A. TÜRKİYE'DE VERİ KORUMANIN TARİHÇESİ

Kişisel Verilerin Korunması Kanunu ("Kanun") Türkiye'de 07.04.2016 tarihinde yürürlüğe girmiştir. Kanun'un kabul sürecine kadar, kişisel verilerin korunması Türkiye'de yalnızca birtakım kanunlar kapsamında düzenlenmişti.

Kişisel verilerin korunması, öncelikli olarak Anayasa'da Özel Hayatın Gizliliği ve Korunması başlığı altında düzenlenmiş olan bir haktır. Bu hakka ilişkin olarak, yaptırımlar 5237 sayılı Türk Ceza Kanunu'nda düzenlenmiştir. Türk Ceza Kanunu, kişisel verilerin kaydedilmesi ve kişisel verilerin hukuka aykırı olarak elde edilmesi gibi konuları düzenlemekte ve önemli yaptırımlar da öngörmektedir. Ayrıca, sektöre özel diğer kanunlarda da (örneğin 5809 sayılı Elektronik Haberleşme Kanunu'nun 51. Maddesi, 4857 sayılı İş Kanunu'nun 75. Maddesi vb.) kişisel verilerin korunmasına ilişkin düzenlemeler bulunmaktadır.

B. YENİ KURUMLAR

(i) Veri Koruma Kurulu

Kanun, Başbakanlığa bağlı olan ve kişisel verilerin korunmasına ilişkin olarak idari ve mali özerkliği bulunan bir Kişisel Verileri Koruma Kurumu'nun ("Kurum") kurulmasını öngörmektedir. Kurum, 7 üyeden oluşan bir Kişisel Verileri Koruma Kurulu (karar organı) ve bir Başkanlıktan (yönetim) oluşmaktadır. Kişisel Verileri Koruma Kurulu ("Kurul") genel olarak kişisel veri ihlaline ilişkin şikayetleri çözecek, veri sorumluları sicilinin tutulmasını sağlayacak ve kişisel veriler Kanun'a uygun olarak işlenmediği takdirde idari yaptırımlar uygulayacaktır.

(ii) Veri Sorumluları Sicili

Kanun, veri korumaya ilişkin olarak sorumlu kişilerin (gerçek veya tüzel kişiler) yükümlülüklerinin takip edilmesi amacıyla bir Veri Sorumuluları Sicili ("Sicil") kurulmasını öngörmüştür. Sicil halihazırda kurulu durumda olup, kayıt yükümlülüğü altındaki veri sorumlularının (Bölüm C'de tanımladığı üzere) 30.09.2019 tarihine kadar Sicil'e kayıt işlemlerini tamamlamaları gerekmektedir.

C. VERİ KORUMAYA İLİŞKİN BAZI TANIMLAR

1. Kişisel Veri

Kanun uyarınca kişisel veri "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi" içermektedir. Bu sebeple, kişisel veri bir gerçek kişinin yalnızca ad, soyad, doğum tarihi ve doğum yeri gibi bilgilerini değil, özgeçmiş, pasaport bilgisi, plaka, fotoğraf, ses ve görüntü dahil olmak üzere, söz konusu kişinin fiziksel, ailevi, ekonomik, sosyal ve diğer türden özelliklerine ilişkin tüm bilgileri de kapsamaktadır.

Söz konusu verilerin işlenmesi, bu verilerin ilk temin edildiği tarihten itibaren başlamak üzere veri üzerinde gerçekleştirilen her türlü işleme faaliyetini ifade etmektedir.

2. Özel Nitelikli Kişisel Veriler

Özel nitelikli kişisel veriler, daha hassas nitelikteki kişisel veriler olarak tanımlanmaktadır. Kanun, ırk, etnik köken, siyasi düşünce, din, mezhep ve felsefi veya diğer inançlar, kılık ve kıyafet, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyetleri, kişisel biyometrik ve genetik verileri özel nitelikli kişisel veri saymaktadır.

Kanun bu nitelikteki kişisel verilerin, ilgili kişinin açık rızası mevcut olmadıkça ve gerekli tedbirler alınmadıkça işlenemeyeceğini öngörmektedir. Bu bilgiler, çok özel durumlarda ve yalnızca Kanun'da belirlenen amaçlar doğrultusunda onay olmaksızın işlenebilir.

3. Veri Sorumlusu

Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen ve veri kayıt sistemlerinin kurulması ve yönetilmesinden sorumlu olan kişiyi ifade etmektedir. Bu kişi bir gerçek kişi veya devlet makamı, şirket, ortaklık veya kuruluş gibi bir tüzel kişi olabilir. Kanun, veri işleme hususlarına ilişkin olarak esas itibariyle veri sorumlusuna yükümlülük getirmektedir.

4. Veri İşleyen

Veri İşleyen, veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Bu kişi, kendisine verilen talimatlar doğrultusunda veri işleyen bir şirket veya çalışan veya veri sorumlusu tarafından hizmet alımı yoluyla belirlenen bir gerçek veya tüzel kişi olabilir.

D. VERİ SORUMLUSUNUN ESASLI YÜKÜMLÜLÜKLERİ

1. Sicil'e Kaydolma

Sicil'e kayıt imkanı 01.10.2018 itibariyle başlamış olup, veri sorumlularının (bazı istisnalar hariç) 30.09.2019 tarihine kadar Sicil'e kayıt yükümlülüklerini yerine getirmeleri gerekmektedir. Öte yandan, işlenen kişisel verinin niteliği, sayısı, veriişlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Sicil'e kayıt zorunluluğuna istisna getirilebilir.

Halihazırda Sicil'e kayıt yükümlülüğü bulunmayan veri sorumluları, Kurul kararları kapsamında aşağıdaki şekilde tespit edilmiştir:

  • Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar,
  • Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla veri işleyenler,
  • Noterlik Kanunu uyarınca faaliyet gösteren noterler,
  • Dernekler Kanununa göre kurulmuş dernekler, Vakıflar Kanununa göre kurulmuş vakıflar, Sendikalar ve Toplu İş Sözleşmeleri Kanununa göre kurulmuş sendikalardan sadece ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  • Siyasi Partiler Kanununa göre kurulmuş siyasi partiler,
  • Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
  • Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanununa göre faaliyet gösteren serbest muhasebeci mali müşavirler ve yeminli mali müşavirler.
  • Gümrük Müşavirleri ve Yetkilendirilmiş Gümrük Müşavirleri,
  • Arabulucular.

2. Veri Sahibini Bilgilendirme Yükümlülüğü

Genel bir kural olarak, kişisel veriler ancak veri sahibinin açık rızası ile işlenebilir. Kanun, bu kural bakımından Kanun'un 5/2. Maddesi ve 6/3. Maddesinde birtakım istisnalar öngörmektedir. Bu istisnaları aşağıda belirteceğiz (aşağıda yer alan Bölüm 3i).

Buna ek olarak, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ("Tebliğ") 10.03.2018 tarihinde yürürlüğe girmiştir. Buna göre kişisel verilerin işlenmesi istisna kapsamına girsin veya girmesin veri sorumlusu her halükarda veri sahibinin verilerini temin etmeden önce veri sahibini aşağıda yer alan konular hakkında bilgilendirmekle yükümlüdür:

  1. veri sorumlusunun veya temsilcisinin kimliği,
  2. kişisel verilerin hangi amaçlarla işleneceği,
  3. kişisel verilerin kimlere veya hangi amaçlarla aktarılabileceği,
  4. veri toplamanın yöntemi ve hukuki sebebi,
  5. veri sahibinin hakları (aşağıda yer alan Bölüm 6'da belirtilmiştir).

