Kişisel Verilerin Korunması Hakkında Kanun

Türk vatandaşlarının Schengen Bölgesi’ne vizesiz seyahat edebilmesi için Türkiye’nin 72 kriterden oluşan yol haritasını 4 Mayıs 2016'ya kadar tamamlaması gerekiyor. Bu kriterlerden ikisini kişisel verilerin korunması hakkında bir yasal düzenleme yapılması ile Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına dair Avrupa Konseyi Sözleşmesi’nin onaylanması teşkil etmekteydi. Yol haritasının tamamlanması için öngörülen sürenin sonuna hızla yaklaşılırken, TBMM, uzun yıllardır tasarı halinde bekleyen Kişisel Verilerin Korunması Hakkında Kanunu, bazı değişikliklerle son haline getirerek 24 Mart 2016 tarihinde onayladı. Kişisel Verilerin Korunması Hakkında Kanun 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdi. 

Kişisel veri nedir? 

Kanuna göre, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak tanımlanıyor. Dolayısıyla, Ad Soyad, TC Kimlik, elektronik posta adresi, telefon numarası, tıbbi teşhis bilgileri, parmak izi, alışveriş alışkanlıkları gibi veriler kişisel veri kapsamında değerlendirilecektir. 

Kişisel verinin işlenmesi ne demektir? 

Kişisel verilerin otomatik olan ya da olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıfl andırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kanunda “Kişisel Verilerin İşlenmesi” olarak tanımlanıyor. 

Kanun hayatımızda neyi değiştirecek? 

Kanunun yürürlüğe girmesiyle birlikte, yine Kanun’da belirtilen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek; üçüncü kişilere ve yurtdışına aktarılamayacak. 

Ancak, kanunda kişisel verilerin ilgilinin rızası aranmaksızın işlenebileceği istisnai haller, Avrupa Birliği mevzuatına kıyasla çok daha geniş tutuluyor. Örneğin kanunlarda açıkça öngörülmesi; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gibi durumlarda, ilgili kişinin rızası aranmaksızın kişisel veriler işlenebilecek. 

Kanun ayrıca, kanunda belirtilen görevleri yerine getirmek üzere idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmasını öngörüyor. Kurum, kanunun yayımı tarihinden itibaren 6 ay içinde teşekkül edecek. 

Kanunda ikincil düzenlemelerin bir yıl sonra, idari para cezalarının ise 6 ay sonra yürürlüğe gireceği öngörülüyor. Kanunun yürürlük tarihinden önce işlenen kişisel verilerin kanunla uyumlu hale getirilmesi için ise 2 yıllık bir süre öngörülüyor.