Gülaç Hukuk

Search
Gülaç Bulletin 6698 Sayılı Kişisel Verilerin Korunması Kanunu

6698 Sayılı Kişisel Verilerin Korunması Kanunu

A. GİRİŞ

6698 Sayılı Kişisel Verilerin Korunması Kanunu 7.4.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Günümüzde teknoloji kontrol edilemez biçimde gelişmekte ve birçok yararla birlikte kişisel anlamda pek çok tehlikeyi de beraberinde getirmektedir. Teknolojinin hayatımızın büyük bölümünü kapsadığı günümüzde, hiçbir yaş farkı gözetmeksizin herkes teknolojiyle ve analitik uygulamalar ile bir bağ içindedir. Her gün bilerek ya da farkında olmaksızın kişisel bilgilerimizi farklı devlet kurumları ve özel kurumlarla paylaşmaktayız. Facebook, Twitter gibi sosyal medya hesaplarının yanı sıra devlet kurumları ve özel kuruluşlar ile şirketler de bireyler hakkında önemli miktarda veriyi toplamakta, saklamakta, işlemekte ve paylaşmaktadırlar. İşbu yazımızın konusu ağırlıklı olarak, şirketleri ve kurumları kapsamaktadır. En basitinden şirket işe alımlarında sunulan CV’ler, şirketlerde verimlilik denetimi, müşteri memnuniyet programları gibi kayıt almak için kullanılan her çeşit maktu formlar, müşteri kayıt sistemleri, internet uygulamaları, insan kaynakları sistemleri, e-posta sistemleri üzerindeki kayıtlar vb. tüm işlemler ile kişisel bilgilerimiz kopyalanıp işlenmektedir. Bu durum, kişilerin bilgilerinin kontrolünü kaybederek, bu bilgilerin kendilerine karşı kullanılması tehlikesini de beraberinde getirmektedir. Kişisel verilerin korunması demokratik hukuk devletleri için önem arz eden bir husustur, zira demokratik ülkelerde özel hayatın gizliliği esastır.

B. KİŞİSEL BİLGİLER NELERDİR?

Kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel bilgilerdir. Diğer bir anlatımla, kişiyle özdeşleşmiş, kişiyi ayırt edilebilir yapan tüm veriler kişisel verilerdir. Anayasa Mahkemesinin 09.04.2014 tarihli kararına göre; kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade eder.

Kişinin adı, soyadı, doğum tarihi ve doğum yeri gibi kimlik bilgileriyle birlikte telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmişi, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobileri, tercihleri, etkileşimde bulunan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan ve dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamında değerlendirilmelidir. Görüldüğü gibi alışveriş yaptığımız mağazalarda dahi bizden istenen bu veriler, koruma kapsamındaki kişisel verilerimizi oluşturmaktadır.

C. KİŞİSEL BİLGİLERİMİZ ÜZERİNDEKİ HAKKIMIZI NASIL KORUYABİLİRİZ

Kişisel verilerin korunması, bireylerin verilerinin başka kişi veya kuruluşlar tarafından yetkisiz olarak kullanımına karşı sahip oldukları bir haktır.

Bu hakkın korunmasıyla ilgili kişisel verilerin korunması kanunu, 24 Mart 2016 tarihinde TBMM’nde kabul edilerek kanunlaşmış ve 07 Nisan 2016 tarihli resmi gazete’de yayımlanarak yürürlüğe girmiştir.

Bu kanunla, kişilerin öncelikle “insan onurunun” korunması amaçlanmaktadır.

T.C. anayasa’sının özel hayatın gizliliğini düzenleyen 20. Maddesine sonradan eklenen son fıkrası ile de, “ herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir .” denilmek suretiyle kişisel veriler anayasal güvence altına alınmıştır.

