Publications Come back

KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN GETİRDİKLERİ

24.04.2016

Giriş

2010 Referandumu ile Anayasa’nın 20’nci maddesine eklenen son fıkrada, kişisel verilerin korunması hakkı, özel hayatın gizliliği kapsamında bir temel hak olarak kabul edilmiş ve kişisel verilerin korunmasına ilişkin esas ve kuralların kanunla düzenleneceği belirtilmiştir. Nihayet 7.4.2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu ile, söz konusu Anayasal hükmün gereği yerine getirilerek kişisel verilerin korunması, yasal bir düzenleme altına alınmıştır. Bu Kanun’un hazırlanması sırasında, kişisel verilerin korunmasına dair 95/46/EC sayılı AB Yönergesi ile üzerinde AB Komisyonu, AB Konseyi ve AB Parlamentosu tarafından uzlaşılan ve yakın gelecekte yürürlüğe girecek olan Genel Kişisel Verilerin Korunması Tüzüğü’nden (“GKVK Tüzüğü”) etkilenilmiştir.

Kişisel verilerin işlenmesi ve devredilmesine ilişkin kapsamlı yükümlülükler yükleyen ve bu yükümlülüklere uyumun denetlenmesi için bağımsız bir kamu otoritesi olarak Kişisel Verileri Koruma Kurulu ve Kurumu’nun kurulmasını öngören 6698 sayılı Kanunu’nun yayımlanmasıyla birlikte, ticari işletmeler, artık müşterilerinin veya kullanıcılarının verilerini işleyip devrederken söz konusu Kanun’a uygunluk denetimi yapması ve sözleşmelerini buna göre şekillendirmesi gerekmektedir. Bu bakımdan, 6698 sayılı Kanunu’nun, Türkiye’deki ticari hayata önemli etkilerinin olması beklenmektedir.

Kişisel verilerin korunmasına ilişkin olarak 6698 sayılı Kanun’un öngördüğü yeni rejim aşağıdaki gibi özetlenebilir.

1. “Kişisel Veri” Kavramı

6698 sayılı Kanun’un uygulama alanının merkezinde “kişisel veri” kavramı bulunmaktadır. Kişisel veri, Kanun’un 3 üncü maddesinin (d) bendine, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu tanım, 95/46/EC sayılı Yönerge ile GKVK Tüzüğü’nde öngörülen “kişisel veri” tanımıyla birebir aynıdır.

Söz konusu tanıma göre, sadece gerçek kişilerin verileri, kişisel veri sayılmaktadır. Buna karşılık, tüzel kişilere ilişkin verilerin işlenmesi ve devredilmesi, 6698 sayılı Kanun’un kapsamı dışında bırakılmıştır. Ölmüş kişilere ait bilgilerin, Kanun kapsamında olup olmadığı konusunda ise bir açıklık söz konusu değildir. GKVK Tüzüğü’nün giriş kısmının 27’inci paragrafında, Tüzüğün ölmüş kişilere ait kişisel verilere uygulanmayacağı açıkça belirtilmiştir.

Kişisel veri kavramının tanımına ilişkin bir diğer önemli husus ise, belirli kişiler yanında, belirlenebilir kişiler hakkındaki bilgilerin de kişisel veri sayılmasıdır. Kanun’da belirlenebilir kişilerin kimler olduğu tanımlanmamıştır. Ancak, maddenin gerekçesinde, belirlenebilme kriteri konusunda bazı açıklamalara yer verilmiştir. Gerekçenin ilgili kısmı şöyledir:

Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar.

Belirlenebilme kriteri, 95/46/EC sayılı Yönerge ve GKVK Tüzüğü’nde ise daha açık tanımlanmıştır. GKVK Tüzüğü’nün 4’üncü maddesinin (a) bendinde, “belirlenebilir gerçek kişi”, “özellikle kimlik numarası, yer bilgisi, online tanımlayıcı gibi bir tanımlayıcı ya da kişinin fiziksel psikolojik, genetik, ruhsal, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktör referans alınarak doğrudan veya dolaylı olarak belirlenebilen kişiler” olarak tanımlanmıştır. Bu kapsamda, diğer bilgilerle birlikte kişinin belirlenmesini sağlamaları halinde IP adresi, çerezler ve benzeri online tanımlayıcılar da kişisel veri kavramının içerisine dahil olmaktadır. AB’deki bu yaklaşımın, Türkiye uygulaması açısından dikkate alınıp alınmayacağı, 6698 sayılı Kanun uyarınca çıkarılacak yönetmelikler ile Kurul ve mahkeme kararlarıyla belli olacaktır.

