24.3.2016 kabul tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu,07.4.2016 tarihli ve 29677 sayılı Resmi gazetede yayımlanarak yürürlüğe girmiştir.

Avrupa Birliği’ni Kişisel Verilerin Korunması “Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi (95/46/EC)” ile güvence altına alınmıştır. 6698 sayılı Kanunumuz da bu AB Direktifi’ne dayanılarak ve bu direktif hükümleri doğrultusunda hazırlanmıştır.

Bilişim teknolojisinin gelişmesi ile kişisel verilerimizin depolanması ve işlenmesi çok kolay bir hal almıştır. Kişisel veriler kıymetlenmiş ve ticari değer kazanmaya başlamıştır, bu sebepten dolayı kişisel verilerin satılması/pazarlanması ihtimallerini duyar olduk. Kişisel verilerin “gizliliğinin korunması” Anayasanın teminatı altında değilken,  kişisel verilerin “korunması” anayasal teminat altına alınmıştır.

AYM’ye göre bu bağlamda Anayasanın 20. maddesinin üçüncü fıkrasının son cümlesinde, “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” hükmüne yer verilerek kişisel verilerin korunması hakkı anayasal güvenceye bağlanmıştır.

Anayasa’nın  “Özel hayatın gizliliği ve korunması” başlıklı 20 maddeye eklenen ek fıkraya göre “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Öncelikle bu kanun kapsamına nelerin dahil olduğunu anlamak için kişisel veri tanımını yapmamız lazım. Kişisel veri kişiyi doğrudan ve dolaylı olarak belirlenebilir kılan tüm verilerdir.

Anayasa Mahkemesinin 09.04.2014 tarihli kararına göre; “Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır.” (Esas 2013/122, Karar 2014/74)

Kişisel veri ile yapılacak işleme ilişkin ilgili kişinin özgür iradesi ile verilmiş açık ve kesin rızası olmalıdır. Açık rıza olmadan kişisel veriler yurt dışına da aktarılamaz.

Kanun özel nitelikli kişisel veriden bahsetmektedir. Özel nitelikli kişisel veriden anlaşılması gereken kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verilerdir. Özel nitelikli kişisel veriler, Kurul tarafından belirlenen yeterli önlemler alınmaksızın hiçbir şekilde işlenemez.

Geçmişte işlenen kişisel veriler ne olacak? Bu durumda yasa da ki düzenleme uyarınca kanunun yürürlük tarihinden önce hukuka uygun alınmış rızanın varlığı halinde ve veri sahibinin 1 yıl içerisinde aksine bir iradesi olmaz ise kanuna uygun sayılır.

Kişisel verilerin işlenmesi ile ilgili ilkeler;

  • Hukuka ve Dürüstlük kuralına uygun olmalı
  • Belirli ve meşru bir amaç için kullanılmalı
  • Güncel ve doğru bir bilgi olmalı
  • İşlenme amacı ile orantılı olmalı
  • Mevzuatta belirtilen veya işlenme amacına uygun süre kadar muhafaza edilmeli

Yasa ile kamuya ve şirketlere Veri Sorumlusu bulundurma zorunluluğu geldi. Veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri sorumlusu ilgili kişilere, işlenen verilerin hangi amaçla aktarılacağı, verilerin toplanmasının hukuki sebebini ve ilgili kişilerin hakları hakkında bilgi vermekle yükümlüdür.

Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

İlgili kanun uyarınca yürürlük tarihinden itibaren 1 yıl içinde yönetmelik ve 6 ay içinde Kişisel Verileri Koruma Kurulu kurulacaktır ve bu kurul bu kanunun uygulanmasını sağlayacaktır. İlgili kurum kurulmuş ve yakın zamanda üye seçimi yapılmıştır. Kurulun gözetiminde kamuya açık olarak Veri Sorumluları Sicili tutulacak ve  kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

Yasa ile kurulması öngörülen Kişisel Verileri Koruma Kurulu’nun 9 üyeden oluşacağı, bunlardan 5’inin TBMM tarafından, 2’sinin Cumhurbaşkanı tarafından ve 2’sinin Bakanlar Kurulu tarafından seçileceği düzenlendiğinden, kanunun yürürlüğe girdiği dönemde kanunun amacından çok “fişlenme” ihtimali manşetlerde yer aldı. Uygulamaları kurum yürüteceğinden, bağımsızlığı sağladığı noktada fişleme iddialarının önüne geçilebilecektir.

İlgili kanunda Türk Ceza Kanununda yer alan Özel Hayatın Gizliliği ve Kişisel Verilerin Korunmasına ilişkin cezai hükümlerin uygulanacağı belirtilmiştir. Kanunda kabahat sayılacak hallerde yani kişisel verileri korumakla yükümlü olan veri sorumlusu kişi ve kurumların, kişisel verileri korumadıkları, gerekli tedbirleri almadıkları takdirde 5 binden 1 milyon TL’ye kadar para cezası verilebileceği belirtilmiştir.

Kanunun Geçici 1.maddesi uyarınca; veri sorumluları, kanunun yayımı tarihinden önce işledikleri kişisel verileri, yayım tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hale getirmekle yükümlüdürler. Kişisel verilerin kanuna aykırı olduğunun tespiti halinde bu veriler derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Peki kişisel veriyi anonim hale getirmek ne demektir? Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir şekilde kişiyle ilişkilendirilemeyecek hal almasıdır. Yani elimizde ki veriler üzerinden herhangi bir izleme yapıldığında verinin kime ait olduğunun anlaşılamaması gerekir.

Bu kanunu sosyal medya kanalları bakımından inceleyecek olursak, öncelikle şunu belirtmek gerekir ki hemen hemen herkesin her gün kullandığı Facebook, Twitter gibi sosyal ağların merkezleri yurtdışında olduğu için bu kanun kapsamına dahil değillerdir. Türkiye merkezli bir sosyal medya kuruluşu ise elbette ki bu kanun kapsamına dahildir ve kanunda ki yükümlülüklerini yerine getirmesi gerekmektedir.

Kişisel Verilerin Korunması Kanunu kapsamında şirketlerin gizlilik politikalarını belirlemeleri ve özellikle kendi e-ticaret sitelerinde de bu hususa yer vermeleri gerekmektedir, aksi halde kanun uyarınca yükümlülüklerini yerine getirilmemesi dolayısıyla ağır sonuçlar doğuracaktır.

Posted by Yaprak Sürmeli

Özyeğin Üniversitesi Hukuk Fakültesinden mezun olan Yaprak SÜRMELİ aynı zaman da 'melek' girişimcidir. Bu alanda bir çok eğitim ve sertifika programına katılmış, Türkiye, Japonya, Amerika ve 25 Avrupa ülkesinde patentine sahip olduğu ,ulusal ve uluslararası bir çok başarı ve ödül kazanmış olan PEGGYMATİC adlı teknolojik ürün buluşuna sahiptir.

Leave a reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir