Kişisel Verilerin Korunması Kanunu’na uyum için neler yapılmalı

YAYINLAMA
GÜNCELLEME

Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nun iş hayatında ne gibi değişiklikler meydana getireceğini ve kanuna uyum için neler yapılması gerektiğini Avukat Bora Yazıcıoğlu’na sorduk.

1. Öncelikle kişisel veri nedir?

Kanunda kişisel veriler “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu şekilde kişisel veri kavramının tanımı mümkün oldukça geniş tutulmuştur.

Kişisel veriler, kişinin “adı, soyadı, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt plakası, pasaport numarası, özgeçmiş, resim, görüntü ve ses yatıları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri,  aile bilgileri, sağlık bilgileri” gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerdir. 

İşverenlerin çalıştırdıkları personelden temin etmiş olduğu, mal ve hizmet sunanların müşterilerinden elde etmiş olduğu veya dernek/vakıfların üyelerinden temin etmiş oldukları yukarıda sayılan tüm veriler kişisel verilere örnek olarak gösterilebilir. 

2. Kişisel verilerin işlenmesi ne demektir? 

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. 

3. Kişisel verilerin işlenme şartları nelerdir?

Kanunda kişisel verilerin işlenmesinde uyulması gerekli temel ilkeler; (i) hukuka ve dürüstlük kurallarına uygun olma, (ii) doğru ve gerektiğinde güncel olma, (iii) belirli, açık ve meşru amaçlar için işlenme, (iv) işlendikleri amaçla sınırlı olma ve (v) işlendikleri amaç için gerekli olan süreyle sınırlı olarak muhafaza edilme ilkeleri gösterilmiştir. 

Kanuna göre, yukarıda sayılan temel ilkelere uygun olmak şartıyla kişisel veriler kural olarak ancak ilgili kişinin açık rızası olması koşuluyla işlenebilecektir. Bununla birlikte Kanunda sayılan aşağıdaki istisnalardan birinin varlığı halinde açık rıza olmaksızın da kişisel verilerin işlenmesi mümkün olabilecektir: 

• Kanunlarda açıkça öngörülmesi,

• Rızasını açıklayamayacak durumda bulunan veya rızası hukuken geçersiz olan kişinin ya da bir başkasının hayatı ya da beden bütünlüğünün korunması için zorunluluk olması,

• Sözleşmenin kurulması veya ifasıyla ilgili olmak kaydıyla, taraflara ait kişisel verilerin işlenmesinin gerekli olması,

• Veri sorumlusunun hukuki yükümlülüğünün yerine getirebilmesi için zorunlu olması,

• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

• İlgili kişinin kendisi tarafından alenileştirilmiş olması,

• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

İşlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.

4. Veri sorumlusu ve Veri işleyen kimlerdir? 

Kanunda Veri Sorumlusu ve Veri İşleyen olarak birbirinden ayrı kavramlara yer verilmiştir. Veri Sorumlusu veri kayıt sisteminin bir birim, kurum ya da temsilci bünyesinde kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanırken Veri İşleyen, Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır.

5. Kişisel verilerle ilgili bilgilendirme yükümlülükleri nelerdir?

Kanunda Veri Sorumlusu ya da yetkilendirdiği kişi için, kişisel verilerin işlenmesi sırasında aşağıdaki hususlar hakkında ilgili kişilere bilgilendirme yapma yükümlülüğü getirilmiştir: 

• Veri sorumlusunun ve varsa temsilcisinin kimliği 

• Kişisel verilerin hangi amaçla işleneceği

• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği

• Kişisel veri toplamanın yöntemi ve hukuki sebebi

• Kanunda sayılan ilgili kişinin hakları

6. Özel nitelikli kişisel veriler nelerdir?

