6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") 2016 yılının Nisan ayında yayımlanmış ve aynı yılın Ekim ayında yürürlüğe girmiştir. Kanun, kişisel verileri işleyenlerin ve veri sorumlularının yükümlülüklerini düzenlemekte olup, kişisel verilerin işlenmesi sürecinde gerçek kişilerin temel hak ve özgürlüklerini ve özellikle de özel hayatın gizliliğini korumayı amaçlamaktadır.

Kanun, kişisel veriyi, kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi olarak tanımlamaktadır. Kişisel verilerin işlenmesi; verilerin elde edilmesi, kaydedilmesi, muhafaza edilmesi, değiştirilmesi, aktarılması gibi, veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Kişisel verilerin işlenme amaç ve araçlarını belirleyen gerçek veya tüzel kişiler Kanun'da "veri sorumlusu" olarak tanımlanmıştır. Veri sorumlusu, onun adına kişisel verileri işlemesi için başka bir gerçek veya tüzel kişiye de yetki verebilmektedir. Bu kişiler ise "veri işleyen" olarak tanımlanmaktadır. Veri işleyen, veri sorumlusunun bordrosunda çalışan bir kişi olabileceği gibi bu konuda hizmet veren bir gerçek veya tüzel kişi de olabilir. Bu durumda veri sorumlusu ile veri işleyenin müşterek sorumluluğu söz konusu olmaktadır.

Kişisel verilerin işlenmesi için öncelikle veri sorumlusunun, veri sahibini, verisinin hangi amaçla işleneceği hususunda aydınlatması ve akabinde veri sahibinin açık rızasını alması gerekmektedir. Kanun'da açık rıza kuralının bazı istisnaları bulunmaktadır. Örneğin, verinin işlenmesinin (i) kanunlarda açıkça öngörülmesi, (ii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, (iii) veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, (iv) bir hakkın tesisi, kullanılması veya korunması için zorunlu olması veya (v) kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması halinde, veri sahibinin açık rızası alınmadan ilgili kişinin kişisel verilerinin işlenmesi mümkün olacaktır. Buna ilaveten, Kanun, Kanun'da sınırlı şekilde sayılmış olan özel nitelikli verilerin (örneğin kişilerin ırkı, siyasi düşüncesi vb.) işlenmesine ilişkin kuralları ayrıca belirlemiş ve bunlara ilişkin olarak da açık rıza kuralına bazı istisnalar getirmiştir. Ancak, bu hallerde dahi veri sorumlusunun aydınlatma yükümlülüğü devam etmektedir.

Kanun uyarınca, Kanun'un yayımı tarihinden önce işlenmiş olan kişisel verilerin 7 Nisan 2018 tarihine kadar Kanun'la uyumlu hale getirilmesi gerekmektedir. Bu kapsamda, şirketler, Kanun'a uyumlu hale gelme tarihinin yaklaşmış olmasını ve Kanun'da öngörülen ağır yaptırımları göz önünde bulundurarak, hızlandırılmış bir uyum sürecinden geçmektedir.

Kanun'a uyum süreci kapsamında veri sorumlularının ilk aşamada kimlerin, hangi verilerini, ne amaçla işlediklerini tespit etmesi ve bu doğrultuda bir kişisel veri envanteri hazırlamaları gerekmektedir. Envanterde yer alması gereken hususlar Kanun'da belirtilmiştir (örneğin veri sorumlularının veri işleme faaliyetleri, işleme amaçları, verilerin azami işleme süresi, yabancı ülkelere aktarımı öngörülen kişisel veriler ve aktarım güvenliğine ilişkin alınan tedbirler). Envanterin hazırlanmasını müteakip, veri sorumluları, envanteri esas alarak işledikleri verilerden hangilerinin ilgililerinin açık rızasının gerektiği saptayacak ve akabinde veri sahiplerini aydınlatma yükümlülüklerini yerine getirerek, ilgili kişilerin açık rızalarını alacaklardır. Aydınlatma yükümlülüğünün hangi şekillerde yerine getirilebileceği 10 Mart 2018 tarihinde yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'inde düzenlenmektedir. Ancak, açık rıza beyanının şekline ilişkin olarak mevzuatta herhangi bir düzenleme bulunmamaktadır.

Uyum süreci kapsamında veri sorumluları, veri saklama ve imha politikası da hazırlamakla ve halihazırda akdetmiş oldukları sözleşmeleri inceleyerek, kişisel verilerin korunması mevzuatına uyumlu hale getirmekle yükümlüdürler.

Son olarak, Kanun'da ve 1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik'te belirtilen bazı istisnalar dışında, tüm veri sorumluları (Türkiye dışında yerleşik bulunan veri sorumluları da dahil olmak üzere), Kişisel Verileri Koruma Kurumu tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicili'ne kaydolmakla yükümlüdür. Sicil faaliyete geçmediğinden kayıt yükümlülüğü henüz başlamamıştır, ancak yakın bir zamanda Kişisel Verileri Koruma Kurumu'nun bu konuda gerekli duyuruyu yapması beklenmektedir.

Kanun, yukarıda belirtilen yükümlülüklerin yerine getirilmemesi durumuna ilişkin olarak yaptırımları da düzenlemektedir. Yaptırımlar, 1.000.000 TL'ye kadar ulaşan idari para cezalarının yanı sıra, cezai sorumluluk halleri de içermektedir. Bu doğrultuda, yukarıda anlatılan uyum sürecini hızla tamamlamak veri sorumluları açısından büyük önem teşkil etmektedir.

© Kolcuoğlu Demirkan Koçaklı Attorneys at Law 2017

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.