bir diğer önemli düzenleme, yaş sınırı ve yaşa göre aydınlatma ve muvafakat meselesidir. Her ne kadar onay usulü ve şekli henüz tam anlamıyla net değilse de GDPR, kişisel verilerin işlenmesine muvafakat etme yaşını 16 yaşın üstündekiler için kabul etmiş, altındakiler için de ebeveyn onayının yolunu sadece istisnai olarak açık tutmuştur.

GDPR vs KVKK – Sonun Başlangıcı Mı? Böylece KVKK’da ana kavram veri işleyenken, GDPR’da ilglii kişi yani verileri işlenen kişi haline gelmiş olmaktadır.

GDPR vs KVKK – Sonun Başlangıcı Mı? yazısı ilk önce Hubogi üzerinde ortaya çıktı.

Kişisel verilerin işlenmesine ilişkin temel ilkelerin belirlenmesi, temel hak ve özgürlüklerin korunması ve bu kapsamda kişisel verileri işleyen gerçek veya tüzel kişilerin yükümlülüklerinin belirlenmesi amacıyla getirilen 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun 07.04.2016 tarihinde Resmi Gazete’de yayınlanmıştır.

Kanun’a tabi olacak kişi veya kurumların kanun hükümlerine uyum sağlayabilmeleri adına bazı hükümlerin yayım tarihinden 6 ay sonra, diğer hükümlerin ise yayım tarihinde yürürlüğe gireceği ifade edilmiştir.

Kanun, “kişisel verileri “işlenen” gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin[1] parçası olmak kaydıyla otomatik olmayan yollarla “işleyen” gerçek ve tüzel kişiler” hakkında uygulanacaktır.

Bu bağlamda “işleme” eylemine konu edilen veriler ancak bir gerçek kişinin kişisel verileri olabilir.

Bu verilerin herhangi bir şekilde işlenmesi ile bağlantılı olan diğer sujeler ise “veri sorumluları” ve “veri işleyenler” olarak ifade edilmiştir.

Kanun’a göre “veri sorumlusu”; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler”dir.

“Veri işleyen” ise, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler”dir.

Veri işleyenler, veri sorumlusunun talimatlarına uygun şekilde verileri işleyen veri sorumlusu çalışanları olabileceği gibi veri sorumlusunun bu verilerin işlenmesi yönünde hizmet satın aldığı kişiler de olabilir.[2]

Kişisel Veri Kavramı:

Kişisel Verilerin Korunmasına Dair Kanunu’nun 3. maddesinde kişisel veri kavramı, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kanun gerekçesinde ise belirli veya belirlenebilir olma hali, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesiyle o kişinin tanımlanabilir hale getirilmesini ifade etmektedir.

Bu kapsamda, kişinin yalnızca adı, soyadı, doğum tarihi gibi kesin olarak kişinin belirlenmesini sağlayan bilgilerin yanı sıra, kişinin fiziki, ailevi, sosyal, psikolojik, ekonomik ve benzeri özelliklerine ilişkin bilgiler de kişisel veri olarak nitelendirilmektedir.[3]

Uluslararası mevzuatta da öngörüldüğü şekilde, Kanun kapsamında bazı kişisel veriler, “özel nitelikli kişisel veri” olarak nitelendirilmiş olup aşağıda detaylandırılacağı üzere, bu verilerin herhangi bir şekilde işlenmesi bakımından ayrı usul ve esaslar belirlenmiştir.

“Özel nitelikli kişisel veriler”, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileridir.

Kişisel Verilerin İşlenmesi:

Kanun gereği, kişisel verilerin işlenmesi;

“kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi’
ifade etmektedir.

Kişisel veriler, yalnızca mevzuatta öngörülen usul ve esaslar çerçevesinde işlenebilecektir.

Kişisel verilerin işlenmesi bakımından temel ilkeler, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme olarak ifade edilmiştir.

Kişisel veriler, kural olarak, ilgililerin “açık rızası” olmaksızın işlenemez.

Kişisel Verilerin Korunmasına Dair Kanuna göre “açık rıza”, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir. Bu bağlamda, ilgilinin kişisel verilerinin işlenmesi konusunda yeterli derecede bilgilendirilmiş olması, özgürce ve tereddüde yer bırakmayacak şekilde ve sadece o işlemle sınırlı olmak üzere onay vermesi önem arzetmektedir.

Yeterli derecede bilgilendirmenin yapıldığının kabul edilebilmesi için ilgili kişilere işlemenin içeriği, amacı, süresi, kapsamı, nerelerde kullanılabileceği ve sair konularda açık ve anlaşılır bir dille bilgilendirme yapılması gerekir.