Gerçek kişiye ilişkin her türlü bilgi, Kanun kapsamında kişisel veri olarak kabul edilmektedir. Bu bakımdan, bir verinin kişisel veri sayılabilmesi için belirli bir hassaslık içermesi şart değildir. Bununla birlikte, aşağıda açıklandığı üzere, 6698 sayılı Kanun’un 6’ncı maddesinde, bir takım kişisel veriler “özel nitelikli kişisel veri” olarak tanımlanmış ve bunların veri sahibinin rızası olmadan işlenebileceği durumlar daha sınırlı tutulmuştur. Söz konusu maddenin ilk fıkrasına göre; “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”, özel nitelikli kişisel veri niteliğindedir.

2. Kişisel Verilerin İşlenmesi

6698 sayılı Kanun, esas olarak kişisel verilerin işlenmesine ilişkin yükümlülük ve hakları düzenlenmektedir. Bu bakımdan önem taşıyan “kişisel verilerin işlenmesi” kavramı, Kanun’un 3’üncü maddesinin (e) bendinde, tanımlanmıştır. Buna göre, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, kişisel verilerin işlenmesi sayılacaktır.

Görüldüğü üzere, “kişisel verilerin işlenmesi” kavramı geniş bir şekilde tanımlanmış, böylece değişik yöntemler ve teknolojiler kullanılarak Kanun hükümlerinin dolanılmasının önüne geçilmiştir.

Bununla birlikte, aynı zamanda bir işlenme hali olarak sayılan kişisel verilerin aktarılması hali, Kanun’un 8 ve 9’uncu maddelerinde özel olarak düzenlenmiştir.

3. Veri Sahibinin Rızası

6698 sayılı Kanun’un 5’inci maddesinde, kişisel verilerin işlenebilmesi için veri sahibinin açık rızasının alınması şart koşulmuştur. Dolayısıyla, söz konusu rıza alınmadan, bir kişisel verinin işlenmesi bazı istisnalar dışında hukuka aykırı olacaktır.

5’inci maddenin gerekçesinde, veri sahibi tarafından verilecek “rıza”nın tanımı konusunda, 95/46/EC sayılı Yönergesi’nde yapılan tanıma atıf yapılmıştır. Buna göre, rıza, “ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddütte yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır”. Bu tanıma rağmen, rızanın elektronik yollar kullanılarak alınması durumlarında, 5’inci madde anlamında açık rızanın varlığı tartışmalı hale gelebilir.

Bu tür belirsizliklerin, Kişisel Verileri Koruma Kurulu’nun ikincil düzenlemeleri ve kararları ile ortadan kaldırılması beklenmektedir. Bu açıdan, AB uygulamaları yol gösterici nitelikte olacaktır.

4. Rıza Alınmasının Gerekli Olmadığı Durumlar

Kural, işleme için veri sahibinin açık rızasının alınması olmakla birlikte; Kanun’da bazı istisnai hallerde rıza alınmadan da kişisel verilen işlenebileceği öngörülmüştür. Kanun’un 6’ncı maddesinde düzenlenen özel nitelikli kişisel veriler dışındaki kişisel veriler, aşağıdaki hallerde ilgili kişinin rızası olmadan işlenebilir:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kanun’un 6’ncı maddesinde ise, özel nitelikli kişisel verilerin daha sınırlı hallerde veri sahibinin rızası olmaksızın işlenebileceği kabul edilmiştir. Kanun, bu bakımdan özel nitelikli kişisel veriler arasında da bir ayrıma giderek sağlık ve cinsel hayata ilişkin kişisel veriler ile diğer özel nitelikli kişisel verilerin rıza olmaksızın işlenebileceği halleri farklı düzenlemiştir.

Buna göre, sağlık ve cinsel hayat dışında kişisel veriler, ancak kanunlarda öngörülen hâllerde veri sahibinin açık rızası aranmaksızın işlenebilir. Kanunlarda öngörülme hali dışında, Kanun’un 5 inci maddesinin ikinci fırkasının (b) ile (f) bentleri arasında sayılan istisnalara, özel nitelikli kişisel veriler açısından yer verilmemiştir. Sağlık ve cinsel hayata ilişkin kişisel verilerin rıza olmaksızın işlenebileceği haller ise, daha da sınırlandırılmıştır. Bu tür veriler; ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

5. Kanun’un Kapsamı Dışında Kalan Durumlar

Rıza gerekmeksizin kişisel verilerin işlenebileceği durumlara ek olarak, Kanun’un 28’inci maddesinin ilk fıkrasında, tamamen Kanun’un kapsamı dışında kalan kişisel verilerin işlenmesi halleri sayılmıştır. Bu hallerde de kişisel veriler rıza alınmaksızın işlenebilir. Söz konusu haller şunlardır:

a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,

b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi

ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,

d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesidir.

6. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi

Kişisel verilerin bir kere hukuken işlenmiş olması, bu verilerin artık ilelebet elde tutulabileceği anlamına gelmemektedir. Kanun’un 7’nci maddesinin ilk fıkrasına göre, hukuka uygun olarak işlenmiş olan kişisel veriler, işlenmelerini gerektiren sebeplerin ortadan kalkması hâlinde resen veya veri sahibinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

Bu madde kapsamda verilerin silinmesi ve yok edilmesinden kasıt, verinin geri dönüştürülmesi mümkün olmayacak şekilde ortadan kaldırılmasıdır. Verinin anonim hale getirilmesi ise, Kanun’un 3’üncü maddesinin (b) bendinde “kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” olarak tanımlanmıştır. Kurul, kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasları bir yönetmelikle düzenleyecektir.

7. Kişisel Verilerin Yurt İçinde ve Yurtdışına Aktarılması

6698 sayılı Kanun’un 8 ve 9’uncu maddelerinde, kişisel verilerin işlenmesinin özel bir türü olan kişisel verilerin aktarılması düzenlenmiştir. Kişisel verilerin yurt içinde üçüncü kişilere aktarımını düzenleyen 8’inci maddenin ilk fıkrasına göre, ilgili kişinin açık rızası olmaksızın kişisel veriler üçüncü kişilere aktarılamaz.

Dolayısıyla, kişisel verilerin üçüncü kişilere aktarılacağı durumlarda, kişisel verilerin işlenmesi üst başlığı için rıza alınması tek başına yeterli olmayacak, özel olarak kişisel verilerin üçüncü kişilere aktarımı için rıza alınması gerekli olacaktır. Kanun’un 10’uncu maddesinin (b) ve (c) bentleri de, bu hususu doğrulamaktadır

Kanun’un 8’inci maddesinin ikinci fıkrasında, kişisel verilerin işlenmesine ilişkin 5 ve 6’ncı maddelerde belirtilen açık rızanın aranmadığı istisnai hallerin, kişisel verilerin aktarılması açısından da uygulanacağı belirtilmiştir.

Kanun’un 9’uncu maddesi ise, kişisel verilerin yurt dışına aktarılmasını özel olarak düzenlemiştir. Buna göre, eğer kişisel veriler yurt dışına aktarılacaksa, bunun için kural olarak veri sahibinin özel olarak rızasının alınması gerekmektedir. Bu bakımdan, genel olarak kişisel verinin aktarımı için verilen rıza, verilerin yurt dışına aktarımı için tek başına yeterli olmayacaktır.

Kanun’un 9’uncu maddesine göre, kişisel verilerin veri sahibinin rızası olmaksızın yurtdışına aktarılabilmesi için, Kanun’un 5 ve 6’ncı maddelerinde belirtilen istisnai hallerin bulunmasının yanısıra, ya (a) kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması ya da (b) Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun buna izin vermesi gereklidir.

Yeterli koruma bulunan yabancı ülkeler Kurul tarafından belirlenecektir. Kurul, bu belirlemeyi yaparken veya kişisel verilerin yabancı ülkelere aktarılmasına ilişkin izin taleplerini değerlendirirken, Kanun’un 9’uncu maddesinin dördüncü fıkrasındaki kriterleri dikkate alacaktır.

