6698 Sayılı Kişisel Verilerin Korunması Kanunu Hakkında Bilgilendirme

Kişisel Verilerin Korunması Kanunu, 07.04.2016 tarih ve 29677 Sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Kanunun önemine binaen özellikle aşağıdaki hükümler hakkında bilgilendirme gereği duyulmuştur:

 

KANUNUN AMACI

 

Kişinin kendi verileri üzerindeki tasarruf hakkını teminat altına almaktır.

 

AB’de geliştirilmiş temel direktif doğrultusunda hazırlanmış bir çerçeve kanundur. Tüm sektörleri kapsayan ve sektör bazında olmayan bir kanun olup, ikincil mevzuat henüz yürürlüğe girmediğinden birçok husus henüz muğlaktır.

 

KİŞİSEL VERİ:

 

Kanunda kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; kişisel verilerin işlenmesi ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinden gerçekleştirilen her türlü işlem olarak tanımlanmıştır.

 

KİŞİSEL VERİ TÜRLERİ

 

GENEL NİTELİKLİ KİŞİSEL VERİ          :Hassas veri niteliğinde olmayan her türlü verilerdir.

 

ÖZEL NİTELİKLİ KİŞİSEL VERİ             :(Hassas Veri)Irk,etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili verileri, biyometrik ve genetik verilerdir.(Fişleme ile ilgili olan, ayrımcılığa uğrama tehlikesini bünyesinde barındıran tüm veriler hassas veri niteliğindedir. Anonimleştirmeden kullanılamaz.)

 

 

 

 

ETKİ DEĞERLENDİRMESİ

 

Avrupa Birliği uygulamalarına paralel olarak yakın zamanda ülkemizde kişisel verilerin kullanımının ve e-dönüşüm projelerinin artması nedeni ile ilgili yapılanmalardan önce “mahremiyet etki değerlendirmesi” (MED) yapılması şartı getirilebilecektir.

 

KİŞİSEL VERİLERİ İŞLEME ŞARTLARI

 

• Kişisel verileri işleyebilmenin en önemli şart veri sahibinin açık rızasının varlığıdır.Bu husus tüm veriler için hukuka uygunluk nedenidir.
• Kişisel verinin işlenmesi meşru bir amaca yönelik olmalıdır.
• Veri sahibini aydınlatma yükümlülüğü yerine getirilmiş olmalıdır. (Verinin alınmasındaki amaç, kapsam ve dayanak)

 

İLGİLİNİN RIZASININ ARANMAYACAĞI İSTİSNA HALLER

 

Kişisel veriler, kişinin açık rızası olmadan işlenemez. Ancak aşağıdaki haller bu ilkenin istisnasını teşkil etmekte ve kişinin açık rızası olmasa dahi aşağıdaki hallerin varlığı halinde kişisel verileri işlenebilmektedir:

 

1. Kanunlarda açıkça öngörülmesi
2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgisi olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
4. Veri sorumlusunun (kişisel verilen işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi) hukuki sorumluluğunu yerine getirebilmesi için zorunlu olması
5. İlgili kişinin kendisi tarafından alenileştirilmiş olması
6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumluusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

 

Burada yer alan hususlar yalnızca rıza alınmaksızın işlemeye ilişkindir, paylaşıma ilişkin değil.

 

ÖZEL NİTELİKLİ VERİLERİN İŞLENMESİNDE RIZANIN ARANMAYACAĞI HALLER

 

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, sağlığın korunması, önleyici hekimlik, sağlık hizmetlerinin planlanması ve finansmanı amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kişinin açık rızası aranmaksızın işlenebilir.

 

KİŞİSEL VERİLERİN SİLİNMESİ/YOK EDİLMESİ/ANONİMLEŞTİRİLMESİ

 

Kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili kişinin talebi ile veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. Buna ilişkin esaslar, çıkarılacak bir yönetmelikle belirlenecektir.

 

Anonimleştirme; kişisel verinin kişi ile bağlanan anahtarının olmaması/kaldırılmasıdır.

KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

 

Genel Kural: Kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

 

İstisna: Kanunun istisna hükümlerinin varlığı + veri aktarılacak ülkede yeterli korumanın olması/korumayı yazılı olarak taahhüt etmeleri + veri koruma kurulunun izninin olması durumunda açık rıza olmaksızın veriler yurt dışına aktarılabilir.