Açık rıza olmaksızın, verilerin işlemenin mümkün olduğu “istisnalar” Kanunun 5. maddesinde sıralanmıştır:

1. a) Kanunlarda açıkça öngörülmesi,
   b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
2. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması[4]

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması[5]

1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması
   e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması[6]
   f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri

sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması[7]

Kanunda özel nitelikli kişisel verilerin aykırı kullanımının kişilere daha fazla zarar doğurabileceği öngörülerek bu verilerin işlenmesi bakımından ayrı hükümler getirilmiştir. Bu kapsamda, ilgililerin açık rızası olmaksızın bu türde verilerin işlenmesi yasaktır.

Kanunun ifadesine göre bu rızanın sözlü ya da yazılı herhangi bir yolla verilebileceği anlaşılmaktadır. Konuyla ilgili AB’nin 95/46 Direktif içerisinde de rızanın açık bir biçimde alınması gerektiği belirtilmiş ancak yöntemine ilişkin bir bilgi öngörülmemiştir. Dolayısıyla ikincil mevzuat olan yönetmeliklerde de açık rızanın alınma usulüne ilişkin bir detay verilmemesi halinde Veri Sorumlusu’nun tabi olduğu mevzuatta belirtilen yöntemler kullanılarak rıza alınması gerekeceği düşünülmektedir. Ancak tedbiren mümkünse rızanın yazılı şekilde alınması ve arşivlenmesi değerlendirilebilir.

Kişisel Verilerin Korunmasına Dair Kanununun geçici 1. maddesi uyarınca; Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayım tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hale getirilmesi yükümlülüğü bulunmaktadır. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kanun gereği, açık rızanın zorunlu olduğu veya olmadığı her koşulda Kişisel Verileri Koruma Kurulu (‘Kurul’)[8] tarafından belirlenen yeterli önlemlere uyularak işleme gerçekleştirilebilecektir. Açık rıza kuralının istisnaları ise yukarıda bu tür verilerin tanımında belirtilen kategorilere göre belirlenmiştir. Buna göre, sağlık ve cinsel hayat dışındaki bu tür veriler, yalnızca kanunlarda öngörülen hallerde açık rıza aranmadan işlenebilecektir. Sağlık ve cinsel hayata ilişkin bu tür veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi:

 Kişisel veriler hukuka uygun olarak işlenmiş fakat daha sonra işlenmesini gerektiren sebepler ortadan kalkmışsa bu veriler resen veya ilgilisinin talebi üzerine veri sorumlusu tarafından silinecek, yok edilecek veya anonim hale getirilecektir.[9]

Kanun’da bu tür işlemlere ilişkin diğer kanunlarda yer alan düzenlemeler saklı tutulmuş olup bu işlemlere ilişkin usul ve esasların ayrıca yönetmelikle düzenleneceği belirtilmiştir.

Kişisel Verilerin Aktarılması:

Kişisel verilerin, kural olarak, ilgililerin açık rızası olmaksızın üçüncü kişi veya kurumlara aktarılamayacağı kabul edilmiştir. Bu ilke Kanun gereği özel nitelikli olarak kabul edilen veya edilmeyen tüm kişisel verileri kapsamaktadır.

Kanun gereği özel nitelikli olmayan kişisel verilerin ilgililerin açık rızası olmaksızın yurtiçinde aktarılması ancak bu türde verilerin rıza olmaksızın işlenmesine ilişkin olarak getirilen istisnai hallerde mümkündür. Benzer şekilde, özel nitelikli olmayan kişisel verilerin açık rıza olmaksızın yurtiçinde aktarılması da yukarıda ilgili kısımda belirtilen istisnai hallerde ve Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla gerçekleştirilebilecektir.

Kişisel verilerin yurtdışına aktarılmasında da temel kural ilgililerin açık rızasının alınmasıdır. Bu verilerin açık rıza olmaksızın yurtdışına aktarılması için, yurtiçinde rıza olmaksızın aktarım işlemi için getirilen ve özel nitelikli olan ve olmayan verilere göre ayrı ayrı düzenlenen istisnai hallerden birinin varlığı ve verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması şartları aranmaktadır. Yeterli korumanın bulunmadığı hallerde ise bu türde bir aktarım işlemi ancak Türkiye ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması durumunda mümkündür. Yeterli korumanın bulunup bulunmadığının tespiti ise Kanun’da yer alan kriterlere uygun şekilde Kurul tarafından belirlenerek ilan edilir.

