Kişisel Verilerin Korunması Kavramı ve Yapılması Gerekenler

Kişisel Verilerin Korunması Kavramı ve Yapılması Gerekenler


Bireylere ait kişisel veriler,  Anayasanın 17., 20. ve 22. maddelerinde yeralan temel haklarla doğrudan bağlantılı ve bu hakların içerisindedeğerlendirilmesi gereken bilgilerdir.

Anayasanın 17. Maddesinde herkesin, yaşama, maddi ve manevi varlığınıkoruma ve geliştirme hakkına sahip olduğu belirtilmiş, 20. Maddesinin birincifıkrasında da ‘Herkes, özel hayatına ve aile hayatına saygı gösterilmesini istemehakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz’ dedikten sonra maddenin üçüncü fıkrasında,herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahipolduğu, bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkındabilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesinitalep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi dekapsadığı belirtilmiş ve kişisel verilerin, ancak kanunda öngörülen hallerdeveya kişinin açık rızasıyla işlenebileceği, kişisel verilerin korunmasınailişkin esas ve usullerin kanunla düzenleneceği kurala bağlanmıştır. Anayasanın22. Maddesinde de herkesin haberleşme hürriyetine sahip olduğu belirtildiktensonra haberleşmenin gizliliğinin esas olduğu kurala bağlanmıştır.

Anayasada yer verilen bu düzenlemelerin sonucu olarak 6698 sayılı KişiselVerilerin Korunması Kanunu 07.04.2016 tarihli 29677 sayılı Resmi Gazete’deyayımlanmıştır. Kanunun 32. maddesinde Kanun’un 8., 9., 11., 13., 14., 15.,16., 17. ve 18. Maddelerinin yayımı tarihinden altı ay sonra, diğer maddelerininise yayımı tarihinde yürürlüğe gireceği belirtilmiştir.

6698 sayılı Kanunun çıkarılmasındaki amaç, kişisel verilerin işlenmesindebaşta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinikorumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleriile uyacakları usul ve esasları düzenlemektir.

6698 SayılıKanun Kimler Hakkında Uygulanır?

6698 sayılı Kanun hükümleri kişisel verileri işlenen gerçek kişiler ilebu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıtsisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek vetüzel kişiler hakkında uygulanır.

KişiselVerileri Toplayan ya da İşleyen Gerçek veya Tüzelkişilerin Bilmesi GerekenKavramlar Nelerdir?

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlübilgi.

KişiselVerinin Anonim Hâle Getirilmesi: Kişiselverilerin, başka verilerle eşleştirilerek dahi olsa hiçbir surette kimliğibelirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâlegetirilmesi. Diğer bir ifade ile kişisel verinin veri sahibinden soyutlanmasıişlemi.

Kişiselverilerin işlenmesi: Kişisel verilerin tamamen veya kısmenotomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıylaotomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafazaedilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya dakullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlüişlemdir.

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileriişleyen gerçek veya tüzel kişi.

Veri kayıtsistemi: Kişisel verilerin belirli kriterleregöre yapılandırılarak işlendiği kayıt sistemi.

 Veri sorumlusu: Kişiselverilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sistemininkurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifadeeder.

 KANUNDA YERALAN YÜKÜMLÜLÜKLER

 A.   Aydınlatma Yükümlülüğü

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veyayetkilendirdiği kişi, ilgili kişilere;

- Veri sorumlusunun ve varsa temsilcisinin kimliğini,

- Kişisel verilerin hangi amaçla işleneceğini,

- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini,

- Kişisel veri toplamanın yöntemi ve hukuki sebebini açıklamak ve ilgilikişilere Kanun’un 11. maddesinde sayılan hakları konusunda bilgi vermekleyükümlüdür.

Yaptırım: Bu yükümlülüğü yerine getirmeyenler hakkında, Kanun’un 18/1-a maddesigereğince 5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezasıverilir.

 B.    Veri Güvenliğine İlişkin Yükümlülükler

 Veri sorumlusu gerçek veya tüzelkişi

- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

- Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlikdüzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerialmak zorundadır.

Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişitarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin alınmasıhususunda bu kişilerle birlikte veri sorumlusunun sorumluluğunu kaldırmaz.

Ayrıca veri sorumlusu, kendi kurum veya kuruluşunda, Kişisel VerilerinKorunması Kanun hükümlerinin uygulanmasını sağlamak amacıyla gereklidenetimleri yapmak veya yaptırmak zorundadır.

Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileriKanunda yer verilen hükümlerine aykırı olarak başkasına açıklayamaz ve işlemeamacı dışında kullanamazlar. Ayrıca bu kişilerin görevden ayrılmış olsalar bilebu yükümlülükleri devam eder.

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafındanelde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve KişiselVerileri Koruma Kuruluna bildirmek zorundadır.

Yaptırım: Bu yükümlülüklere aykırı hareket edenler veya veri güvenliğine ilişkinyükümlülükleri yerine getirmeyenler hakkında, Kanun’un 18/1-b maddesi gereğince15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

 C.   Kanun Kapsamına Giren Gerçek ve Tüzel Kişiler Neler Yapmalı?

1-   Kişisel verileri işleyen gerçek veyatüzel kişi veri sorumluları, veri işlemeye başlamadan önce 'VeriSorumluları Siciline' kaydolmak zorundadır.

