Kişisel Verilerin Korunması Kanunu Hakkında
Birçok sektörü etkileyecek olan Kişisel Verilerin Korunması Kanunu (“Kanun”), 07.04.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
Kişisel verilerin korunması ile ilgili ilk çalışmalar Avrupa Birliği uyum süreci kapsamında 1989 yılına kadar dayanmaktadır. 2000’li yıllar boyunca çeşitli defalar, komisyonlar kurulup, çalışmalar yapılmış ve 2008 yılında ilk kez kişisel verilerin korunmasına dair bir kanun tasarısı TBMM’ye sunulmuş olsa da, ilgili taslak uzun yıllar boyunca yasalaştırılamamıştır.
Kanun’un kabul sürecine dek, kişisel verilerin korunması konusu, ülkemizde genel kanunlar kapsamında düzenlenmeye çalışılmış; ihtiyaçlar arttığı nispette, özel kanunlara getirilen bazı düzenlemelerle kişisel verilerin korunması ve işlenmesi mümkün kılınmıştır.
Kişisel verilerin korunması konusu, öncelikle Anayasa’mızda Özel Hayatın Gizliliği ve Korunması başlığı altında ele alınan bir haktır. Anayasa ile koruma altına alınmış olan bu hakka ilişkin, en önemli yaptırımlar 5237 sayılı Türk Ceza Kanunu’nda yer almaktadır. Türk Ceza Kanunumuz, 135 ila 140. Maddeleri arasında kişisel verilerin kaydedilmesi, verilerin hukuka aykırı olarak ele geçirilmesi gibi konuları düzenler ve önemli yaptırımları sıralar. Öte yandan, sektörel bazlı özel kanunlarda, kişisel verilerin korunması hususunda düzenlemeler bulmak mümkündür (örneğin; 5809 sayılı Elektronik Haberleşme Kanunu’nun 51. Maddesi; 4857 sayılı İş Kanunu 75. Maddesi vb.).
Kanun’un yürürlüğe girmesinin yanı sıra konuyla ilgili bir diğer gelişme de, Avrupa Konseyi tarafından hazırlanan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” (“Sözleşme”)’nin 18.02.2016 tarihli Resmi Gazete’de yayımı ile birlikte yürürlüğe girmesidir.
Avrupa Konseyi tarafından hazırlanan Sözleşme’yi kabul eden taraf ülkeler, uyruğu veya ikametgâhı ne olursa olsun gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kişisel nitelikteki verilerin otomatik bilgi işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktırlar. Bu itibarla Sözleşme, hükümetlerin vatandaşlarını korumasına yönelik önemli bir araç niteliğindedir.
Sözleşme kapsamında “otomatik işlem, tamamen veya kısmen otomatik yöntemlerle gerçekleştirilen verilerin kaydı, bu verilerin mantıksal ve/veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya dağıtılması” şeklinde tanımlanmıştır. Sözleşme otomatik işleme tabii tutulan veriler açısından da hak sahiplerini koruyucu düzenlemeler içermektedir. Bu haliyle, Kanun ve Sözleşme’nin birbirini tamamladığı söylenebilecektir.
Gerek bireysel anlamda sağladığı haklar, gerekse iş piyasalarında kişisel verilerin korunmasından sorumlu gerçek ve tüzel kişilere getireceği sorumluluklar anlamında Kanun büyük önem arz etmektedir. Ancak, Kanun’un yeni yayımlanmış olması nedeniyle uygulamanın netleşmesi için birçok ek düzenlemeye ihtiyaç olduğu gözlemlenmektedir. Uygulama ve ikincil mevzuatlarla tamamlanacak olan Kanun’un, ilk etapta önemli noktalarını paylaşmak adına, biz de müvekkillerimiz için işbu bülteni hazırlamayı uygun bulduk.
Önemle ve öncelikle hatırlatmak isteriz ki; Kanun’un yürürlüğe girdiği tarihten önce işlenmiş olan kişisel verilerin 2 yıl içinde, Kanun’da öngörülen usul ve esaslara uygun hale getirilmeleri gerektiği düzenlenmiştir. Bu usullere aykırı olduğu anlaşılan kişisel verilerin ise derhal silinmesi, yok edilmesi veya anonim hale getirilmeleri zorunludur. İşbu Kanun’un yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanun’a uygun kabul edilir.
