Turkey: Kişisel Verilerin Korunması Kanunu: Hazır mıyız?

Kişisel Verilerin Korunması Kanunu ("Kanun"), 24 Mart 2016 tarihinde Türkiye Büyük Millet Meclisi Genel Kurulu'nda kabul edilerek 7 Nisan 2016 tarihinde Resmi Gazete'de yayınlandı ve bu tarih itibariyle yürürlüğe girdi. Kanun kişisel verilere temas eden herkesi ilgilendiren önemli hükümler içermekte.

Kanunun ne gibi düzenlemeler getirmekte olduğu, uygunluğun nasıl sağlanacağı ve öngörülen yaptırımlar hakkında bilgi edinmenizi sağlayacak soru-cevap dokümanımızı ekte bilgilerinize sunuyoruz.

Kişisel verilerin korunması kanununa neden ihtiyaç duyuldu?

Kişisel verilerin ancak hukuka uygun olarak işlenebileceğini belirten genel kurallar Anayasa ve Türk Ceza Kanunu'nda zaten yer almaktaydı. Ayrıca, sektörel düzenlemeler olan Elektronik Haberleşme Kanunu, Bankacılık Kanunu ve E-Ticaret Kanunu gibi düzenlemelerde de kişisel verilerin işlenmesine ilişkin kurallar getirilmişti. Ancak, tüm kişisel verilerin işlenmesine uygulanacak kuralları belirleyecek bir çerçeve kanun bulunmamaktaydı.

Ayrıca Türkiye'de kişisel verilere ilişkin bir çerçeve kanunun olmamasından kaynaklanan güvensiz ülke durumunun ortadan kaldırılması ve ilerleyen teknolojilerin kişisel veriler üzerinde daha büyük etki ve ihlaller yaratabileceği düşüncesi gibi sebeplerle bir çerçeve kanun gerekli görüldü.

Bu doğrultuda Avrupa Birliği'nin 95/46 Direktifi ile paralel bir Kanun çıkarılması son 10 yıldır sıkça gündeme gelmiş, ancak hazırlanan tasarılar Meclis'ten geçerek kanunlaşamamıştı. 7 Nisan 2016 tarihinde yayınlanan Kişisel Verilerin Korunması Kanunu ise, Türkiye'nin uzun süredir duyduğu bir ihtiyacı karşılamak yolunda önemli bir adım olarak görülmekte.

Kişisel veri nedir?

Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi kişisel veridir.

Tüzel kişilere ilişkin bilgiler, gerçek kişilerle ilişkilendirilmedikleri sürece kişisel veri kapsamına girmemektedir.

Ayrıca, kişilerin ırk, etnik köken, dernek, vakıf ve sendika üyeliği, sağlık, kılık-kıyafet gibi alanlardaki bilgileri özel nitelikli veri olarak tanımlanmakta ve işlenmesine başlanmadan önce Kişisel Verileri Koruma Kurulu'nun belirleyeceği önlemlerin alınması gerektiği belirtilmektedir.

Kişisel verilerin işlenmesi nedir?

Kişisel verilerin; elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak kabul edilmektedir.

Kanun kimleri kapsıyor?

Kanun genel olarak kişisel verileri işleyen tüm gerçek ve tüzel kişileri kapsamına almaktadır.

Kanun kapsamı dışında kalan haller neler?

Kişisel verilerin istihbarat faaliyetleri, ifade özgürlüğü, akademik özgürlük ve kamu güvenliği gibi durumlar kapsamında işlenmesi Kanun'daki yükümlülüklerin kısmen ya da tamamen dışında kalmaktadır.

Kanun'da kişisel verilerin ilgili oldukları kişiyle hiçbir biçimde eşleştirilemeyecek hale getirilmesi anonim hale getirme olarak tanımlanmaktadır. Kişisel veriler anonim hale getirildikten sonra Kanun'un öngördüğü yükümlülüklerin kapsamı dışına çıkmaktadır.

'Veri̇ sorumlusu' ve 'Veri işleyen' kimlerdir?

"Veri Sorumlusu" kişisel verilerin işlenme amaç ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir (örneğin; çalışanlarının kişisel verilerini toplayan işverenler, kullanıcılarının kişisel verilerini toplayıp kendisi işleyen web siteleri vs.)

"Veri İşleyen" ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen kişilerdir. (örneğin bulut bilişim hizmet sağlayıcıları, bordrolama şirketleri vs.)

Bu tanımlar gereği bir şirketin hem veri sorumlusu, hem de veri işleyen olarak nitelendirilmesi mümkündür.

Kişisel veriler ne zaman işlenebilir?

Kişisel veriler yalnızca aşağıdaki hallerde işlenebilir:

• Kişinin açık rızası alınarak.
• Kişisel veriyi kişinin kendisinin alenileştirmiş olması durumunda alenileştiren kişisel veriler;
• Kanunda açıkça öngörülen durumlar ile kanuni bir yükümlülüğün yerine getirilmesi veya hakkın kullanılması için zorunlu olması hallerinde;
• Bir sözleşmenin kurulması veya yerine getirilmesi için gerekmesi halinde sözleşmenin diğer tarafına ait kişisel veriler;
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde;
• Kişinin temel hak ve özgürlüklerine zarar vermediği sürece, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması.
• Rızasını açıklayamayacak durumdaki kişiye ait veriler zorunlu durumlarda işlenebilir

Kişisel verilerin işlenmesinde uyulacak kurallar nelerdir?

Kişisel verilerin işlenebilmesi için aşağıdaki kurallara uyulmalıdır:

• Doğru ve gerektiğinde güncel olması,
• Hukuka ve dürüstlük kurallarına uygun olarak belirli, açık ve meşru amaçlarla işlenmesi;
• Yalnızca veri sahibinin açık rızasıyla veya kanunlarda öngörülen durumlarda 3. kişilere aktarılması;
• Yurtdışına aktarım için veri sahibinin açık rızasının alınması; rıza dışındaki istisnalara dayanılarak yurtdışına aktarılabilmesi için ise Kurulun güvenli ülke listesinde olması veya Kurulun iznine bağlı olarak aktaran ve aktarılacak kişilern yeterli korumayı taahhüt etmesi ve;
• İşleme amacı için gereken süre boyunca işlenmesi;
• Hukuka aykırı olarak ele geçirilmesini ve işlenmesini engelleyecek güvenlik önlemlerinin alınması;
• Veri Sorumlusunun veri sahibini kimliği, verileri işleme amacı ve yöntemi, 3. kişilere aktarımının şartları gibi konularda bilgilendirmesi;
• Veri sahibinin talep etmesi halinde, işlenen kişisel veriler hakkında bilgi verilmesi, bunların düzeltilmesi ve silinmesi;
• İşlemeye başlamadan önce Veri Sorumluları Siciline kayıt olunması;
• Bankacılık Kanunu, Elektronik Haberleşme Kanunu gibi diğer düzenlemelere uygun olarak işlenmesi gerekmektedir.

Kanun'daki düzenlemeler ne zaman yürürlüğe girecek?

Yükümlülüklere uyulmazsa ne tür yaptırımlar uygulanacak?

Kişisel verilerin korunması konusu bizi nasıl etkileyecek?

Bugün yaptığımız işlerin içinde kişisel verileri giderek daha fazla kullanıyoruz. Sağladığı katma değer göz önünde bulundurulduğunda kişisel veriler, bir şirketin know-how'ı ve rekabet gücü gibi özenli bir koruma gerektiren varlıkları arasında yer almakta. Kişisel verilerin işlenmesinin toplum açısından da etkilerinin bulunması, bu alanın da tıpkı rekabet gücü gibi düzenlenmesine yol açmış ve açmaktadır. Ayrıca bireyler, hangi kişisel verilerinin ne şekilde işlendiğini ve bu konudaki şeffaflığı giderek daha fazla önemsemektedir.

Tüm bu sebeplerle kişisel verilerin korunması konusunun yalnızca hukuki riskleri azaltma açısından yapılması gereken tek seferlik bir uygunluk projesi olduğunu düşünmemek gerektiğine inanıyoruz.

Organizasyonların hemen her biriminde kişisel verilere temas edilmesi, kişisel verilerin iş yapış biçimleri üzerinde giderek daha etkili olması ve kişisel verilerden katma değer yaratmanın yeni yöntemlerinin her gün karşımıza çıkması şeklindeki olgular birlikte değerlendirildiğinde de kişisel verilerin korunması konusunun tek seferlik bir uyum çalışması değil, devamlı bir uygunluk süreci olmasının önemi belirginleşmektedir.

Bu sebeplerle, organizasyonların aşağıdaki soruları kendilerine sorarak bu uygunluk sürecini bir an önce başlatmasını ve hem şirketin günlük işleyişinde, hem de kişisel verilere temas edileceği öngörülen yeni projelerde bu soruların sürekli tekrarlanmasını öneriyoruz.

• Hangi kişisel verileri, hangi kaynaklardan elde ediyoruz?
• Hangi kişisel verilere, ne için ihtiyacımız var? Elde ettiğimiz ama ihtiyacımız olmayan kişisel veriler var mı?
• Verileri nitelik, elde etme, kullanım, saklama ve yok edilme bakımından nasıl kategori ve sınıflara ayırıyoruz? Bu süreçlerin tamamında mevcut kurallara uyuyor muyuz? Gelecekteki kurallar bizim uygunluk durumumuzu etkileyecek mi?

Bu soruların cevaplarını değerlendirmenize ve kişisel verilerin beraberinde getirdiği riskleri yönetmenize yardımcı olacak "Uyumluluk Durum Değerlendirmesi" ve "Kişisel Veri Uyumluluk Danışmanlığı" hizmetlerimiz hakkında bilgi almak için lütfen bize ulaşın.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.