 

AYDINLATMA YÜKÜMLÜLÜĞÜ

 

Veri sorumlusunun,

 

• Veri sorumlusunun ve varsa temsilcisinin kimliği
• Kişisel verilerin hangi amaçla işleneceği
• İşlenen verilerin kimlere ve hangi amaçla aktarılabileceği
• Kişisel verileri toplama yöntemi ve hukuki sebebi
• Veri sahibinin hakları konusunda aydınlatma yükümlülüğü vardır.

 

Herkes, veri sorumlusuna başvurarak; kendisiyle ilgili;

 

1. Kişisel verilerin işlenip işlenmediğini öğrenme
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
3. Kişisel verilerinin işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
4. Yurt içinde ve dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
5. Kişisel verilerin eksik ya da yanlış işlenmesi durumunda düzeltilmesini isteme
6. Kanunda öngörülen şartlar çerçevesinde kişisel verilen silinmesini veya yok edilmesini isteme
7. Kişisel verilerin düzeltilmesi, silinmesini/yok edilmesi işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
9. Kişisel verilen kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme

 

hakkına sahiptir. Burada belirtilen haklar veri sahibinin haklarıdır.

 

VERİ GÜVENLİĞİNİN SAĞLANMASI

 

Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazası amacıyla gerekli güvenlik tedbirlerini temin etmeye yönelik teknik ve idari tedbirleri almakla yükümlüdür.

 

Veri Sorumlusunun bu kapsamda uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri alma yükümlülüğü bulunmaktadır.

 

Bu bağlamda veri sorumlularının yani kişisel veri toplayan kuruluşların donanımsal, yazılımsal ve çevresel güvenliği sağlamaları gerekmektedir.

 

Veri sorumluları (veriyi işleyen, tutan ve verinin işlenmesini talep eden), söz konusu tedbirlerin alınmasından müştereken sorumludur. Bu bağlamda gerek çağrı merkezi şirketleri gerekse bu şirketler ile sözleşmesi bulunan gerçek veya tüzel kişiler, verilerin korunması ve meydana gelen zarardan müştereken sorumlu olacaktır.

 

Veri sorumluları ve veriyi işleyen kişiler öğrendikleri kişisel verileri başkasına açıklayamayacaklar ve işleme amacı dışında kullanamayacaklardır. Bu yükümlülük görevden ayrılmalarından sonra da devam edecektir.

 

Veri sorumlusu, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde durumu en kısa sürede ilgisine ve Kişisel Verileri Koruma Kuruluna bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde veya uygun göreceği başka bir yöntemle ilan edebilir.

 

Şirketin personellerinin özlük dosyalarını koruma yükümlülüğü de işbu kanun kapsamındadır.

 

VERİ SORUMLUSUNA BAŞVURU

 

İlgili kişi, bu kanunun uygulanması ile ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği başka bir yöntemle veri sorumlusuna iletir. Veri sorumlusu, talepleri en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. İşlemin maliyet gerektirmesi halinde Kurulca belirlenen tarifedeki ücret alınabilir. Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddedebilir. Cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi halinde veri sorumlusu tarafından gereği yerine getirilir.

 

KURULA ŞİKÂYET

 

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi halinde ilgili kişi veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden 60 gün içinde Kurula şikâyette bulunabilir.

 

Kişilik hakları ihlal edilenlerin genel hükümlere göre tazminat hakkı saklıdır.

 

ŞİKÂYET İNCELEME USULÜ

 

Şikâyet halinde Kurul, talebi inceleyerek ilgililere cevap verir. 60 gün içinde cevap verilmezse talep reddedilmiş sayılır. Şikâyet üzerine veya re’sen yapılan inceleme sonucunda ihlalin yaygın olduğunun tespit edilmesi halinde Kurul bu konuda ilke kararı alır ve kararı yayımlar. Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde kişisel verilen işlenmesinin veya yurt dışına aktarılmasının durdurulmasına karar verebilir.

 

Kurul tarafından ihlalin varlığının anlaşılması halinde veri sorumluları karar gereğini  en geç 30 gün içerisinde yerine getirir

 

VERİ SORUMLULARI SİCİLİ

 

Kişisel verileri işleyen gerçek veya tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

 

Veri Sorumluları hangi tür verileri hangi kapsamda işlediklerini ve kimlerle paylaştıklarını Kurul’a bildirecek ve bilgiler herkesin erişimine açık olacaktır.

