6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016’da Resmi Gazetede yayınlanarak yürürlüğe girdi. Avrupa Birliği ülkeleri başta olmak üzere pek çok yabancı ülkenin hukuk sisteminde uzun süredir benimsenmiş olan kişisel verilerin korunması ilkeleri, Türk hukukunda da yer alması gereken önemli bir eksiklikti. Kişisel verilerin korunmasına yönelik kapsamlı ve yeterli bir hukuki alt yapı olmaması, hem verileri işlenen kişiler bakımından ciddi bir güvenlik riski oluşturmakta, hem kişisel veri işleyen şirketlerin itibar ve güvenilirliklerini zedelemekte, hem de uluslararası alanda Türkiye ve Türk firmaları açısından önemli bir sorun teşkil etmekteydi. Kişisel Verilerin Korunması Kanunu, Türk kişisel veri koruma hukukunun temel çerçevesini oluşturmuş oldu. Böylelikle ticari ve sosyal hayatın vazgeçilmez bir parçası olan kişisel veri işleme faaliyetleri bakımından yeni bir dönem başladı. Kişisel verilerin korunması alanında uluslararası kabul görmüş ilkeleri benimseyen Kanun, verilerin hukuka uygun ve güvenli bir şekilde tutulmasını garanti altına alarak sektördekiler bakımından bir güvenlik zemini oluştururken, kişisel veri işleyen kamu ve özel sektör aktörleri için de önemli yükümlülük ve sorumluluklar getirdi.

Bilişim hukuku ve ceza hukuku konularında çalışmalar yapan Doç. Dr. Murat Volkan Dülger ile kişisel verileri koruma kanunu hakkında konuştuk;

Kişisel veri, özel nitelikli (hassas) veri ve kişisel verilerin işlenmesi ne anlama gelmektedir?

Kimliği belirli ya da belirlenebilir gerçek kişilere ilişkin her türlü veri, kişisel veridir. Daha açık bir anlatımla bir kişiye ait ayırt edici özellikteki tüm bilgiler kişisel veri niteliğindedir. Örneğin; isim, soy isim, adres, telefon, e-mail gibi iletişim bilgileri, kimlik numarası, vergi numarası, aile bilgileri, eğitim bilgileri, hesap veya harcama bilgileri kişisel verilerdir. Kişisel verilerin işlenmesi ise yukarda belirttiğim verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Buna göre, faaliyetinin bir parçası ya da gereği olarak müşterilerine, çalışanlarına, tedarikçilerine veya başkaca üçüncü kişilere ait verilerin kaydını tutan özel ve kamu sektörü aktörleri kişisel veri işlemektedir ve Kişisel Verilerin Korunması Kanunuyla getirilen yükümlülüklerin muhatabıdır.

Bir takım veriler daha özel nitelikte olmaları itibariyle hassas ya da kanunun ifadesiyle ”özel nitelikli” veridir. Kanun tarafından hassas veri kabul edilen veri türleri; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri’dir. Hassas verilerin işlenmesi, daha ayrıntılı esaslara tabi tutulmuş olup, bu verilerin korunmasına ilişkin ihlaller daha ağır sorumluluğa neden olabilmektedir. Bu nedenle Kişisel Verilerin Korunması Kanunuyla getirilen sorumlulukların en önemli muhatabı başta sağlık, finans ve bilişim kuruluşları olmak üzere hassas veri işleyen kişi ve kurumlardır.

Kişisel verileri işleme koşulları nelerdir?

Kişisel verileri işlemek için ana koşul, verilerinin işlenmesi konusunda ilgili kişinin açık rızasının alınmasıdır. Ancak bazı istisnai durumlarda veriler, genel ilkelere uygun olmak koşuluyla, açık rıza olmaksızın da işlenebilir.

Açık rıza aranmayan haller;

  • Kanunlarda açıkça öngörülmesi
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Hassas veriler bakımından da ana koşul ilgilinin açık rızasının alınmış olmasıdır. Bu veriler bakımından ilgilinin rızası olmaksızın veri işlemenin mümkün olduğu haller ise çok daha kısıtlıdır. Sağlık ve cinsel hayata ilişkin olanlar hariç, hassas veriler kanunda açıkça öngörülmedikçe açık rıza olmaksızın işlenemezler. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak; kamu sağlığının korunması; koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi; sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ve sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Kişisel verilerin transferi koşulları nelerdir?

Kişisel verilerin transferi bakımından da ana koşul ilgili kişinin açık rızasının bulunmasıdır. Aksi halde veriler üçüncü kişilere transfer edilemez. Ancak verilerin işlenmesi bakımından istisna bulunan hallerde verilerin transferi bakımından da istisna söz konusudur. Bu hallerde açık rıza olmaksızın da veriler genel ilkelere uygun olmak koşuluyla üçüncü kişilere transfer edilebilir. Kişisel verilerin yurt dışına transferi ise çok daha sıkı koşullara bağlanmıştır. Buna göre verilerin transferine ilişkin istisna hallerinden birinin bulunmasına ilaveten verilerin transfer edileceği ülkenin kişisel veriler konusunda yeterli korumaya sahip olması gerekmektedir. Verilerin transfer edileceği ülke veri koruma konusunda yeterli korumaya sahip değilse; Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulundan izin almaları gerekmektedir.

