Kişisel Verilerin Korunması Kanunu
Günümüzde birçok şirket, kamu kurum ve kuruluşu, yabancı kurum veya gerçek kişi kendi faaliyetleri kapsamında çok sayıda kişisel veri elde etmekte, kullanmakta ve daha iyi hizmet sunmak veya ticaret hacmini artırarak ekonominin gelişmesini sağlamak amacıyla daha fazla kişisel veriye ulaşmayı ve üçüncü kişilerle paylaşmayı hedeflemektedir.
Ancak daha fazla kişisel veri işlemeye yönelmek; işlenen kişisel verilerin sağladığı kolaylık ve avantajlar nedeniyle ülke ekonomisine katkı yapmakla birlikte veri güvenliğine dair çeşitli risk ve ihlal ihtimallerini de gündeme getirmektedir. Bu riskler nedeniyle kişisel verilerin korunması ve buna yönelik hukuki bir altyapının oluşturulmasına ihtiyaç duyulmuş olup öncelikle Türkiye Cumhuriyeti Anayasasında 2010 yılında yapılan değişiklikle, kişisel verilerin korunması hakkı Anayasal güvenceye kavuşturularak buna yönelik Kanunla düzenleme yapılması gerektiği hükme bağlanmıştır.
Kanunun amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kanun; kişisel verileri işlenen gerçek kişileri ve kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişileri kapsamaktadır.
Kanun kapsamında, kişisel veri işlemekte olan gerçek ve tüzel kişiler için Kanunun temel ilkelerine ve kişisel veri işleme şartlarına uyum, yurt içi ve yurt dışına aktarımda Kanun hükümlerine uyum, aydınlatma yükümlülüğü, veri güvenliğine ilişkin teknik ve idari tedbirleri alma, Veri Sorumluları Siciline (“Sicil”) kayıt ile silme, yok etme veya anonim hale getirme (“İmha”) gibi yükümlülükleri getirilmiştir. Kanunla getirilenlere ilave olarak söz konusu yönetmeliklerle de bazı yükümlülükler getirilmiş olup bunlardan birisi; Kişisel Veri İşleme Envanteri (“Envanter”) hazırlanmasıdır.
KİŞİSEL VERİ NEDİR?
Kanun kapsamında; kimliği belirli ya da belirlenebilir nitelikteki gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır.
ÖZEL NİTELİKLİ KİŞİSEL VERİ NEDİR?
Öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Kanunda sınırlı olarak sayılmıştır.
– Irk, etnik köken, siyasi düşünce, felsefi inanç,
– Dernek, vakıf ya da sendika üyeliği,
– Dini, mezhebi ya da diğer inançları,
– Kılık ve kıyafeti, sağlığı, cinsel hayatı,
– Ceza mahkumiyeti ve tedbirler, biyometrik ve genetik veriler,
KANUNA UYUM SÜRECİ NASIL YÜRÜTÜLMELİDİR?
Kişisel Verilerin Korunması Kanunu, bununla ilişkili ikincil mevzuat ve Kişisel Verileri Koruma Kurulu’nun vermiş olduğu kararlar çerçevesinde veri sorumlularının yükümlülükleri belirlenmiştir.
Bu kapsamda, veri sorumlularının hukuka uygun veri işleme “Veri Sorumluları Sicil Bilgi Sistemine” (VERBİS) kayıt, buna bağlı olarak “Kişisel Veri İşleme Envanteri” ile “Saklama ve İmha Politikası” hazırlama ve kişisel veri güvenliğine ilişkin teknik ve idari tedbirleri almak gibi yükümlülükleri bulunmaktadır.
Kişisel Verileri Koruma Kurulu, şikâyet üzerine ya da re’sen yaptığı incelemelerde veri sorumlularının bu yükümlülükleri yerine getirip getirmediğini değerlendirmekte ve karar vermektedir.
Bu noktada Kurulun, sadece Kanun ve ikincil mevzuatta belirtilen yükümlülüklere uyumu göz önünde bulundurduğunun ve bu uyum çalışmalarının veri sorumlusu bünyesinde ya da dışarıdan destek almak suretiyle yürütülüp yürütülmediği konusunda bir değerlendirmede bulunmadığının belirtilmesi gerekmektedir.