D. KİŞİSEL VERİLERİN KORUNMASI HAKKI HANGİ DURUMLARI KAPSAR?

D.1 Kişisel Verilerin İşlenmesi

“Kişisel verinin işlenmesi”, toplama, kaydetme, düzenleme, saklama, uyarlama veya değiştirme, geri alma, danışma, kullanma, ileti ile açığa çıkarma, yayma veya başka şekilde oluşturma, sıraya koyma veya birleştirme, engelleme, silme veya yok etme gibi otomatik olan veya olmayan araçlarla, kişisel veri üzerinde uygulanan her türden işlem veya işlem dizisi anlamına gelir”

6698 Sayılı Kanuna göre bu işlemenin hukuka ve kanuna uygun, işleme amacıyla sınırlı ve ölçülü olması gerekir.

En önemlisi, kişisel verilerin işlenebilmesi için ilgili kişinin AÇIK RIZASI bulunması gerekir.

Yani bu tipte kişisel verilerimizin özel veya resmi kurum veya kuruluşlar tarafından kayıt altına alınabilmesi ve gerektiğinde kullanılabilmesi, başka kurum veya kuruluşlarla paylaşılabilmesi için kayıt altına alma ve kullanma nedenlerinin bize açıklanması ve bu konuda açık rızamızın alınması gerekmektedir.

Bu durumda kişisel verilerimizin kayıt altına alınması ve gerektiğinde paylaşılabilmesi için iki atlanamaz hususun yerine getirilmesi şarttır.

  1. Kişisel verilerinin hangi amaçla kayıt altına alındığı, hangi şartlarda kimlerle hangi sınırlar çerçevesinde paylaşılabileceği, bu paylaşımın hangi kişisel verileri ne ölçüde kapsadığı konusunda kişisel veri sahibinin bilgilendirilmesi
  2. Bilgilendirmenin ardından kişisel veri sahibinin açık rızasının alınması

Kanun kişisel verilerin yanı sıra bir de “özel nitelikli kişisel veri” kavramı belirlemiştir. Kişilerin;

  • ırkı,
  • etnik kökeni,
  • siyasi düşüncesi,
  • felsefi inancı,
  • dini, mezhebi veya diğer inançları,
  • kılık ve kıyafeti,
  • dernek, vakıf ya da sendika üyeliği,
  • sağlığı,
  • cinsel hayatı,
  • ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
  • biyometrik ve genetik verileri

özel nitelikli kişisel veridir. Bu verilerin de işlenebilmesi, kopyalanabilmesi, yurt dışına aktarılabilmesi için ilgili kişinin açık rızası gerekir. Bu rıza kişinin özgür iradesi sonucu olmalı ve hiçbir etki altında kalınmadan verilmelidir.

İSTİSNA: Ancak, istisnai hallerde yukarıda sayılan verilerden sağlık ve cinsel hayat dışındakiler, kanunda sayılan özel hallerde ilgilinin rızası olmadan da işlenebilir. Fakat bu durumda dahi sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

D.2 Kişisel Verilerin Silinmesi

6698 Sayılı Kanunun 7. Maddesi uyarınca; söz konusu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

E. VERİ SORUMLUSU KİMDİR?

Yeni kanunla kurum ve şirketlere veri sorumlusu bulundurma zorunluluğu getirilmiştir. Veri Sorumlusu, en basit tanımıyla Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.

Veri sorumlusunun görevleri;

i. kişisel verilerin hukuka aykırı işlenmesini önlemek,

ii. kişisel verilere hukuka aykırı erişilmesini önlemek

iii. kişisel verilerin muhafazasını sağlamaktır.

Kişisel veri sorumlusu, verilerin elde edilmesi sırasında ilgili kişileri verilerin hangi amaçla işleneceği, kimlere aktarılabileceği ve kişisel verinin hangi yöntemle toplanacağı konusunda aydınlatmakla yükümlüdür.

Bunun yanında ilgili kişiler veri sorumlusundan aşağıda yazan konularda bilgi isteme hakkına da sahiptir;

i. Kişisel verilerin işlenip işlenmediğini öğrenme,

ii. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

iii. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

iv. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

v. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,

vi. Kişisel verilerin silinmesini veya yok edilmesini isteme,

vii. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

viii. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

Veri sorumlusu, kendisine yapılan başvuruları en geç 30 gün içinde ücretsiz olarak sonuçlandırır. İlgili kişi başvurusunun reddedilmesi, değerlendirilmemesi veya eksik değerlendirilmesi üzerine veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 gün, her halde başvuru tarihinden itibaren 60 gün içinde yeni kanunla kurulan ve merkezi Başbakanlığa bağlı Kişisel Verileri Koruma Kurumu’na başvurabilir. Ancak bu kurula başvurabilmek için başvuru şartlarını tüketmiş olmak gerekmektedir. Yani kişi Kurul’a ancak veri sorumlusuna başvurduktan ve sonuç elde edemedikten veya başvurusu reddedildikten sonra başvurabilecektir. Kuruldan 60 gün içersinde yanıt gelmediği taktirde başvuru reddedilmiş sayılır.