Veri sahiplerinin hakları nelerdir?

Veri sahipleri, yani haklarında veri işlenen kişiler, veri işleyen kişi ve kurumlara başvurarak bazı taleplerde bulunma hakkına sahiptirler. Veri sahiplerinin talepte bulunabileceği başlıca konular;

  • Kişisel veri işlenip işlenmediğini öğrenme
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme ve kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme.

Kişisel Verileri Korunması Kanunu ve sair mevzuatla getirilmiş diğer yükümlülükler nelerdir?

Veri işleyen kişi ve kurumlar, aydınlatma yükümlülüğü ile Kişisel Verilerin Korunması Kurulu’nun istediği, bilgi-belgeleri sunma gibi yükümlülükler başta olmak üzere pek çok ilave yükümlülük altındadır. İlgili uluslararası sözleşmeler ve özel kanunlar verilerin korunması konusunda yükümlülükler getirmektedir. Ayrıca Kişisel Verilerin Korunması Kurulu tarafından alınacak kararlar ve çıkarılacak tebliğler de veri işleyen kişi ve kurumlar için bağlayıcı niteliktedir.

Yükümlülüklerin denetimi nasıl yapılacaktır?

Kişisel Verilerin Korunması Kanunu ve beraberinde getirdiği kişisel veri koruma rejimi, veri sahiplerine getirilen güvencelerle veri işleyen kişi ve kurumlara getirilen yükümlülüklerin sağlanması için üçlü bir denetim mekanizması öngörmüştür. Veri işleyen kişi ve kurumların yükümlülüklerine riayet edip etmedikleri, veri sahipleri, Kişisel Verilerin Korunması Kurulu ve Cumhuriyet Savcılıkları tarafından denetlenecektir.

Kişisel Verilerin Korunması Kanununa Uyumlu Hale Gelinmemesi Halinde Karşılaşılabilecek Yaptırımlar Nelerdir?

Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, verileri hukuka uygun şekilde işlemeyen veya korumayanlar hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar ve veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, her ihlal için ayrı ayrı olmak üzere idari para cezaları öngörülmüştür.

Bununla birlikte veri sahipleri tarafından yapılacak şikayetler üzerine başlatılacak soruşturmalarda kasten verileri hukuka aykırı olarak işlediği, hukuka uygun olarak işlemiş olsa bile gerekli sürelerin sonunda yok etmediği veya üçüncü kişilerle paylaştığı tespit edilen kişiler için Türk Ceza Kanunu uyarınca hapis cezaları öngörülmüştür. Verileri hukuka aykırı olarak işlenen veya paylaşılan kişiler, Kişisel Verilerin Korunması Kurulu ve savcılık nezdinde yapacakları şikâyetlere ek olarak, maddi ve manevi tazminat istemiyle hukuk mahkemelerinde veri işleyen kişi ve kurumlar aleyhine dava açma hakkına da sahiptirler. Kişisel verilerin korunması ilkelerine ve veri güvenliğine ilişkin ihlaller ve bu ihlalleri gerçekleştiren kişi veya kurumlar, kurul tarafından kendi internet sitesinde veya uygun göreceği başka yöntemlerle ilan edilebilecektir.

Kanuna uyum nasıl sağlanabilir?

Verilerin transferine, aydınlatma yükümlülüğüne ve veri sahibinin haklarına ilişkin hükümler 7 Ekim 2016 tarihinde yürürlüğe girmiştir. Kişisel verilerin korunmasına ilişkin getirilen yükümlülük ve sorumluluklar geçmiş tarihli veriler için de geçerlidir.Buna göre en geç 7 Nisan 2018 itibariyle kişisel veri işleyen kişi veya kurumların geçmiş tarihli olanlar dahil tüm verilerini kişisel verilerin korunması mevzuatıyla uyumlu hale getirmeleri, uyumlu olmayan verileri yine mevzuat çerçevesinde yok etmeleri, silmeleri ya da anonim hale getirmeleri gerekmektedir. Tüm kişisel veri işleyen kişi ve kurumlar, özellikle de ticari şirketler, hem öngörülen ağır yaptırımlara muhatap olmamak, hem faaliyetlerini uluslararası standartlara uygun sürdürmek hem de kurumsal itibarlarını korumak için kişisel veri koruma uyumluluklarını sağlamak mecburiyetindedir. Uyum süreci, kişisel veri koruma mevzuatı ve standartları konusunda ayrıntılı hukuki ve teknik bilgi, uzmanlık ve hassas bir çalışma gerektirmektedir. Özellikle büyük sayıda veri işleyen kişi ve kurumların uyum süreci uzun ve yoğun süre gerektirir. Kişisel veri koruma mevzuatına uyumluluğu sağlamak isteyen kişi ve kurumlar, mevcut kişisel veri işleme sistemlerinin mevzuatla uyumluluğunu tespit ettirmek, uygun bir kişisel veri koruma politikası ve sistemi oluşturmak, mevcut verileri uygun hale getirmek için hukuki ve teknik yeterliliğe sahip kişilerden profesyonel denetim ve danışmanlık hizmeti almalıdırlar.