 

SUÇLAR VE KABAHATLER

 

Kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun Kişisel Verilerin Kaydedilmesine ilişkin 135 ila 140.madde hükümleri uygulanır.

 

Kanunun’un öngördüğü kabahatler;

 

• Veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5000-TL’den 100.000-TL’ye kadar,
• Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000-TL’den 1.000.000-TL’ye kadar,
• Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000-TL’den 1.000.000-TL’ye kadar,
• Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne uymayanlar hakkında 20.000.000-TL’den 1.000.000-TL’ye kadar,

 

idari para cezası şeklindedir. Bu idari para cezaları, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. Bu eylemlerin kamu kurumları ile kamu kurumu niteliğindeki meslek kuruluşları hakkında işlenmesi halinde Kurulun yapacağı bildirim üzerine bu kurumlarda görev yapan kişiler hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

 

KİŞİSEL VERİLERİ KORUMA KURULU

 

Kanunla verilen görevleri yerine getirmek üzere Kişisel Verileri Koruma Kurumu kurulmuş olup Kurum, mali ve idari özerkliğe sahiptir.

 

KANUNUN İSTİSNALARI

 

Kanunun aşağıdaki halleri istisna kapsamında tutmuştur:

 

1. a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

 

1. b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

 

1. c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

 

ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

 

1. d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

 

(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:

 

1. a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

 

1. b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

 

1. c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

 

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

 

KANUN İLE BAŞKA KANUNLARDA YAPILAN DEĞİŞİKLİKLER

 

Kişisel Verilerin Korunması Kanunu ile bazı kanunlarda değişiklik yapılmıştır:

 

• Türk Ceza Kanunu’nun 135 inci maddesinin ikinci fıkrasında yer alan “Kişilerin” ibaresi “Kişisel verinin, kişilerin” şeklinde; “bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır” ibaresi “olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır” şeklinde değiştirilmiştir.
• Türk Ceza  Kanunun 226 ncı maddesinin üçüncü fıkrasında yer alan “çocukları” ibaresi “çocukları, temsili çocuk görüntülerini veya çocuk gibi görünen kişileri” şeklinde değiştirilmiştir.
• Türk Ceza Kanunun 243 üncü maddesinin birinci fıkrasında yer alan “ve” ibaresi “veya” şeklinde değiştirilmiş ve maddeye aşağıdaki fıkra eklenmiştir.

 

“(4) Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.”

 

• Türk Ceza Kanuna 245 inci maddeden sonra gelmek üzere aşağıdaki 245/A maddesi eklenmiştir.

 

“Yasak cihaz veya programlar

 

MADDE 245/A- (1) Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu Bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır.”

 

• Sağlık Hizmetleri Temel Kanununun 3 üncü maddesinin birinci fıkrasının (f) bendi aşağıdaki şekilde değiştirilmiştir.

 

“f) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir.”

 

• Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 nci maddesi aşağıdaki şekilde değiştirilmiştir.

 

“MADDE 47- (1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.

 

(2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.

 

(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.

 

(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, bu Kanun uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.

 

(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.

 

(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir.”

 

YÜRÜRLÜK

 

Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.

 

Kanunda öngörülen yönetmelikler bu Kanunun yayımı tarihinden itibaren bir yıl içinde yürürlüğe konulur.

 

Bu Kanunun;

 

7. a) Kişisel verilerin aktarılmasına ilişkin 8 inci, kişisel verilerin yurt dışına aktarılmasına ilişkin 9 uncu,  ilgili kişinin haklarına ilişkin 11 inci, veri sorumlusuna başvuruya ilişkin 13 üncü, Kurula şikayete ilişkin 14 üncü, şikayet üzerine veya re’sen incelemenin usul ve esaslarına ilişkin 15 inci, veri sorumluları siciline ilişkin 16 ncı, suçları düzenleyen  17 nci ve kabahatleri düzenleyen 18 inci maddeleri yayımı tarihinden altı ay sonra (07.10.2016)

 

7. b) Diğer maddeleri ise yayımı tarihinde (07.04.2016),

 

yürürlüğe girer.

 

Saygılarımızla

Av. Gamze BAHATIR