Kanun’un 9’uncu maddesinin 5’inci fırkasında, “Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir” denilmektedir. Kanun’un meclisteki görüşmeleri sırasında eklenen bu hüküm, Türkiye’nin veya veri sahibinin menfaatinin ciddi bir şekilde zarar görüp görmediğinin değerlendirilmesini zorunlu kıldığı için, uygulamada veri sorumluları açısından önemli belirsizlikler yaratabilir niteliktedir.

8. Veri Sahibinin Hakları

6698 sayılı Kanun’un 11’inci maddesinde, kişisel verileri işlenen kişilerin sahip olduğu haklar düzenlenmektedir. Bu haklar şunlardır:

  1. Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. Kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Söz konusu maddede sayılan en önemli haklarından biri, veri sahibinin hukuka aykırı olarak verilerinin işlenmesi halinde tazminat talep edebilecek olmasıdır. Böylece, 6698 sayılı Kanun’un hükümlerine aykırılık halinde tazminat davası açılıp açılamayacağı yönündeki olası tartışmaların önü kesilmiştir. Bu tazminat hakkı aynı zamanda, Kişisel Verileri Koruma Kurulu henüz kurulup faaliyete geçmeden önce Kanun’un uygulama alanı bulmasını sağlamaktadır.

Veri sahibinin zararın giderilmesini talep etme hakkı dışındaki hakları, Kanun’un 28’inci maddesinin ikinci fırkasında belirtilen hallerde kullanılamayacaktır.

9. Veri Sorumlusu ve Yükümlülükleri

6698 sayılı Kanun’un 3’üncü maddesinin (ı) bendinde, veri sorumlusu “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Veri sorumluları, gerçek kişiler olabileceği, kamu kurumları, şirketler ve vakıflar gibi tüzel kişiler de olabilir.

Bir kimsenin veri sorumlusu sayılıp Kanun kapsamına girebilmesi için, bir veri kayıt sistemini yönetiyor olması gerekir. Bu bakımdan, veri kayıt sisteminin tanımı, Kanun’un kapsamının belirlenmesi açısından oldukça önemlidir.

Kanun’un 3’üncü maddesinde veri kayıt sitemi, “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” olarak tanımlanıştır. Kanun’un gerekçesinde, elektronik veya fiziksel ortamda oluşturulabilecek olan veri kayıt sistemlerinde kişisel verilerin sınıflandırılmasının; kişilerin ad, soyad veya kimlik numarası üzerinden yapılabileceği gibi, kredi borcunun ödenip ödenmemesine göre de yapılabileceği belirtilmiştir.

Ancak, herhangi bir sınıflandırma içeremeyecek şekilde kişisel verilerin bir araya getirilmesi halinde, bir veri kayıt sisteminden bahsedilemeyecektir. 95/46/EC sayılı Yönerge ve GKVK Tüzüğü’nde belirli bir kritere göre sınıflandırılmamış dosyaların, Yönerge veya Tüzüğün kapsamında olmadığı belirtilmiştir. Aynı durumun 6698 sayılı Kanun açısından da söz konusu olacağı söylenebilir. Bu çerçevede, herhangi bir sınıflandırma içermeksizin kişilere ait bilgileri içeren dosyaların bir araya getirilmesi Kanun’un kapsamı dışında kabul edilecektir.

Veri sorumlusu, kişisel verileri bizzat işleyebileceği gibi, bu işlem için bir üçüncü kişiyi kullanabilir. Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen bu tür gerçek veya tüzel kişiler, Kanun’un 3’üncü maddesinin (ğ) bendinde “veri işleyen” olarak adlandırılmıştır. Kanun’da kişisel verilerin korunmasına ilişkin yer alan bazı yükümlülükler, veri sorumluları yanında veri işleyenler için de getirilmiştir.

Veri sorumlularının Kanun’da öngörülen başlıca sorumlulukları aşağıda açıklanmıştır.

9.1. Aydınlatma Yükümlülüğü

Veri sorumlusu, Kanun’un 10’uncu maddesi uyarınca kişisel verileri elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri veri sahibine sağlamakla yükümlüdür:

  1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. Veri sahibinin 11 inci maddede sayılan diğer hakları.