Tebliğ uyarınca aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekmektedir. Bu kapsamda aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmekten kaçınılmalıdır. Ayrıca gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalı ve kişisel veriler elde edilirken mevcut olan amaç dahilinde aydınlatma yapılmalıdır. Bu amaç değiştiğinde ise; veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.

3. Onayın Alınması

(i) Veri İşlemek İçin

  • Kural olarak, kişisel veriler veri sahibinin onayı olmaksızın işlenemez. Söz konusu onay prosedürüne ilişkin istisnalara Kanun'un 5. Maddesinin 2. Paragrafında yer verilmiştir:
    • Kanunlarda açıkça düzenlendiği takdirde, kişisel veriler işlenebilir.
    • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde, kişisel veriler işlenebilir.
    • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel veriler işlenebilir.
    • Veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için gerekli olan bilgiler işlenebilir.
    • İlgili veri kişinin kendisi tarafından alenileştirilmiş ise, bu veri işlenebilir.
    • Bir hakkın tesisi, kullanılması ve korunmasının sonucu olarak veri işlemenin zorunlu olması halinde, açık onay alınması gerekmemektedir.
    • İlgili kişinin temel hak ve özgürlüklerinin ihlal edilmemesi şartıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde, kişisel veri açık onay olmaksızın işlenebilir.
    Olası bir ihtilafta onayın alındığını ispat etmek veri sorumlusunun yükümlülüğü olduğundan, temin edilen onayın veri sorumlusu tarafından saklanması gerekir.
  • Özel nitelikli kişisel veriler, veri sahibinin onayı olmaksızın işlenemez. Söz konusu onaya ilişkin istisnalar Kanun'un 6. Maddesinin 3. Paragrafı'nda (ve yukarıda) düzenlenmiştir.

    Özel kanunlarda öngörülen hallerde, özel nitelikli kişisel veriler (sağlık ve cinsel hayata ilişkin veriler hariç olmak üzere) ilgili kişinin onayı olmaksızın işlenebilir.

    Sağlık ve cinsel hayata ilişkin veriler ise yalnızca veri sahibinin onayı ile işlenebilir. Bu onay mevcut değil ise, özel nitelikli kişisel veri yalnızca yetkili kurum ve kuruluşlar, sır saklama yükümlülüğü altında bulunan kişiler tarafından yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetleri, sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi özel amaçlar ile işlenebilir.

    Özel nitelikli kişisel verilerin işlenmesi için, Kurul tarafından belirlenen önleyici tedbirlerin alınması zorunludur.

(ii) Yurtdışına Veri Aktarımı İçin

Kural olarak, kişisel veriler ve özel nitelikli kişisel veriler, veri sahibinin onayı olmaksızın aktarılamaz. Söz konusu onay prosedürüne ilişkin istisnalar yukarıda belirtilmiştir.

Yukarıda belirtilen istisnai hallerden birinin mevcut olması sebebiyle ilgili kişinin onayının bulunmadığı hallerde; verinin "veriler için güvenli olan" bir ülkeye mi yoksa "veriler için güvenli olmayan" bir ülkeye mi aktarılacağını değerlendirmeliyiz:

  • Eğer verinin aktarılacağı ülke "veriler için güvenli" bir ülke ise: İstisnai hallerden birinin meydana gelmesi halinde ek bir gereklilik ve veri sahibinin onayına ihtiyaç bulunmamaktadır.
  • Eğer verinin aktarılacağı ülke "veriler için güvenli olmayan" bir ülke" ise: Söz konusu ülkede yeterli koruma bulunmuyor ise, Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlusu yazılı olarak yeterli korumayı taahhüt etmeli ve Kurul aktarıma izin vermelidir.

Kişisel veriler için yeterli korumanın bulunduğu ülkelerin listesi Kurul tarafından ilan edilecektir. Söz konusu liste henüz ilan edilmemiştir.

4. Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri

Veri Sorumlusu, kişisel verilerin hukuka aykırı şekilde işlenmesini ve kişisel verilere hukuka aykırı şekilde erişilmesini önlemek ve verilerin muhafazasını amacıyla yeterli güvenlik düzeyini sağlamaya yönelik her türlü teknik ve idari tedbiri almakla yükümlüdür. Kendi adına veri işlemesi için başka bir gerçek veya tüzel kişiyi görevlendirir ise, veri sorumlusu, bu tedbirleri alırken söz konusu diğer kişiler ile birlikte sorumludur. İşlenen veriler diğer kişilerce hukuka aykırı yollarla elde edilirse, veri sorumlusu derhal ilgili kişiyi ve Kurul'u bilgilendirecektir.

5. Verilerin Silinmesi

Veriler ilgili kişinin onayı ile yukarıda bahsedilen prosedür izlenerek işlense dahi, veri işlemenin amacı ortadan kalkar kalkmaz, veri sorumlusu veri sahibinin talebi üzerine veya re'sen kişisel veriyi yok etmek, silmek veya anonim hale getirmek ile yükümlüdür.

Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik"), 28.10.2017 tarihinde yürürlüğe girmiştir. Yönetmelik'e göre, Kanun uyarınca Sicil'e kaydolmak ile yükümlü olan veri sorumlusu, kişisel veri işleme envanterine uygun olarak bir kişisel veri saklama ve imha politikası hazırlamak ile yükümlüdür.

Yönetmelik uyarınca kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve kullanılamaz hale getirilmesidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez olması ve tekrar kullanılamamasını sağlamak için gereken tüm teknik ve idari tedbirleri almakla yükümlüdür.

Ayrıca kişisel verilerin anonim hale getirilmesi için, kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi ve bunun geri dönülemez olması gerekmektedir. Veri sorumlusu, kişisel verilerin anonim hale getirilmesine ilişkin olarak gereken tüm teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin tüm işlemler kaydedilmeli ve en az 3 yıl saklanmalıdır.

  • Kişisel verilerin kalıcı olarak silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin süre
    1. Bir "kişisel veri saklama ve imha politikası" hazırlamış olan veri sorumlusu, kişisel verileri yok etme yükümlülüğünün ortaya çıktığı ilk periyodik imha işleminde kişisel verileri silecek, yok edecek veya anonim hale getirecektir.
    2. Periyodik imhanın gerçekleşeceği zaman aralığı, kişisel veri saklama ve imha politikasında belirtilecektir. Söz konusu süre 6 ayı geçemez.
    3. Bir "kişisel veri saklama ve imha politikası" hazırlama yükümlülüğü altında olmayan veri sorumlusu, kişisel verileri yok etme yükümlülüğünün ortaya çıkmasından itibaren 3 ay içerisinde kişisel verileri silecek, yok edecek veya anonim hale getirecektir.
    4. Kurul, kaçınılmaz veya telafisi güç zararların ortaya çıkmasına ilişkin bir risk doğarsa veya açıkça hukuka aykırılığın söz konusu olduğu hallerde, bu maddede belirlenen süreleri kısaltabilir.
  • Veri sahibinin talebi üzerine silme ve yok etme süreleri

    Bir veri sahibi veri sorumlusuna başvurarak kişisel verilerinin silinmesini veya yok edilmesini talep ettiğinde:
    1. Kişisel verilerin işlenmesine ilişkin tüm şartlar ortadan kalkmış ise; veri sorumlusu talebe bağlı olarak kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, veri sahibinin talebini en geç 30 gün içerisinde yerine getirmek ve veri sahibini bilgilendirmek zorundadır.
    2. Kişisel verilerin işlenmesine ilişkin tüm şartlar ortadan kalkmış ve veri sahibinin kişisel verileri üçüncü bir tarafa aktarılmış ise, veri sorumlusu üçüncü tarafı bu durumdan haberdar edecektir ve üçüncü tarafın bu Yönetmelik kapsamında gerekli prosedürleri izlediğinden emin olacaktır.
    3. Kişisel verilerin işlenmesine ilişkin tüm şartlar ortadan kalkmamış ise, veri sorumlusu tarafından sebepleri Kanun'a uygun olarak açıklanmak suretiyle veri sahibinin talebi reddedilebilir. Veri sorumlusu, veri sahibinin yazılı veya elektronik ortamdaki talebinden itibaren 30 gün içerisinde veri sahibine yanıt verecektir.