Ayrıca, belirtmek isteriz ki; Kanun’un 32. Maddesi uyarınca, aşağıdaki maddeler, Kanun’un yayımı tarihinden altı ay sonra yürürlüğe girer. Bu maddeler şunlardır:
8. Madde – Kişisel verilerin aktarılması
9. Madde – Kişisel verilerin yurt dışına aktarılması
11. Madde – İlgili kişinin hakları
13. Madde –Veri sorumlusuna başvuru
14. Madde – Kişisel Verileri Koruma Kurulu’na şikayet
15. Madde – Şikâyet üzerine veya resen incelemenin usul ve esasları
16. Madde – Veri sorumluları sicili
17. Madde – Suçlar
18. Madde – Kabahatler
A. Kanun’un Öngördüğü Yeniliklerden Bazıları:
1. Öncelikle, kişisel verilerin korunması konusunda, Kanun, Başbakanlık’la ilişkili, idari ve mali özerkliğe sahip bir Kişisel Verileri Koruma Kurumu (“Kurum”) kurulmasını öngörmektedir. Kurum, 7 üyeden oluşacak bir Kişisel Verileri Koruma Kurulu (karar organı) ve Başkanlıktan (yönetim) meydana gelmektedir. Kişisel Verileri Koruma Kurulu (“Kurul”), kabaca, kişisel verilerin ihlali ile ilgili şikâyetleri karara bağlayacak, veri sorumlularının sicilinin tutulmasını sağlayacak, kişisel veriler Kanun’a uygun işlenmiyorsa idari yaptırımları uygulayacaktır. Ancak hâlihazırda belirtilen sicilin ne şekilde tutulacağına ilişkin bir düzenleme mevcut değildir. Kurul’un re’sen genel bir inceleme yetki ve görevi olmamakla birlikte; Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde, görev alanına giren konularda gerekli incelemeyi yapacaktır.
2. Kurum’un yanı sıra, Kanun’da Veri Sorumlusu ve Veri İşleyen olmak üzere iki yeni kavramla daha karşılaşmaktayız.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sistemlerinin kurulmasından ve yönetilmesinden sorumlu olanlardır. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumu, şirket, dernek, vakıf gibi tüzel kişiler olabilirler.
Veri İşleyen: Veri sorumlusu adına verileri işleyen gerçek veya tüzel kişilerdir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen şirket çalışanları olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi de olabilecektir.
Kanun’un Gerekçesi (“Gerekçe”)’nde, verilen örnek ile veri işleyen ve veri sorumlusu tanımı daha net anlaşılmaktadır. Buna göre: “Bir muhasebe şirketi kendi personeli ile ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken; müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından veri işleyen olarak kabul edilecektir”.
3. Kişisel veri, Kanun’a göre, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” kapsamaktadır. Dolayısı ile kişinin sadece adı, soyadı, doğum tarihi ve yeri değil, buna ilave olarak fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin tüm verileri ile özgeçmişi, pasaport bilgileri, araba plakası, resmi, sesi ve görüntüsü gibi tüm veriler de kişisel veri kapsamı içindedir. Bu verilerin işlenmesinden kasıt ise, verilerin ilk defa elde edilmesinden başlayarak, veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.
4. Kişisel verilerin yurtdışına aktarılması yasağı ve istisnaları da Kanun ile gelen önemli bir yeniliktir. Buna göre, kişisel veriler ilgili kişinin açık rızası olmadan yurtdışına aktarılamaz. Ancak, kişisel rızanın aranmadığı sınırlı durumlardan (örneğin; kişisel verilerin saklanmasının kanunlarda açıkça öngörülmesi, kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması gibi) birinin varlığı halinde
(i) söz konusu verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması (yeterli ülkeler Kurul tarafından belirlenecektir),
(ii) yeterli koruma mevcut değilse, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması kaydıyla
ilgili kişinin açık rızası aranmaksızın yurtdışına kişisel veriler aktarılabilecektir.
B. Kişisel Verilerin İşlenmesinde Genel İlkeler:
1. Hukuka ve dürüstlük kurallarına uyma
2. Doğru ve gerektiğinde güncel olma
3. İşlemenin belirli/açık/meşru bir amaç için gerçekleşmesi
4. İşlemenin amaçla bağlantılı/sınırlı/ölçülü olması
5. Kişisel verilerin mevzuatta öngörülen ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi
Veri sorumlusu yukarıdaki ilkeler ışığında kişisel verileri işleyebilir. Meşru amaçtan kasıt, veri sorumlusunun yaptığı iş ile işlediği verilerin bağlantılı ve işlemenin bunlar için gerekli olmasıdır.
Gerekçe’de “meşru amaca” ilişkin bir örnek verilmiştir. Buna göre; “bir hazır giyim mağazasının müşterilerinin iletişim bilgilerini işlemesi meşru amaç dahilinde görünürken, kan gruplarını toplaması, meşru amaç kapsamında değerlendirilmeyecektir”.
Toplanan verilerin aynı şekilde bu amaçla bağlantılı ve ölçülü olması aranacaktır. Amaçla ilgisi olmayan kişisel verilerin toplanmaya çalışılması, ölçülülük ilkesini ihlal edecektir.
Bir verinin saklanması için geçerli bir sebep olmaması durumunda, o veri silinecek veya anonim hale getirilecektir.