F. KİMLER ŞİKAYETTE BULUNABİLİR?

Kişisel hakları ihlal edilen veya talep ettikleri bilgilere erişimleri geçerli bir sebep olmaksızın sağlanmayan tüm gerçek kişiler şikâyet yoluna başvurabilir. Tüzel kişilerin bilgilerinin korunması bu Kanunun kapsamında yer almamaktadır.

Bunun yanında hakkı ihlâl edilen gerçek kişiler, haklarını ihlâl eden ve kişisel verilerini izinleri olmaksızın işleyen, dağıtan, paylaşan hem gerçek hem de tüzel kişilere karşı şikayet haklarını kullanabileceklerdir.

Yazımızda da belirttiğimiz gibi, günlük hayatta bizden istenilen veya elde edilen kişisel verilerimizi şirket ya da kurumlara sunarken prosedür gereği olduğunu düşünerek önemsemediğimiz, fakat büyük mağduriyetler yaratabilecek olan bu hususa karşı bilinçli olunması ve kişisel verilerimizi talep eden kurum ya da şirketlere karşı ne gibi haklarımız bulunduğunun bilinmesi, hak ihlâllerinin ve mağduriyetlerin önlenmesi konusunda büyük önem taşımaktadır.

G. YENİ YASAYLA UYUM SÜRECİNDE ŞİRKET VE KURUMLARA DÜŞEN YÜKÜMLÜLÜKLER NELERDİR?

Yeni kanun 07.04.2016 tarihinde yürürlüğe girmiş olmakla birlikte kanunun kişisel verilerin üçüncü kişilere veya yurtdışına aktarılması, ilgili kişinin hakları, başvuru ve şikâyet, suçlar ve idari para cezalarına ilişkin hükümleri kanunun yayımı tarihinden itibaren 6 ay sonra yani 07.10.2016 tarihinde yürürlüğe girecek olarak belirlenmiştir. Dolayısıyla yeni kanun veri işleyen kurum veya kuruluşlar için bir uyum süreci öngörmüştür.

Kanuna göre kanunun yayım tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu kanun hükümlerine uygun hâle getirilir. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu kanuna uygun kabul edilir.

Kanunun veri işleyen kurum veya kuruluşlara getirdiği bir diğer yükümlülük de veri sorumluları siciline kayıt zorunluluğudur. Kanun uyarınca veri sorumluları sicili Kurulun gözetiminde, Başkanlık tarafından, kamuya açık olarak tutulur. Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

Ancak Veri Sorumluları Siciline kayıt zorunluluğunun da bazı istisnaları vardır:

i. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

ii. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

iii. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

iv. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

v. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi hallerinde veri sorumluları siciline kayır zorunluluğu bulunmamaktadır.

Ayrıca kanunun 28. maddesi uyarınca aşağıda sayılan hallerde, Kişisel Verilerin Korunması Kanunu hükümleri uygulanmayacaktır.

H. KANUNUN İSTİSNALARI NELERDİR?

i. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

ii. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

iii. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

iv. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

Görüldüğü üzere, veri işleme programına sahip şirket ve kurumların da yeni kanunla kendilerine yüklenen yükümlülükleri bilmesi ve olası para cezaları ve hürriyeti bağlayıcı cezaların önüne geçebilmek için bu konuda önlemlerini alması ve şirketlerini/kurumlarını yeni yasayla entegre hale getirecek çalışmaları yapması şirketlerin/kurumların yararına olacaktır.

 

Saygılarımızla,
Gülaç Hukuk Bürosu

Kişisel verilerinizin Gülaç Hukuk tarafından işlenme amaçları hakkında daha detaylı bilgi için Aydınlatma Metni’ni okumanızı tavsiye ederiz.