Turkey: Kişisel Verilerin Korunması Kanunu Hakkında Bilgi Notu

1. GENEL

6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") 24 Mart 2016 tarihinde Türkiye Büyük Millet Meclisi Genel Kurulu'nda kabul edildi ve 7 Nisan 2016 tarihinde 29677 sayılı Resmi Gazete'de yayımlanarak yürürlüğe girdi.

Kişisel verilerin üçüncü kişilere veya yurtdışına aktarılması, ilgili kişinin hakları, başvuru ve şikâyet, suçlar ve idari para cezalarına ilişkin hükümleri Kanun'un yayımı tarihinden itibaren 6 ay sonra yürürlüğe girecektir. Bu hükümler haricindeki diğer hükümler ise Kanun'un yayım tarihi olan 7 Nisan 2016 tarihinde yürürlüğe girmiştir.

Kanun'un yayımı tarihinden önce işlenmiş olan kişisel verilerin, Kanun'un yayımı tarihinden itibaren iki yıl içinde Kanun'a uygun hale getirileceği belirtilerek geçiş süresi tanınmıştır. Dolayısıyla 7 Nisan 2016 tarihinden önce Kanun hükümlerine aykırı olarak işlenen verilerin Kanun ile uyumlu hale getirilmesi için 7 Nisan 2018'e kadar süre bulunmaktadır. Kanun'un yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, 1 yıl içinde aksine bir beyanda bulunulmaması koşuluyla Kanun'a uygun kabul edilecektir. Dolayısıyla 7 Nisan 2016 tarihinden önce hukuka uygun olarak alınan rızalar karşısında sessiz kalınması halinde bu rızalar Kanun'a uygun kabul edilecektir.

Kanun'daki diğer ayrıntılı düzenlemelere ilişkin olarak ise Kanun'un yayımı tarihinden itibaren bir yıl içinde gerekli ikincil düzenlemelerin yayımlanacağı belirtilmiştir.

2. KIŞISEL VERI TANIMI VE KIŞISEL VERILERIN İŞLENMESI

2.1 Kişisel Veri Tanımı

Kanun'un "Tanımlar" başlıklı 3. maddesinde kişisel veriler "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" şeklinde tanımlanmıştır. Kanun'un gerekçesine göre; kişinin adı, soyadı, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler kişileri belirli veya belirlenebilir kılmalarından dolayı kişisel veriler olarak kabul edilmektedir.

2.2 Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Kanun'un 4. maddesinde kişisel veriler işlenirken uyulması gereken temel ilkeler sayılmaktadır. Bu ilkeler (i) hukuka ve dürüstlük kurallarına uygun olma, (ii) doğru ve gerektiğinde güncel olma, (iii) belirli, açık ve meşru amaçlar için işlenme, (iv) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve (v) işlendikleri amaç için gerekli olan süreyle sınırlı olarak muhafaza edilmedir.

Açık Rıza

Kanun'un 5. maddesine göre kural olarak kişisel verilerin işlenebilmesi için ilgili kişinin açık rızasının olması gerekmektedir. Ancak Kanun'da sayılan istisnai hallerde açık rıza olmadan da kişisel verilerin işlenmesi mümkün olacaktır. Bu haller:

• Kanunlarda açıkça öngörülmesi,
• Rızasını açıklayamayacak durumda bulunan veya rızası hukuken geçersiz olan kişinin ya da bir başkasının hayatı ya da beden bütünlüğünün korunması için zorunluluk olması,
• Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, taraflara ait kişisel verilerin işlenmesinin gerekli olması
• Veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması
• İlgili kişinin kendisi tarafından alenileştirişmiş olması
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kanun'un 7. maddesine göre; açık rıza verilen haller veya yukarıda sayılan (açık rıza aranmayan) durumlara uygun olarak işlenmiş kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. İlgili maddeye aykırı hareket ederek kişisel verileri sistem içinde yok etmekle yükümlü olanlar görevlerini yerine getirmediklerinde Türk Ceza Kanunu'nun 138. maddesine göre bir yıldan iki yıla kadar hapis cezası ile cezalandırılır.

Kanun, kişisel veriler dışında bir de özel nitelikli kişisel veri kavramını getirmiştir. Kanun'un ilgili 6. maddesine göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel veridir. Bu bilgiler kanunlarda sayılan istisnai haller dışında ancak ilgili kişinin açık rızası olursa işlenebilecektir. Sağlık ve cinsel hayata ilişkin verilerde ise özel bir durum söz konusudur. Bu bilgiler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.