C. Açık Rıza:
Kişisel veriler Kanun’da iki gruba ayrılmıştır: Bunlar kişisel veri ve özel nitelikli kişisel veri’dir. Adından da anlaşılacağı üzere, özel nitelikli kişisel veri, diğer gruba göre daha hassas (siyasi düşünce, din, ırk nitelikleri gibi) veri olarak kabul edilir. Kanun bu verilerin, kural olarak kişinin açık rızası olmaksızın ve yeterli önlemler alınmaksızın işlenememesini hükme bağlamıştır. Sadece Kanun Madde 6’da sayılan sınırlı sayıdaki durumun varlığı halinde (örneğin, bir hakkın kullanılması veya korunması için veri işlenmesinin zorunlu olması, kamu sağlığının korunması, sağlık hizmetlerinin planlanması gibi) rıza aranmadan, bu bilgiler paylaşılabilecektir.
Benzer şekilde Kanun’un 5. Maddesinde de kişisel verilerin kural olarak, ilgili kişinin özgür/yeterli bilgi sahibi olarak/açık ve o işlemle sınırlı olan onayı ile işlenebilmesi öngörülmektedir. Bu onay prosedürüne istisna teşkil edecek durumlar ise, Kanun’un 5. Maddesi, 2. fıkrası ve devamında sıralanmaktadır.
Bu istisnalar aşağıda belirtilmiş olup; özellikle vurgulamak istediklerimiz ise ayrıca örneklenerek açıklanmıştır:
- bendi: Kanunlarda açıkça öngörülmesi halinde kişisel verilerin işlenmesi mümkündür.
- bendi: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde kişisel veri işlenebilir.
- c. bendi: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, yahut
- sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel veri işlenebilir. Örneğin, sözleşmeye göre bir ödeme yapılacak ise, kişinin hesap bilgileri alınabilir yahut banka ile yapılan bireysel kredi sözleşmesinde, kişinin maaş bordrosu, tapu kayıtları, icra borcu olup olmadığına dair bilgiler edinilebilecektir.
- ç. bendi: Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için gerekli bilgiler
- işlenebilir. Örneğin, şirket çalışanının maaşının hesaplanabilmesi ve ödenebilmesi için, kişinin hesap numarası, evli olup olmadığı bilgisi, bakmakla yükümlü olduğu kişilerin bilgisi açık rıza şartı aranmaksızın işlenebilir.
- d. bendi: İlgili kişinin kendisi tarafından kişisel verilerinin alenileştirilmiş olması halinde bunlar işlenebilir.
- e. bendi: Bir hakkın tesisi, korunması ve kullanılması için veri işlemenin zorunlu olması halinde açık rıza aranmaz. Örneğin, şirket, çalışanının kendisine açtığı davada ispat için çalışanına ait bazı verileri kullanabilecektir (aldığı maaş, giriş-çıkış saatleri, performans değerlendirmesi vb.)
- f. bendi: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
- meşru menfaatleri için veri işlenmesinin zorunlu olması halinde açık rıza aranmaz.
- D. Kişisel Veri Sahibinin Hakları:
- Kanun’da kişisel veri sahiplerinin, veri sorumlusuna başvurarak, kendileriyle ilgili talep edebilecekleri hakları sıralanmıştır. Bu haklara ilişkin talepler karşılanmaz, verilen gerekçe de tatminkâr olmaz ise; ilgili kişi, Kurum’a şikâyet mekanizmasını harekete geçirebilecektir. Bu haklar şunlardır:
- a) Kişisel verisinin işlenip işlenmediğini öğrenme,
- b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- c) Kişisel verilerin işlenme amacını ve bunların amacına uygun olarak kullanılıp kullanılmadığını öğrenme,
- ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri öğrenme,
- d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- e) Veri silinmesine dair öngörülen şartlar çerçevesinde, kişisel verilerinin silinmesini veya yok edilmesini isteme,
- f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, bu itiraz hakkında Gerekçe’de şu örnek verilmektedir: Bir çalışanın performansının, onun tarafından yapılan işlerin, otomatik bir sisteme işlenip analiz edilerek, analiz sonucuna göre değerlendirilmesine, çalışanın itiraz edebilmesi bu kapsamda değerlendirilecektir.
- ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
E. Veri Sorumlusunun Yükümlülükleri:
- Veri Sorumluları Sicili/ m. 16: Veri sorumlularının kaydedileceği bir Veri Sorumluları Sicili oluşturulacaktır. Sicil, Kurul’un gözetiminde kamuya açık olarak tutulacaktır. Veri sorumluları veri işlemeye başlamadan önce bu sicile kaydolacaklardır. (Ancak işlenen verilerin niteliği, sayısı, veri işlemenin Kanun’dan kaynaklanması veya üçüncü kişilere aktarılması durumu söz konusu olduğu hallerde Kurul tarafından sicile kayıt zorunluluğuna istisnalar getirilebilecektir).
