A-

A+

Kişisel Verilerin Korunması Kanunu 24.03.2016

Kişisel Verilerin Korunması Kanunu (“Kanun”) uzun yıllar süren bekleyişten sonra nihayet 24 Mart 2016 gecesi Meclis’ten geçti

Avrupa Birliği’nin 95/46/EC Direktifi’ne uygun şekilde kişisel verilere dair çerçeve bir düzenleme getirmeyi amaçlayan Kanun hem özel sektör, hem de belirli sınırlamalara tabi olarak kamu sektörü için kişisel verilerin korunması ve işlenmesine dair süreçler ile yükümlülükleri düzenliyor.

Kanun, 9 tane maddesi hariç, Resmi Gazete’de yayınlanacağı gün itibariyle yürürlüğe girecek.  Anayasa’nın 89. maddesi uyarınca,  artık Türkiye Büyük Millet Meclisince kabul edilen Kanun’un 15 gün içinde Cumhurbaşkanı tarafından onaylanarak yayımlanması bekleniyor.

Kimler Kanun kapsamına giriyor?

Kısaca aşağıdaki iki soruya “evet” cevabı veren şirketlerden iseniz  Kanun kapsamına giriyor olacaksınız.

  1. Şirketiniz, kişisel verileri tamamen veya kısmen otomatik olan yollarla işliyor mu?

ya da

  1. Şirketiniz kişisel verileri herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işliyor mu?

Birinci soru açısından örneğin şirketiniz, bilgisayar, telefon, hesap makinesi, saat, vs. gibi işlemci sahibi (processor) cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden veri işliyorsa, o zaman  “tamamen ya da kısmen otomatik yollarla kişisel veri işliyor” olarak kabul edileceksiniz.

İkinci soru açısından ise, şirketinizde insan tarafından elle hazırlansa da erişimi ve anlamlandırmayı kolaylaştıran bir veri sistemi kullanılarak veri işleniyorsa, bu durumda da Kanun kapsamında veri işliyor kabul edileceksiniz.

Hep şirketiniz diyoruz ama, aslında veri işleyen gerçek kişiler de Kanun kapsamına giriyor. Ancak şimdilik şirketlere odaklanalım.

Bu şekilde veri işliyorsanız Kanun sizi veri sorumlusu olarak kabul ediyor.

Peki “kişisel veri”den kastedilen nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bunlar çalışanlarınıza, müşterilerinize veya iş ortaklarınıza ait bilgiler olabilir. Kanun sadece gerçek kişilere ait kişisel verileri koruma altına aldığından, tüzel kişilere ait veriler Kanun kapsamında değildir.  

Örneğin, bir kişinin adı, soyadı, taşıt plakası, TC kimlik numarası, SGK numarası, pasaport numarası, özgeçmişi, e-posta adresi veya resmi hep kişisel bilgidir. Daha geniş bir ifadeyle,  bir gerçek kişinin kimliği ile eşleşebilen her türlü veri kişisel veridir.

Şirketiniz tarafından tutulan IP adresleri, ya da kullanılan kapalı devre kamera görüntüleri, tutulan ses kayıtları veya alınan parmak izleri de hep kişisel veri olarak kabul edilir. 

Kanun’da tanımlanan “özel nitelikli kişisel veriler” ise; bir kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği,  sağlığı veya cinsel hayatıyla ilgili verileri, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili bilgileri ile biyometrik verilerini de içeren hassas verilerdir.

Kişisel verilerin ve özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır ve ancak Kanun’da sayılan çok sınırlı haller ile ve yeterli önlemlerin alınması şartıyla bu kurala istina getirilmiştir.

Kişisel verileri nasıl işliyor olabilirsiniz?

Şirketinizde iş başvurusundan müşteri memnuniyet programına kadar kayıt almak için kullandığınız her çeşit maktu formlar, müşteri kayıt sistemleriniz, internet uygulamalarınız, insan kaynakları sistemleriniz, e-posta sistemleri üzerindeki kayıtlarınız, analitik ve raporlama uygulamalarınız, satış ve operasyon sistemleriniz gibi pek çok farklı yöntemle veri işliyor olabilirsiniz.

Bir uyum süreci öngörülmüş mü?