Kanunda ayrıca, kişilerin ırkı, etnik kökenleri, siyasi düşünceleri, dini, mezhebi veya diğer inançları, kılık kıyafeti, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri, genetik ve biyometrik verileri ile dernek, vakıf ya da sendika üyeliğine ilişkin bilgiler gibi bilgiler “Özel Nitelikli Kişisel Veri” olarak tanımlanmış, sağlık ve cinsel hayata ilişkin veriler haricindeki diğer Özel Nitelikli Kişisel Verilerin kanunlarda sayılan istisnai haller dışında ilgili kişinin açık rızası olmaksızın işlenemeyeceği belirtilmiştir.

Sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. 

7. Kanuna aykırılık halinde uygulanacak ceza ve yaptırımlar nelerdir?

Kanunda yer alan hükümlere aykırı hareket edenler hakkında ise 5.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanması gibi idari yaptırımlar getirilmiştir. Ayrıca cezai yaptırımlar için Türk Ceza Kanunu’nda (“TCK”) bulunan cezaların uygulanacağı belirtilmiştir. Bu cezalar, suçun niteliğine göre 1 ila 6 yıl arasında değişen hapis cezası olarak belirlenmiştir.

Bu çerçevede Kanun’un yürürlüğe girmesinden önceki dönemde de yürürlükte bulunan ancak kişisel veri tanımının net olarak yapılmaması sebebiyle aktif olarak uygulama imkanı bulunmayan TCK’daki kişisel verilere ilişkin suçlar ve yaptırımların ise bu Kanun’un yürürlüğe girmesiyle birlikte uygulama alanı bulacağı düşünülmektedir. 

8. Kanun’daki yürürlük ve geçiş sürecine ilişkin esaslar nelerdir? 

Kişisel verilerin üçüncü kişilere veya yurtdışına aktarılması, ilgili kişinin hakları, başvuru ve şikayet, suçlar ve idari para cezalarına ilişkin hükümleri Kanun’un yayımı tarihinden itibaren 6 ay sonra yürürlüğe girecektir. Bu hükümler haricindeki diğer hükümler ise Kanun’un yayımı tarihiyle birlikte yürürlüğe girecektir. 

Kanun’un yayımı tarihinden önce işlenmiş olan kişisel verilerin ise, Kanun’un yayımı tarihinden itibaren 2 yıl içinde Kanun’a uygun hale getirileceği belirtilerek geçiş süreci tanınmıştır. Bununla birlikte Kanun’un yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir beyanda bulunulmaması koşuluyla Kanun’a uygun kabul edilecektir. 

Kanundaki diğer ayrıntılı düzenlemelere ilişkin olarak ise Kanun’un yayımı tarihinden itibaren 1 yıl içinde gerekli ikincil düzenlemelerin yayımlanacağı belirtilmiştir.

9. Kanuna uyumluluğun sağlanması için şirketler neler yapmalıdır? 

Kanun kapsamına giren gerçek veya tüzel kişiler tarafından öncelikle kişisel verilerin işlenmesi ile ilgili mevcut durumun ve olası risklerin tespit ettirilmesi önem arz etmektedir. Bu tespit yaptırılırken gerçek veya tüzel kişiler tarafından tüm kayıtlar incelenerek müşterilerinin, çalışanlarının ve iş ortaklarının hangi verilerinin hangi amaçlarla ve kimler tarafından işlendiğinin belirlenmesi gerekmektedir. Veri işlemeye ilişkin durum tespitinin ardından ise, ilgili kişilerden kişisel verilerinin işlenmesine ilişkin rıza alınması amacıyla beyan metinleri hazırlanmalı, çalışanlara gerekli şirket içi eğitimler verilmeli ve gerçek veya tüzel kişiler tarafından çalışanlar, müşteri ve iş ortakları ve veri işleyenlerle imzalanmış ve/veya imzalanacak sözleşmelere ilişkin gerekli tadil çalışmaları yapılmalıdır. Anılan uyumluluk çalışması yapılırken, cezalara ilişkin hükümlerin kanunun yayımlanmasından 6 ay sonra yürürlüğe girecek olmasına dikkat edilmelidir.

Saygılarımla...

Av. Bora Yazıcıoğlu