Veri Sorumlusunun Yükümlülükleri:

1. Aydınlatma Yükümlülüğü[10]

Kanun gereği kişisel verilerin elde edilmesi sırasında, veri sorumlusu veya yetkilendirdiği kişi, ilgililere

• veri sorumlusunun ve varsa temsilcisinin kimliği,
• kişisel verilerin hangi amaçla işleneceği,
• işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• kişisel veri toplamanın yöntemi ve hukuki sebebi,
• Kanun’un 11. maddesi gereği sahip olduğu diğer hakları konusunda bilgilendirmekle yükümlüdür.

İlgili 11. madde gereği herkes, veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme; işlenmişse buna ilişkin bilgileri talep etme; verilerin işlenme amacı ile bu amaca uygun kullanılıp kullanılmadığını öğrenme; yurtiçinde ve yurtdışında bu verilerin aktarıldığı üçüncü kişileri bilme; kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme; Kanunun ilgili düzenlemesinde yer alan koşullara uygun şekilde bu verilerin silinmesini veya yok edilmesini isteme; düzeltme, silme, yok etme işlemlerinin bu verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme; işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun çıkmasına itiraz etme[11]; kişisel verilerin kanuna aykırı şekilde işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme hakkına sahiptir.

1. Veri Güvenliğine İlişkin Yükümlülükler:[12]

Veri sorumlusu,

– Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

– Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

– Kişisel verilerin muhafazasını sağlamak amacıyla her türlü teknik ve idari tedbiri almakla yükümlüdür.

Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlendiği hallerde ise veri sorumlusu, yukarıda belirtilen tedbirlerin alınması bakımından ilgili kişilerle birlikte müştereken sorumlu olmaya devam edecektir.

Yukarıdaki yükümlülüklerinin yanı sıra veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak için gerekli denetimleri yapmak veya yaptırmak zorundadır.

Veri sorumluları ile veri işleyen kişilerin sır saklama yükümlülükleri bulunmaktadır. Bu bağlamda, öğrendikleri kişisel verileri kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra dahi devam eder.

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmekle yükümlüdür. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

1. Veri Sorumlusuna Başvuru:

İlgililer, bu Kanun’un uygulanması ile ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletecektir. Veri sorumlusu kendisine gelen talepleri, ilgili talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Diğer yandan, ilgili işlemin ayrıca bir maliyet gerektirmesi halinde Kurulca belirlenen tarifedeki ücret ilgiliden talep edilebilecektir.

Veri sorumlusuna bu şekilde gelen taleplerin incelenmesi sonucunda ilgili talep kabul veya gerekçesi açıklanmak suretiyle reddedilebilir. Veri sorumlusunun bu kararları ilgiliye yazılı olarak veya elektronik ortamda bildirilir. İlgili talebin kabulü halinde veri sorumlusunca doğrudan gereği yerine getirilir ve başvurunun veri sorumlusunun hatasından kaynaklanması halinde varsa başvuru için alınan ücret ilgiliye iade edilir.

Kurula Şikayet Süreci:

İlgililerce veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde veri sorumlusu tarafından başvuruya cevap verilmemesi hallerinde, ilgililer, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurul’a şikayette bulunma hakkına sahiptir. Kurula şikayet hakkının kullanılabilmesi için veri sorumlusuna başvuru prosedürünün işletilmiş olması zorunludur. Diğer yandan, kişilik hakları ihlal edilenlerin her zaman genel hükümlere göre tazminat hakkı saklıdır. Bu kapsamda, veri sorumlusunun hukuki statüsüne göre ilgililer adli veya idari yargıda dava açma hakkına sahiptir.

Kurul şikayet üzerine veya ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda inceleme yapabilir. Bu kapsamda yalnızca şikayet veya resen öğrenilen şikayet konusu ile bağlı olduğundan Kurulun genel inceleme yetki ve görevi yoktur. Veri sorumlusu, Kurulun inceleme için istediği bilgi ve belgeleri, 15 gün içinde göndermek veya gerektiğinde yerinde inceleme yapılmasına olanak sağlamakla yükümlüdür. Kurul tarafından talebin incelenmesi neticesinde ilgililere cevap verilir, şikayet tarihinden itibaren 60 gün içinde cevap verilmemesi halinde talep reddedilmiş kabul edilecektir. Bu halde, ilgilinin bu süre sonunda idari yargıda dava açma süresi başlar. Diğer yandan, Kurulun resen yapacağı incelemelere ilişkin Kanunda bir inceleme süresi öngörülmemiştir.