Veri sorumlularının tabi olduğu yükümlülüklerin çeşitliliği gereği bu yükümlülüklerin ancak disiplinler arası ortak bir çalışmanın neticesinde yerine getirilebilir olduğu göz önünde bulundurulmalıdır.
Bu nedenle, veri sorumlularının kanuna uyum sürecini hukuki destek ile, gerçekleştirilmeleri tavsiye edilmektedir.
KANUNA UYUM SÜRECİNDE YAPILMASI GEREKENLER
Öncelikle kayıt yükümlülüğünü haiz veri sorumluları Veri Sorumluları Sicil’ine kaydolmalıdır. Sonrasında veri sorumlularının “Kişisel Veri İşleme Envanteri” ve “Saklama ve İmha Politikası” hazırlama yükümlülüğü bulunmaktadır. Bunun yanın veri sorumluları kişisel verisi işlenen ilgili kişiyi aydınlatmak ile yükümlü olup gerekli olduğu durumlarda ilgili kişiden açık rıza almalıdır.
Kişisel Veri İşleme Envanteri Nasıl Hazırlanır?
Envanter, “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” olarak tanımlanmıştır.
Veri Sorumluları Siciline kayıt yükümlülüğü olan tüm veri sorumlularının Envanter hazırlaması gerekmektedir. Bununla birlikte Sicile kayıt ve aydınlatma yükümlülüğü yerine getirilirken veya ilgili kişi başvurularının yanıtlanmasında ve açık rızanın kapsamının belirlenmesinde söz konusu Envanterin esas alınması gerekmektedir.
Veri Sorumluları Sicili Hakkında Yönetmeliğe göre Envanterde asgari olarak; veri kategorisi, kişisel veri işleme amaçları ve hukuki sebebi, aktarılan alıcı / alıcı grupları, veri konusu kişi grupları, kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi, yabancı ülkelere aktarımı öngörülen kişisel veriler, veri güvenliğine ilişkin alınan teknik ve idari tedbirler, yer alması gerekmektedir.
Saklama ve İmha Politikası Nasıl Hazırlanır?
Saklama ve imha politikasının kapsamı, kurum çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve 3. kişilere ait kişisel verilerdir.
Saklama ve imha politikası, sahip olunan ya da yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde uygulanır.
Kurum, periyodik imha sürecini 6 ay olarak belirlemiştir. VERBİS’e kayıt yükümlülüğü olmayanlarda bu süre 3 aydır.
Aydınlatma Yükümlülüğü Nasıl Yerine Getirilir?
Amaca ilişkin bilgilendirilme yapılırken, önce kısa ve kolay anlaşılır bir metin sunup, metin vasıtasıyla, daha ayrıntılı açıklama talep edenlere yönelik detaylı açıklamalara işaret edilmesi gerekmektedir.
Veri sorumlusunun aydınlatma yükümlülüğü yerine getirirken herhangi bir şekil şartına uymasına gerek yoktur ve aydınlatma ilgili kişinin onayına tabii değildir. Tek taraflı beyanla yükümlülük yerine getirilmiş sayılır.
Ancak aydınlatma yükümlülüğünün yerine getirildiğine dair ispat yükü, veri sorumlusunun üzerinde olduğunun yükümlülüğün yazılı bir metin vasıtası ile yerine getirilmesi tercih edilmelidir. Söz konusu metin ise yukarıda anılan şartlar çerçevesinde hazırlanmalıdır.
İlgili Kişiden Açık Rıza Nasıl Alınmalıdır?
Önemle belirtmek gerekir ki; açık rızanın bulunması gereken durumlarda açık rızanın mevcut olmaması veya geri alınması hallerinde veri işleme faaliyeti yapılamaz. Bunun aynında açık rıza, herhangi bir ürün ve/veya hizmetin/ürünün ön şartı da yapılamaz.
Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir.
Av. Hande SAVAŞ
Makale Yazarlığı İçin
Avukat veya akademisyenler hukuk makalelerini özgeçmişleri ile birlikte yayımlanmak üzere asalhukukdanismanlik@gmail.com adresine gönderebilirler.
Kişisel Verilerin Korunması Kanunu