Yukarıda da belirttiğimiz üzere, Kanun bazı istisnalar hariç yayımlandığı tarihte yürürlüğe giriyor. Bu da artık şirketlerin (aslında hiç kimsenin) Kanun yürürlüğe girdiği andan itibaren prensip olarak “açık rıza” olmaksızın kişisel verileri işleyemeyecek olduğu anlamına geliyor. Kısaca şirketler, yürürlük tarihi itibariyle ancak kişisel verileri Kanun’da sayılan genel ilklere uygun olarak, açık rızanın varlığı halinde (ya da duruma göre açık rızanın istisnasının varlığı halinde) işleyebilecekler.  

Bu arada belirtmekte yarar var. “Veri işlemek” Kanun’da açıkça tanımlanmış teknik bir terim ve verilerin “elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”i ifade etmek için kullanılıyor.

Kanun, uyum açısından sadece, yayımı tarihinden önce işlenmiş olan kişisel veriler için bir istisna getirmiş durumda ve bu verilerin işlenme prosedürlerinin de Kanun’un yayımı tarihinden itibaren iki yıllık bir uyum dönemi içinde Kanun hükümlerine uygun hâle getirilmesi gerekiyor.

Hal böyle olmakla birlikte, Kanun’da 6 aylık cezasız bir dönem öngörülmekte olduğundan, veri sorumlusu şirketler bu 6 aylık dönem içinde Kanun’da öngörülen şartlara ve veri işlemeye dair kurallara uyum çalışmalarını tamamlamış olurlarsa Kanun’daki cezai yaptırımlara konu olmayabilirler. Aksi takdirde, şirketler ve yöneticileri 1 ilâ 4 yıl arasında değişen hapis cezaları ile ihlal başına 1 milyon TL’ye kadar varabilen idari para cezaları gibi ağır yaptırımlarla karşı karşıya kalabilirler.

İdari para cezaları Kanun’un yayımı tarihinden itibaren 6 ay içerisinde düzenleyici bağımsız bir kurum olarak kurulacak olan Kişisel Verileri Koruma Kurumu ve onun karar organı olan Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından uygulanacaktır. Burada dikkat edilmesi gereken bir konu, bir şirketin farklı mevzuatlar nedeniyle kişisel veri koruması düzenlemelerine aykırı davranışları nedeniyle farklı kurumlarca farklı idari para cezalarına çarptırılması riskidir. Buna bir örnek olarak Bilgi Teknolojileri ve İletişim Kurumu tarafından verilebilecek cezalar gösterilebilir.

Bu nedenle, veri işleyen şirketlerin Kanun’un yayımı tarihinden itibaren en geç 6 ay içinde uyum süreçlerini tamamlamış olmalarını tavsiye ediyoruz.

Verinin hukuka uygun işlendiğinin kabulü için hangi şartlara uymak gerekli?

Verinin hukuka uygun işlenmesi için özetle aşağıdaki tüm şartların birlikte sağlanması gerekli: 

(1) Verinin işlenmesi için açık rıza alınmış veya Kanun’da sayılan istisnalardan biri uygulanıyor olmalıdır; (2) veri sorumlusu aydınlatma yükümlülüğünü yerine getirmiş/getiriyor olmalıdır; (3) veri amaç ve süre ile sınırlı olarak işlenmiş olmalıdır ve (4) verilerin işlenmesine dair genel ilkelere uyulması gereklidir.

Veri sorumluları için getirilen bazı esaslı yükümlülükler nelerdir?       

(1) Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Anonimleştirme yöntemleri Kurul tarafından çıkartılacak Yönetmelik/Tebliğ ile belirlenecektir.

(2) Aydınlatma

Aydınlatma yükümlülüğü esas olarak veri sorumlusu veya yetkilendirdiği kişinin,  kişisel verilerin elde edilmesi sırasında ilgili kişileri aşağıda belirtilen hususlara dair aydınlatmasını gerekli kılsa da, bu yükümlülük veri alındıktan sonra da, örneğin verinin aktarılması aşamasında, duruma göre devam edebilir. O nedenle şirketlerin her zaman  bu yükümlülüğü dikkate alarak hareket etmelerini öneririz.