Kurul, şikayet üzerine veya resen yapılan inceleme sonucunda, mevzuattaki düzenlemelerin ihlal edildiğini tespit ederse, tespit ettiği bu hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar verir. Karar, ilgililere tebliğinden itibaren gecikmeksizin ve en geç 30 gün içinde yerine getirilmek zorundadır.[13] Kurul telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına da karar verme yetkisine sahiptir. Her koşulda, ilgililerce Kurul tarafından alınan kararlara karşı idari yargı yoluna başvurulabilecektir.

Veri Sorumluları Sicili:[14]

Kurulun gözetiminde Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulacaktır. Bu kapsamda, kişisel verileri işleyecek olan gerçek veya tüzel kişilerin veri işlemeye başlamadan önce ve Kurul tarafından belirlenen ve ilan edilen süre içinde bu sicile kaydolmaları zorunlu hale getirilmiştir. Diğer yandan, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması, üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek kriterlere dayanarak kurul tarafından sicile kayıt zorunluluğuna istisnalar getirilebilecektir. Sicile kayıt başvurusunda veri sorumlusunun ve varsa temsilcinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, veri güvenliğine ilişkin alınan tedbirler, kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre yer almalı ve verilen bu bilgilerde meydana gelecek değişiklikler de aynı şekilde derhal bildirilmelidir. Kanun’da sicile ilişkin diğer hususların ise yönetmelikle düzenleneceği ifade edilmiştir.

Yaptırımlar:

Kanun kapsamında belirlenen yükümlülüklere aykırı hareket edenler hakkında Kurul tarafından idari yaptırımlar uygulanması öngörülmüştür. Bu kapsamda ilgili ihlalin niteliğine göre, 5.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verilmesi söz konusu olabilecektir. Bu aykırılıklar sebebiyle veri sorumlulularının ilgililerin tazminat vb. yasal talepleriyle karşı karşıya gelmeleri de söz konusu olabilir. Son olarak, kişisel verilerle bağlantılı olarak suç teşkil eden eylemlerde bulunanlar ilgili Türk Ceza Kanunu maddelerine göre cezalandırılabilecektir.

Yürürlük:

 Yukarıda yer alan hükümlerden, kişisel verilerin aktarımı, ilgililerin hakları, veri sorumlusuna başvuru, Kurula şikayette bulunulması, Kurul tarafından yürütülen incelemelere ve veri sorumluları siciline ilişkin düzenlemeler ile Kanun’da öngörülen yaptırımlara ilişkin düzenlemeler 7 Ekim 2016 itibariyle; diğer düzenlenmeler ise yayım tarihi olan 7 Nisan 2016 tarihinde yürürlüğe girmiştir.

Kanun’un yayım tarihinden önce işlenen kişisel veriler, yayım tarihinden itibaren 2 yıl içinde (7 Nisan 2018’e kadar) Kanun hükümlerine uygun hale getirilmek zorundadır. Kanun hükümlerine aykırı olduğu tespit edilen veriler derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir. Diğer yandan, yayım tarihinden önce hukuka uygun olarak alınmış rızalar, 1 yıl içinde ilgililerce aksine bir irade beyanında bulunulmaması halinde bu Kanuna uygun kabul edilecektir. Son olarak, Kanunda ilgili yönetmeliklerin Kanun’un yayım tarihinden itibaren 1 yıl içinde (7 Nisan 2017’ye kadar) yürürlüğe konulacağı belirtilmiştir. Yönetmeliklerin yayınlanması ile birlikte yükümlülüklere ilişkin detay hususlar netleşmiş olacaktır.

Tüm bu bilgiler ışığında, ilgili Kanun hükümlerine uygun şekilde faaliyet gösterilmesi için şirketler tarafından;

• Kişisel verilerin hangi kaynaklardan ne şekilde elde edildiği, bu verilerin niteliği, kapsamı, ne şekilde ve ne kadar süreyle kullanıldığı, saklanıldığı, aktarıldığı, bu verilerin korunması bakımından hangi teknik ve idari tedbirlerin alındığı ve sair bu verilerle bağlantılı konuların detaylı bir şekilde analiz edilmesi ve bu uygulamaların Kanun hükümleri ile uyumlu hale getirilmesi,

• Şirket adına üçüncü kişi veya kurumlarca veri işlenmesi söz konusu ise (örneğin, muhasabe şirketi, bordroloma şirketi, bulut bilişim şirketleri) bu kişilerle aralarındaki sorumluluk ve görevlerin kapsamının değerlendirilmesi, verilerin işlenmesi bakımından denetimin sağlanmasına yönelik çalışmalar yapılması,

• Şirket tarafından yurtiçinde veya yurtdışında veri aktarımı gerçekleştiriliyor ise buna ilişkin aktarımların Kanun hükümlerine göre değerlendirilmesi ve uyumlu hale getirilmesi,