3. VERI SORUMLUSU, VERI İŞLEYEN VE YÜKÜMLÜLÜKLERI

Kanun'da Veri Sorumlusu ve Veri İşleyen kavramlarına yer verilmiştir. Veri Sorumlusu veri kayıt sisteminin bir birim, kurum ya da temsilci bünyesinde kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmaktadır. Veri İşleyen ise, Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır.

Veri sorumlusunun veya yetkilendirdiği kişinin aydınlatma yükümlülüğü bulunmaktadır. Aydınlatma yükümlülüğünün hangi hususlarda yapılacağı Kanun'un 10. maddesinde belirtilmektedir. Buna göre, veri sorumlusu veya yetkilendirdiği kişi aşağıdaki hususlar hakkında ilgili kişilere bilgilendirme yapmakla yükümlüdür:

• veri sorumlusunun ve varsa temsilcisinin kimliği
• kişisel verilerin hangi amaçla işleneceği
• işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
• kişisel veri toplamanın yöntemi ve hukuki sebebi
• kanunda sayılan ilgili kişinin hakları

Kanun'un "Kabahatler" başlıklı 18. maddesi uyarınca, Yukarıda bahsi geçen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk Lirasından 100.000 Türk Lirasına kadar idari para cezası verilir.

Veri sorumlusunun aydınlatma yükümlülüğünün yanında veri güvenliğine ilişkin yükümlülükleri de bulunmaktadır. İlgili 12. maddeye göre veri sorumlusu (i) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (ii) kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve (iii) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Veri sorumlusuna, bu yükümlülüklerini ihlal etmesi halinde, 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Kişisel verilerin korunması ve Kanun'un uygulanması amaçlarına yönelik olarak Kişisel Verileri Koruma Kurumu'nun kurulması öngörülmektedir. Bu kurum içerisinde de Kanun'un yayımlanmasından itibaren 6 ay içerisinde Kişisel Verileri Koruma Kurul'u ("Kurul") kurulması düzenlenmektedir. Ayrıca Kanun, Veri Sorumlusu Sicili ("Sicil") olarak adlandırılan bir kayıt sistemi getirmektedir. Kanun'un 16. maddesi ile veri sorumlularının veri işlemeye başlamadan önce Sicil'e kayıt zorunluluğu getirilmektedir. Bu zorunluluğa aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Sicil, Kurul'un kuruluşunu takiben (Kanun'un yürürlük tarihinden itibaren altı ay içerisinde) faaliyete geçecektir. Aynı maddede Kurul tarafından Sicil'e kayıt zorunluluğuna istisna getirilebileceği öngörülmektedir. İstisna getirilirken "işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılması" gibi ölçütler göz önüne alınacaktır.

4. KIŞISEL VERILERIN AKTARILMASI

4.1 Kişisel Verilerin Yurtiçinde Aktarılması

Kişisel verilerin yurtiçinde aktarılmasında kişisel verilerin işlenmesinde olduğu gibi ilgili kişinin açık rızası aranmaktadır. Ancak yukarıda bahsi geçen ve kişisel veri işlemede açık rıza aranmayan haller aktarmada da geçerlidir. Dolayısıyla Kanun'un 5. maddesinin ikinci fıkrasında ve 6. maddesinin üçüncü fıkrasında belirtilen istisnai hallerde ilgili maddelerde yer alan şartlardan birinin varlığı halinde ilgili kişinin açık rızası aranmadan kişisel veriler aktarılabilir. Bu haller yukarıda 2.2 bölümünde belirtilmiştir.

4.2 Kişisel Verilerin Yurtdışına Aktarılması

Kişisel verilerin yurtdışına aktarılması kişisel verilerin işlenmesi ve yurtiçinde aktarılmada olduğu gibi açık rıza aranmaktadır. Ancak açık rızanın aranmadığı Kanun'un 5. maddesinin ikinci fıkrasında ve 6. maddesinin üçüncü fıkrasında belirtilen istisnai hallerde ilgili maddelerde yer alan şartlardan birinin varlığına ek olarak kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması aranmaktadır. İlgili 9. Maddeye göre, kişisel verilerin aktarılacağı yabancı ülkede yeterli koruma yoksa (i) Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve (ii) Kurul'un izin vermesi halinde kişisel veriler ilgili kişinin açık rızası olmasa dahi yurtdışına aktarılabilir.