28’inci maddesinin ikinci fıkrasında, bazı hallerde veri sorumlusunun aydınlatma yükümlülüğünün söz konusu olmayacağı düzenlenmiştir. Bu haller şunlardır:

a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olmasıdır.

 

 

9.2. Veri Güvenliğinim Sağlanmasına İlişkin Yükümlülükler

Kanun’un 12’inci maddesinin ilk fırkasına göre, veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  •  Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Maddenin üçüncü fırkasına göre, veri sorumlusu, ayrıca kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

12’nci maddenin ilk fıkrasında sadece veri sorumluları açısından söz konusu tedbir alma yükümlülüklerinden bahsedilmiştir. Ancak, maddenin ikinci fırkasında, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, veri sorumlusunun bahsi geçen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacağı öngörülmüştür. Bu çerçevede, veri işleyenlerin de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altında olduğu söylenebilir.

Nitekim 12’inci maddenin dördüncü fırkasında, veri sorumlularının yanında veri işleyen kişilerin de, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamaları ve işleme amacı dışında kullanmaları yasaklanmıştır. Bu yükümlülük, veri işleyenlerin görevden ayrılmasından sonra da devam edecektir.

Verilerin güvenliğine ilişkin veri sorumlularına getirilen bir diğer yükümlülük ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirilmesidir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

9.3. Veri Sahipleri Tarafından Yapılan Başvuruların Cevaplanması ve Kurul Kararlarının Yerine Getirilmesi

Veri Sorumluları; Kanun’un 13’üncü maddesi uyarınca, veri sahipleri tarafından yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle kendisine iletilen Kanun’un uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, veri sorumlusu, Kurul’ca belirlenen tarifedeki ücretleri başvuruda bulunan veri sahibinden isteyebilir; şu kadar ki, başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Veri sorumlusu, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; veri sahibi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir.

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.

9.4. Veri Sorumluları Siciline Kaydolma Yükümlülüğü

6698 sayılı Kanun’un 16’ncı maddesinde, Kişisel Verileri Koruma Kurumu tarafından kamuya açık şekilde bir Veri Sorumluları Sicili tutulacağı ve kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce bu Sicile kaydolmak zorunda olduğu düzenlenmiştir.

Ancak, hiçbir ayrım yapmadan tüm veri sorumlularına bu türlü bir yükümlülük getirilmesinin uygulamada yaratacağı sıkıntılar düşünülerek; 16’ncı maddenin ikinci fırkasında, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna istisnalar getirilebileceği öngörülmüştür. Kurul, bir yönetmelik çıkartarak bu istinaslar ile Veri Sorumluları Siciline ilişkin diğer usul ve esasları düzenleyecektir.

Kurul, Kanun’un Geçici 1’inci maddesinin ikinci fırkası uyarınca ayrıca Veri Sorumluları Siciline kayıt yaptırılması gereken süreyi belirleyip ilan edecektir. Kurul tarafından belirlenen süreye kadar, veri sorumluları, Veri Sorumluları Siciline kaydolmadan verileri işleyebilecektir.

Veri Sorumluları Siciline kaydolma yükümlülüğü, Kanun’un 28’inci maddesinin ikinci fırkasında sayılan hallerde söz konusu olmayacaktır.

10. Cezai ve İdari Yaptırımlar

10.1. Cezai Yaptırımlar

Kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi ve yok edilmemesi, 5271 sayılı Türk Ceza Kanunu’nun (“TCK”) 135 ila 140’ıncı maddeleri arasında özel bir suç türü olarak düzenlenmiştir. 6698 sayılı Kanun’un 17’nci maddesinde, TCK’nın söz konusu hükümlerine atıf yapılarak, kişisel verilere ilişkin suçlar bakımından bu hükümlerin uygulanacağı belirtilmiştir.

Veri sorumlusunun genellikle bir tüzel kişi olacağı dikkate alındığında, TCK uyarınca kişisel verilerin hukuka aykırı olarak işlenmesinden tüzel kişinin hangi görevlilerinin sorumlu olacağının belirlenmesi, önemli bir problem olarak ortaya çıkmaktadır.

Yönetim kurulu tarafından veri kayıt sisteminin yönetilmesi konusunda bir yetki devri yapılmamış olması halinde, kişisel verilerin hukuka aykırı olarak işlenmesi sebebiyle tüm yönetim kurulu üyelerinin cezai sorumluluk riskiyle karşılaşması söz konusu olabilir. 6698 sayılı Kanun’la uyumu sağlamak ve söz konusu cezai sorumluluk riskini azaltabilmek için, özellikle şirketlerin, AB ve ABD uygulamasında olduğu gibi veriden sorumlu bir yönetici (chief data officer) atama yöntemini seçmeleri mümkündür. Bu halde, cezai sorumluluk öncelikli olarak chief data officer’e ait olacaktır. Ancak, kişisel verilerin hukuka aykırı olarak işlenmesine katılan yönetim kurulu üyelerinin cezai sorumluluğu yine gündeme gelebilecektir. Bu konudaki uygulamanın detayları, Yargıtay kararları ile netlik kazanacaktır.

10.2. İdari Yaptırımlar

6698 sayılı Kanun’un “Kabahatler” başlıklı 18’inci maddesinde, Kanun’da öngörülen bazı yükümlülüklerin ihlali halinde Kurul tarafından çeşitli oranlarda idari para cezası uygulanabileceği öngörülmüştür. Buna göre, Kurul;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulayabilir.

Yukarıda sayılan idari para cezaları, ancak gerçek kişi veya özel hukuk tüzel kişisi olan veri sorumluları hakkında uygulanabilir. Bu bakımdan kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları hakkında söz konusu yaptırımların uygulanması mümkün değildir. Ancak, 18’inci maddenin son fırkasında, söz konusu ihlallerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurul’un yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucun Kurul’a bildirileceği düzenlenmiştir.

Veri işleyenler hakkında da, 12’nci maddede öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmemeleri halinde, bu ihlal için öngörülen idari para cezası uygulanabilir.

11. Kanun’un Yürürlüğü ve Önceden İşlenmiş Kişisel Verilerin Durumu

Kanun’un yürürlüğünü düzenleyen 32’nci maddesine göre, (i) kişisel verilerin aktarılmasını düzenleyen 8 ve 9 uncu maddeler, (ii) veri sahiplerinin haklarını düzenleyen 11’inci madde, (iii) başvuru, şikâyet ve Veri Sorumluları Sicilini düzenleyen 13, 14, 15 ve 16’ncı maddeler ve de (iv) cezai ve idari yaptırımları düzenleyen 17 ve 18 inci maddeler, Kanun’un yayımı tarihinden altı ay sonra, diğer maddeler ise Kanun’un yayımı tarihinde yürürlüğe girer.

Kanun’un Geçici 1’inci maddesinin üçüncü fırkası, halihazırda işlenmiş kişisel verilerin durumunu düzenlenmiştir. Buna göre, Kanun’un yayımı tarihinden önce işlenmiş olan kişisel veriler, Kanun’un yayımı tarihinden itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilir. Bu süreç içerisinde Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir.

Buna karşılık, Kanun’un yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, Kanun’a uygun kabul edilir.

 

LBF PARTNERS OLARAK SUNDUĞUMUZ HUKUKİ HİZMETLER

LBF Partners olarak, müvekkillerimize:

  • 6698 sayılı Kanun ile getirilen yeni rejimde tabi oldukları yükümlülüklerin belirlenmesi,
  • bu yükümlülüklerin Kanun’a uygun bir şekilde yerine getirilmesi için sahip oldukları veri kayıt sistemlerinin ve müşteri veya kullanıcılar ile yaptıkları sözleşmelerin gözden geçirilmesi ve revize edilmesi,
  • Kanun ile eksiksiz uyumun sağlanması için şirket içi eğitimler düzenlenmesi ve uyum kılavuzlarının hazırlanması,

dahil kişisel verilerin korunmasına ilişkin her türlü hukuki danışmanlık hizmetini sunmaktayız. Bu konuda hukuki desteğe ihtiyaç duymanız halinde, info@lbfpartners.com adresinden bizimle iletişime geçebilirsiniz.

View in PDF Format