2-   Ayrıca Veri Sorumluları SiciliHakkında Yönetmelik uyarınca veri sorumluları siciline kayıt olmak zorunda olanVeri Sorumlularına kişisel veri işleme envanteri hazırlamayükümlülüğü getirilmiştir. Yönetmeliğin 4. Maddesinin birinci fıkrasının (h)bendinde veri sorumluları hazırladıkları bu envanter ile,

Ø  Kişisel veri işleme faaliyetlerini

Ø  Kişisel veri işleme amaçlarını

Ø  Kişisel verilerin işlenmesindeki hukuki sebebi

Ø  Veri kategorisini

Ø  Aktarılan alıcı grubu

Ø  Veri konusu kişi grubu

Ø  Saklama süresini

Ø  Verilerin yabancı ülkelere aktarılıp aktarılmadığını

Ø  Veri güvenliğine ilişkin alınan teknik ve idari tedbirleri açıklayarakdetaylandırmaları gerekmektedir.

3-   Envanterde belirtilen asgari unsurlarayrıca Veri Sorumluları Sicili Kayıt Sistemi'nde (VERBİS) kaydedilmektedir.Ancak Veri Sorumluları Sicili ile Veri İşleme Envanteri arasındaki farklar nedeniyleyapılacak işlemlerin sorunsuz gerçekleştirilmesi özel uzmanlık gerektirdiğindenbu konuda kişi ve kurumlar uzman desteği alaları gerekmektedir.

 D.   Kanunda Yer Alan Diğer Yaptırımlar

Kanunun 18. Maddesinin 1. Fıkrasının a ve b bentlerinin yanında (c)bendinde Kurul tarafından verilen kararları yerine getirmeyenler hakkında25.000 Türk lirasından 1.000.000 Türk lirasına kadar, (ç) bendinde ise VeriSorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenlerhakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasıverileceği belirtilmiştir.

Ayrıca kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve5237 sayılı Türk Ceza Kanununun 135 ila 140. madde hükümlerinin uygulanacağı,Kanunun 7. maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonimhâle getirmeyenlerin ise 5237 sayılı Türk Ceza Kanunun 138. maddesine görecezalandırılacağı bilinmelidir.

 E.    Kanunda İstenen Yükümlülükler Ne Zaman Yerine Getirilmeli

-         Yıllık çalışan sayısı 50 den çok veyayıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi verisorumluları için kayıt yükümlülüğünü yerine getirme son tarihi 30.06.2020,

-         Yurtdışında yerleşik gerçek ve tüzelkişi veri sorumluları için 30.06.2020,

-         Yıllık çalışan sayısı 50 den az veyayıllık mali bilanço toplamı 25 milyon TL’den az olup, ana faaliyet konusu özelnitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları içinkayıt yükümlülüğünü yerine getirme son tarihi 30.09.2020,

-         Kamu kurum ve kuruluşları verisorumluları için son tarih 31.12.2020 dir.

Yukarıda belirtilen tarihlere kadarkanunda öngörülen yükümlülükleri yerine getirmeyen ilgili gerçek ve tüzelkişiler hakkında kanunda belirtilen ve 1.000.000. TL ye varan yatırımlaruygulanabilecektir.

 F.    Sonuç

Kişisel veri kavramı hukuksistemimizde yeni bir kavram olmakla birlikte daha çok temel hak ve özgürlükleralanına giren konuları ihtiva etmektedir. Dolayısıyla Kanunun getirdiği yükümlülüklerin sorunsuz ifa edilmesi veidari yaptırımlara muhatap olunmaması için genel hukuk bilgisinin yanında,insan hakları alanı ile kişisel verilerin korunması konusunda uzmanhukukçuların desteğine ihtiyaç vardır. Özellikle Kişisel Veri işleme,Anonimleştirme, Saklama, Yok etme, Üçüncü taraflarla paylaşma konularındauluslararası ve ulusal mevzuat konusunda bilgi ve tecrübeli kadrolarla çalışmakkurumunuza önemli avantajlar sağlayacaktır.  Bu süreçte büromuz, Bu alanda tecrübe ve birikim sahibi kadrosu ile verikoruma yükümlülüğü kapsamındaki gerçek ve tüzel kişilere mevzuatın öngördüğüveri güvenlik politikalarını oluşturmada yardımcı olmaktadır.

AV. FATMA VİLDAN YİRMİBEŞOĞLU                      

    [Kod-Menu-List]
  • [Kod-Menu-0-Adi]
      [Kod-Menu-0-Alt]
  • [Kod-Menu-1-Adi]
      [Kod-Menu-1-Alt]
  • [Kod-Menu-2-Adi]
      • [Kod-Menu-List]
  • [Kod-Menu-0-Adi]
      [Kod-Menu-0-Alt]
  • [Kod-Menu-1-Adi]
      [Kod-Menu-1-Alt]
  • [Kod-Menu-2-Adi]
    • Menü
      • [Kod-Menu-List]
  • [Kod-Menu-0-Adi]
    • [Kod-Menu-0-Alt]
  • [Kod-Menu-1-Adi]
    • [Kod-Menu-1-Alt]
  • [Kod-Menu-2-Adi]