Yeterli Koruma

İlgili 6. maddenin üçüncü Fıkrasına göre yeterli korumanın bulunduğu ülkeler Kurul tarafından belirlenerek ilan edilir. Aynı maddenin dördüncü Fıkrasında Kurul'un kişisel verilerin aktarılacağı yabancı ülkede yeterli koruma olup olmadığına ve aktarıma izin verip vermeyeceğine karar vermesi için birtakım ölçütler öngörülmektedir. Bu ölçütleri Kurul değerlendirir ve eğer ihtiyaç duyarsa ilgili kurum ve kuruluşların görüşünü de alır. Değerlendirmede göz önüne alacağı ölçütler aşağıdaki gibidir:

• Türkiye'nin taraf olduğu uluslararası sözleşmeler
• Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu
• Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresi
• Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması
• Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemler

Kişisel verilerin işlenmesinde yabancılık unsuru olması hali

Kişisel verilerin işlenmesi veya kişisel veriler hakkında bilgi alma hakkının sınırlandırılması yolu ile kişiliğin ihlal edilmesinden doğan taleplere yabancılık unsuru olması halinde 5718 sayılı Milletlerarası Özel Hukuk ve Usul Hukuku Hakkında Kanun'un 35. maddesi uygulanır. Bu tür taleplerde uygulanacak hukuk, maddedeki şartın gerçekleşmesi kaydıyla, zarar görenin seçimine bırakılmıştır. İlgili maddeye göre zarar gören aşağıda belirtilen hukuk sistemleri arasında seçim yapma hakkına sahiptir:

• Zarar veren, zararın bu ülkede meydana geleceğini bilecek durumda ise zarar görenin mutad meskeni hukuku
• Zarar verenin işyeri veya mutad meskeninin bulunduğu ülke hukuku
• Zarar veren, zararın bu ülkede meydana geleceğini bilecek durumda ise zararın meydana geldiği ülke hukuku

Veri Sorumlusunun Yükümlülüklerine İlişkin Tespitler ve Tavsiyeler

Veri sorumlusunun Kanun ile uyumlu hale gelmesi için aşağıdaki gibi tavsiyelerimiz bulunmaktadır:

• Veri sorumlusunun kişisel verilerin işlenmesi konularında uyum sağlayabilmeleri için kendi sistemlerini Kanun'a uygun şekilde düzenlemeleri, bu yönde her şirket için kişisel verilerin işlenmesine ilişkin olarak bir strateji hazırlanması gerekecektir. Bu strateji kişisel verilerin toplandığı internet, çağrı merkezi ve sözleşme gibi bütün kanalları kapsayacaktır
• Kanun ile getirilen yükümlülüklerin yerine getirilmesi için veri sorumlusunun iç işleyişindeki prosedür ve politikaları inceleyerek uyumsuzlukların belirlenmesi ve bu uyumsuzlukların giderilmesi
• Veri sorumlusunun hâlihazırdaki durum ile hedeflenen durum karşılaştırılarak kişisel verilerin korunması ile ilgili yükümlülüklerin tespit edilmesi
• Açık rıza alma konusunun değerlendirilmesi, gerekirse bu konuda beyan yazılarının hazırlanması
• Veri sorumlusunun çalışanlarının kişisel verilerin korunması konusunda eğitilmesi ve bu eğitim ile ilgili kayıtların tutulması
• Veri sorumlusunun çalışanlarına ait kişisel verilerinin olduğu şirket içi kayıt sistemi gözden geçirilmesi ve güncellenmesi, buna uygun olarak çalışanların kişisel veri koruma politikalarının güncellenmesi
• Kişisel veri işleme yöntemleri hakkında müşterilerin düzenli olarak bilgilendirilmesi ve bu yöntemlerde değişiklik olması halinde müşterilere yazılı olarak bilgi verilmesi
• Kişisel verilerin işlenmesi konularında veri sorumlusunun ilgili departmanlarının işbirliği yapması ve Kanun ile ilgili gelişmeler konusunda iletişim halinde olmaları
• Kişisel verilerin gizliliği, verilerin işlenmesi ve bilgi teknolojilerinin desteklenmesi ile ilgili değerlendirmeler yapılarak riskin en aza indirgenmesi için çalışmalar yapılması
• Hâlihazırdaki sözleşmelerin kişisel veri korunması ile ilgili yükümlülüklerin göz önüne alınarak güncellenmesi
• Sicile kayıt hususunun takip edilmesi
• Yukarıda bahsi geçen Kurum tarafından yapılacak olan düzenlemelerin ve ilanların takip edilmesi

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.