Verilerin silinmesine ilişkin olarak, veri sorumlusu öncelikle diğer özel kanunlardaki zamanlama ve prosedürlere uymak ile yükümlüdür. Örneğin, veri sorumlusu Vergi Usul Kanunu uyarınca bazı verileri 10 yıl saklamak ile yükümlüyse, veri sahibi bu yönde bir talepte bulunsa dahi, veri sorumlusu bu belirli verileri 10 yıldan önce silemez/ yok edemez/ anonim hale getiremez.

6. Başvuru Merci: Veri Sorumlusu

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ("Tebliğ") 10.03.2018 tarihinde yürürlüğe girmiştir. Tebliğ uyarınca kişisel veri sahibi Kanun'un uygulanmasına ilişkin şikayet veya taleplerini öncelikle veri sorumlusuna iletmelidir. İlgili kişi, Kanunun 11. maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletebilir.

Şikayet veya talebi alan veri sorumlusu ücretsiz olarak veya Kurul tarafından düzenlenen ücret tarifesine uygun olarak (ilgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir.) belirlenecek bir ücret karşılığında, talebi incelemeli ve hukuki dayanakları ile birlikte talebi kabul veya reddetmelidir ve ayrıca ilgili kişiye en kısa süre içerisinde ve en geç 30 gün içerisinde yanıt vermelidir. Veri sorumlusu tarafından verilecek olan yanıtın içermesi gereken asgari nitelikler Tebliğde yer almaktadır. Veri sorumlusu talebi kabul ederse, gerekeni yapmalıdır ve söz konusu şikayet bakımından veri sorumlusu kusurlu ise alınan ücreti iade etmelidir.

Talebe süresinde cevap verilmemesi veya dayanakların yetersiz olması veya talebin tamamen reddedilmesi halinde, ilgili kişi cevabı takiben 30 gün içerisinde ve her halükarda en geç başvuru tarihinden itibaren 60 gün içerisinde Kurul nezdinde şikayette bulunabilir. İlgili kişi öncelikle veri sorumlusuna başvurmadan Kurul nezdinde şikayette bulunamaz. İlgili kişinin adli ve idari mahkemelerde dava açma hakkı ve kişisel haklarının ihlali sebebiyle tazminat talep etme hakkı saklıdır.

Şikayet üzerine Kurul Kanun hükümlerinin ihlal edildiğine kanaat getirirse, veri sorumlusunun söz konusu ihlalleri gidermesine karar verecek ve kararı tebliğ edecektir. Söz konusu karar tebliğ tarihinden itibaren 30 gün içerisinde yerine getirilecektir.

Diğer yandan, Kurul, nihai kararın verilmemiş olması ve (i) telafi edilemez ve elverişsiz durumların meydana gelme ihtimalinin bulunması ve (ii) açıkça hukuka aykırılık bulunması şartlarının varlığı halinde, verilerin işlenmesini veya verilerin yurtdışına aktarılmasını durdurabilir.

Kurul'un kararlarına karşı idari yargıda dava açılması mümkündür.

Kanun, ilgili kişinin veri korumaya ilişkin haklarına büyük önem vermektedir. Madde 11 veri sahibinin haklarını sıralamaktadır. Bu haklar aşağıdaki şekildedir:

  1. Kişisel verilerin işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Türkiye'de veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. Verilerin silinmesine ilişkin olarak öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarılacağı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle veri sahibinin aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin hukuka aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.