Veri sorumlusu veya yetkilendirdiği kişinin, (1) veri sorumlusunun ve varsa temsilcisinin kimliği, (2)  kişisel verilerin hangi amaçla işleneceği, (3)  işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, (4) kişisel veri toplamanın yöntemi ve hukuki sebebi ile (5) Kanun’un 11. maddesinde ilgili kişiye sağlanan haklara dair, kişileri bilgilendirmesi ve aydınlatması gereklidir.

(3) Veri güvenliğinin sağlanması

Veri sorumlusu şirketler;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri sorumlusu adına bir işleme faaliyeti gerçekleştirilmesi halinde, veri sorumlusu yeterli güvenceler sağlayan bir işleyici seçmek zorundadır. Bu durumda işlemenin de teknik güvenlik tedbirleri ve düzenleme tedbirleri başta olmak üzere, Kanunda öngörülen gereklilikleri yerine getiren ve ilgilinin haklarını koruyan biçimde uygun teknik tedbirler ve düzenleme tedbirleri ve usulleri uygulanarak  gerçekleştirilmesi gerekir.

(4) Veri Sorumluları Sicili’ne kayıt

Verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Kurul tarafından belirlenecek sürede kurulacak Veri Sorumluları Siciline kaydolmak zorundadır. Veri Sorumluları Sicili, Kurul’un gözetiminde kamuya açık olarak tutulur.

Yurtdışına veri aktarı

Dikkat edilmesi gereken bir başka husus da Kanun uyarınca kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına verilerin aktarılmamasıdır. Kişisel veriler, ancak Kanun’da sayılan sınırlı hallerde ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması ya da yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Burada şirketlerin, kullandıkları altyapı hizmetleri ya da imzalamış oldukları sözleşmeler dolayısıyla ya da çok farklı şekillerde verilerini yurtdışına  aktarıyor olmaları ihtimaline dikkat edilmelidir. Artık ancak Avrupa Birliği ülkelerine ve Avrupa Birliği dışında veri transferlerinde yeterli seviyede koruma şartını sağlayan ülkelere veri aktarımı yapılması mümkün olacaktır. 

Peki şimdi ne yapacağız?

Kanun’un çok yakında yürürlüğe gireceği de dikkate alınarak, 6 aylık cezasız dönemde ivedilikle mevcut veri işleme faaliyetlerine dair bazı aksiyonların öncelikli olarak alınmasını öneriyoruz:

  1. Uyum sürecinin yönetimi için bir uyum ekibi kurulmasının değerlendirilmesi ve şirketin büyüklüğü dikkate alınarak başta bilişim ve hukuk danışmanları olmak üzere, varsa risk yöneticisi ve iç denetçilerden oluşan bir ekibin oluşturulması,
  2. Şirkette veri işleme faaliyetlerine ve uyuma dair bir iç denetim yapılması,
  3. Yabancı ortaklı şirketler açısından grup politikaları da dikkate alınarak şirket içi ve dışı veri kullanım politikalarının belirlenmesi,
  4. Şirkette veri sorumlusunun temsilcisi olarak bir veri koruması görevlisi ya da uyum görevlisinin istihdamının değerlendirilmesi ve görev tanımı ile yetkilendirmelerinin yapılması
  5. Şirket organizasyon şemasının yeniden düzenlenmesi,
  6. Şirket adına veri işleyen üçüncü bir kişi var ise, hak ve yükümlülüklere dair sözleşmesel bir altyapının kurulması,
  7. Verinin 3. kişilere veya yurtdışına aktarılması durumunun olup olmadığının, varsa aktarım yapılan kişi ve ülkelere dair yükümlülüklerin tespiti,
  8. Kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve hukuki alt yapının kurulması,
  9. Şirket tarafından kullanılan başvuru formları dahil, tüm sözleşmelerin veri işleme ve aktarımı açısından incelenmesi, uyum programı çerçevesinde tadili,
  10. Şirketteki üst düzey yöneticiler ile veri işleyen durumundaki operasyonel birimlerin eğitilmesi.

 

Bu önerilerimiz doğrultusunda varsa ek sorularınız ve yardım talepleriniz için bizimle irtibata geçebilirsiniz.