• Verilerin işlenmesi için ilgililerden gerekli izinlerin alınması ve bu kapsamda verilerle bağlantılı hususlarda ilgililerin (çalışanlar ve müşteriler dahil ilgili tüm gerçek kişiler) hakları ve bunları ne şekilde kullanabilecekleri konusunda bilgilendirilmelerine ilişkin şirket prosedürlerinin gözden geçirilerek Kanun hükümlerine uygun hale getirilmesi,

• İlgililerce kendisine yapılacak başvuruların Kanuna uygun şekilde değerlendirilmesi, tamamlanması ve Kurul inceleme ve kararları bakımından yapılması gereken işlemlere yönelik şirket içi organizasyonun oluşturulması,

• Kişisel verilerin güvenliğine ilişkin yükümlülüklere uygun şekilde gerekli hukuki, teknik ve idari tedbirlerin alınması, çalışanların bu kapsamda eğitilmesi gerekli ve uygun olacaktır.

[1] Veri kayıt sistemi, Kanun’da kişisel verilere ulaşımı kolaylaştıracak şekilde, belli kriterlere göre yapılandırılarak işlendiği kayıt sistemi şeklinde ifade edildiğinden bu sistemin dijital veya elektronik ortamda oluşturulmuş olması şart değildir.

[2] Kanun gerekçesinde de belirtildiği üzere örneğin bir muhasebe şirketi kendi çalışanları ile ilgili tuttuğu veriler bakımından veri sorumlusu, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından veri işleyen sıfatına haiz olacaktır. Bu kapsamda bir şirketin hem veri sorumlusu hem veri işleyen olarak nitelendirilmesi mümkündür.

[3] Örneğin, telefon numarası, özgeçmişi, resmi, ses kayıtları, sosyal güvenlik numarası gibi dolaylı yoldan kişileri belirlenebilir kılan veriler.

[4] Örneğin, sözleşme ilişkisi gereği, ödemelerin yapılabilmesi için diğer tarafın hesap numarası bilgisinin alınması.

[5] Örneğin, bir şirketin çalışanlarına maaş ödeyebilmesi için hesap numarası, sosyal sigorta numarası gibi verilerin işlenmesi.

[6] Örneğin, bir şirketin kendi çalışanı tarafından açılan bir davada iddialarını ispat edebilmesi için çalışanın bazı verilerini kullanması.

[7] Örneğin, bir şirket sahibinin şirketini yeniden yapılandırmak veya çalışanlarının terfi konularını düzenlemek gibi meşru menfaatleri için bu çalışanların temel hak ve özgürlüklerini ihlal etmemek kaydıyla verilerini işlemesi.

[8] Kanun gereği 9 üyeden oluşan bu Kurul’un 5 üyesi TBMM, 2 üyesi Cumhurbaşkanı, kalan 2 üyesi ise Bakanlar Kurulu tarafından seçilir. Kurul üyelerinin tamamı seçilmiş ve kısa bir süre evvel Kurul çalışmalarına başlamıştır.

[9] Gerekçede belirtildiği üzere, verilerin silinmesi bu verilerin kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi ortamlardan tekrar hiçbir şekilde kullanılamayacak veya geri getirilemeyecek şekilde silinmesini; verilerin yok edilmesi, verilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde kaydedildikleri evrak, dosya, CD ve sair materyallerin imha edilmesini; verilerin anonim hale getirilmesi ise, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir.

[10] Kanun’da aydınlatma yükümlülüğüne aykırı hareket edilmesinin yaptırımı, 5.000 Türk Lirasından 100.000 Türk Lirasına kadar idari para cezası olarak öngörülmüştür.

[11] Gerekçede bu duruma örnek olarak, bir çalışanın performansının onun tarafından yapılan işlerin otomatik bir sisteme işlenmesi suretiyle analiz edilerek, analiz sonucuna göre değerlendirilmesine itiraz edebilmesi gösterilmiştir.

[12] Kanun’da veri güvenliğine ilişkin bu yükümlülüklere aykırı hareket edilmesinin yaptırımı, 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası olarak öngörülmüştür.

[13] Kurul kararlarının yerine getirilmemesi, 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası yaptırımına bağlanmıştır.

[14] Kanunda veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verileeceği belirtilmiştir.

Dr. Mete Tevetoğlu

Kişisel Verilerin Korunmasına Dair Kanun ile Oyun Endüstrisi Nasıl Uyum Sağlamalı? yazısı ilk önce Hubogi üzerinde ortaya çıktı.