2. Veri Sorumlusunun Aydınlatma Yükümlülüğü/ m. 10: Veri sorumlusu veya yetkilendirdiği kişi; veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, verilerin kimlere, hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile ilgilinin haklarına ilişkin olarak (bu haklar bültenimizin D bölümünde belirtilmiştir) ilgiliyi bilgilendirmekle yükümlüdürler.
3. Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri/ m. 12: Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almakla yükümlüdür. Eğer verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesini sağlıyor ise, söz konusu tedbirlerin alınması konusunda bu kişilerle birlikte müştereken sorumlu olacaktır. İşlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa zamanda ilgilisine ve Kurul’a bildirmekle yükümlüdür.
4. Şikâyetlerde İlk Mercii: Veri Sorumlusu / m.13: Kişisel veri sahibi, Kanun’un uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmek durumundadır. Talebi alan veri sorumlusu, ücretsiz olarak veya Kurul’un belirleyeceği tarifeye göre alacağı ücret mukabilinde en kısa sürede ve en geç 30 gün içinde talebi incelemeli, kabul etmeli veya gerekçesiyle reddetmeli, cevabı da ilgiliye bildirmelidir. Veri sorumlusu talebi kabul ettiği takdirde, gereğini yerine getirir; ilgili kişinin talebi hususunda veri sorumlusu hatalıysa, alınan ücretin ilgiliye iadesi söz konusu olacaktır.
İlgili kişi talebini ilettiği halde belirlenmiş sürede cevap gelmez, gerekçe yetersiz görülür veya başvuru tamamen reddedilirse, kişi veri sorumlusunun cevabını takiben 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde Kurul’a şikâyette bulunabilir. Kişi, veri sorumlusuna gitmeden doğrudan şikâyet yoluna gidemez. Kişinin, adli, idari yargıdaki dava açma hakkı ile kişilik hakları zedelenenlerin tazminat hakları saklıdır.
Kurul, şikâyet üzerine, Kanun hükümlerinin ihlal edildiği kanaatine varırsa, tespit ettiği aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar verir, kararı tebliğ eder. Bu karar, tebliğinden itibaren 30 gün içinde yerine getirilecektir.
Ayrıca, Kurul’a (i) telafisi güç veya imkânsız durumların doğması ihtimali ile (ii) açıkça hukuka aykırılık şartlarının birlikte var olması durumunda, nihai karardan önce, veri işlenmesinin veya verilerin yurtdışına aktarılmasının durdurulmasına karar verme yetkisi de verilmektedir.
Kurul kararlarına idari yargıda dava açma hakkı mevcuttur.
F. Suçlar ve Kabahatler:
Suçlar konusunda mevcut 5237 sayılı Türk Ceza Kanunumuzun (TCK) 135-140. Maddeleri arasındaki hükümler uygulanmaya devam edecektir. Buna ilaveten, Kanun’un 7. Maddesi uyarınca, “kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel veriler veri sorumlusu tarafından re’sen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hâle getirilir”. Buna aykırı hareket edenler, TCK. 138. Maddesine göre, cezalandırılır.
Kanun’a göre uygulanacak idari yaptırımlar alt ve üst sınır belirtilerek, Madde 18’de sıralanmıştır. Bu yaptırımlar, ‘kabahat’ olarak görülmektedir ve idari para cezası yaptırımına tabidir; idari cezalar Kurum Tarafından uygulanacaktır. Ayrıca, 5326 sayılı Kabahatler Kanununa göre, karar verilirken, kabahatin haksızlık içeriği, failin kusuru ve ekonomik durumu da dikkate alınacaktır. Gerekçe konuyla ilgili şu örneği vermiştir: “Küçük bir şehirde faaliyet gösteren aile şirketi ile ülke çapında faaliyet gösteren bir holdingin Kanun hükümlerini ihlal etmesi halinde belirlenecek idari para cezalarının miktarı ekonomik durumlarına göre farklı olacaktır”. Bu anlamda nispeten büyük işletmelerin konuya daha da hassas yaklaşması gerekmektedir.
Veri sorumlusuna ait yükümlülükler ile bunlara karşı belirlenmiş yaptırımları, izlenmesini kolaylaştırmak adına ekte yer alan tabloda topladık.
Bültenin içeriğindeki mevcut bilgilerin gerek kanunlarla, gerek ikincil mevzuat çerçevesinde ve uygulamadaki örneklerle farklılıklar göstermesi yahut değişik şekillerde yorumlanabilmesi mümkündür. Ayrıca, konuyla ilgili sorumluluk doğurabilecek her durum, somut olay bazında ele alınıp, ona göre değerlendirilmelidir kanaatindeyiz.