Kişisel Verilerin Korunması Hakkındaki Kanun’a İlişkin Genel Değerlendirme

1. Genel Olarak

Uzun yıllardır raflarda bekleyen Kişisel Verilerin Korunması Hakkında Kanun 24.03.2016 tarihinde kabul edildi. 6698 sayılı kanun 07.04.2016 tarihinde 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girdi. Türkiye’nin de imzaladığı fakat Şubat 2016’da yeni yürürlüğe soktuğu, 28.1.1981 tarihli ETS 108- Strazburg Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne de paralel olarak hazırlanan bu kanun bu alanda düzenlenen ilk kanun metni olması hasebiyle dikkat çekiyor. Veri aktarımı teknolojiyle birlikte oldukça hız kazanmış ve bu gelişmeler karşısında bu konuyla ilgili özel bir kanun çıkarmak ihtiyacı hasıl olmuştur. Kanun, verilerin usulsüz olarak üçüncü kişilere aktarılmasının önüne geçmiştir. Özellikle iletişim, sağlık gibi sektörlerde, kişilerin verilerinin kullanılmasının önüne geçmesinin yanı sıra veri işleyenlerin de denetime tabi tutulmasını sağlamıştır. Kanunun ilk tasarısında kişisel veri kapsamına tüzel kişilerin verilerini de alırken [1] şu an kabul edilen kanunda[2] tüzel kişilerin bilgilerini kişisel veri kapsamında değerlendirmemektedir. Tüzel kişiler veri işleyen olabilmektedir ve buna ilişkin düzenlemelere tabi olmak zorundadır.

2. Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi

Bu sözleşmeyle kişisel verilerin korunması hakkında genel bir çerçeve çizilerek detayları her ülkenin iç hukukunda düzenlemesi amaçlanmıştır. Kişisel verilerin kapsamı, sınır ötesi veri akışları, taraflar arasındaki karşılıklı yardımlaşma gibi hususlar bu sözleşmeyle düzenlenmiştir. 1981’de imzalayarak taraf olduğumuz bu sözleşmeyi ancak 2016 Şubat ayında kabul ettik.[3] 108 sayılı Sözleşme kişisel verilerin korunması açısından önemli güvenceler içermektedir. Kişisel verilerin dürüstlük kuralına ve hukuka uygun olarak işlenmesi zorunluluğunu getirmesi, kişisel verilerin ancak belli ve meşru amaçlar için kaydedilmesine izin vermesi ve bu amaçlarla bağdaşmayan bir şekilde kullanılmasını yasaklaması, verilerin Sözleşme’deki güvencelere aykırı bir şekilde işlenmesi durumunda verileri düzeltebilme, sildirebilme ya da hukuksal yollara başvurabilme hakkını veri sahibine tanımış olması Sözleşme’nin sağladığı önemli güvencelerdir. [4]

3. 6698 Sayılı Kanun

Kanun ana hatlarıyla; kişisel verilerin işlenmesini, veri sorumlusunun ve ilgili kişinin hak ve yükümlülüklerini, kişisel verileri koruma kuruluna başvuru ve şikayet süreçlerini, veri sorumluları sicilini, suçlar ve kabahatleri, kişisel verileri koruma kurumunun genel yapısını düzenlemiştir. Bunlardan önemli olan birkaçını kısaca inceleyecek olursak:

A. Kişisel Verilerin İşlenmesi:

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. (madde 3/d) Bu veriler kişinin açıkça rızası olmadan işlenemez. Fakat Kanunun 5. maddesinin 2. fıkrasında sayılan hallerde ( bir sözleşmenin ifasının işlemeyi gerektirmesi, kendisinin alenileştirmesi, kanunlarda açıkça öngörülmesi vs.) kişinin açıkça rızasına gerek duyulmamaktadır. 108 sayılı sözleşmeyle de paralel olarak kanunun 6. maddesinde “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel veridir.” diyerek bu verileri özel nitelikli saymış ve kurul tarafından belirlenen yeterli önlemler alınmadan işlenemeyeceği düzenlenmiştir. Ayrıca verilerin yurtdışına aktarılması için tasarının 9. maddesinde belirtilen yurt dışında yeterli koruma sağlanması şartıyla ancak aktarılabilir.

B. Veri Sorumlusunun ve İlgili Kişinin Hak ve Yükümlülükleri:

Temel olarak veri sorumlusunu aydınlatma yükümlülüğü ve bu yükümlülüğün simetriğinde ilgili kişinin bilgi talep etme hakkı vardır. Ayrıca ilgili kişinin yanlış ve eksik bilgileri düzeltme talep etme hakkı, ve verilerin kanuna aykırı işlenmesinden bir zarar meydan gelmişse bu zararın giderilmesini talep etme hakkı vardır.

C. Başvuru ve Şikayet:

Veri sorumlusuna yazılı olarak başvuru yapılmasının üzerine veri sorumlusu bu talebi en geç 30 gün içinde cevaplandırır. Cevap alamayan veya olumsuz cevap alan ilgili kişi 60 gün içinde Kurula şikayet yoluna başvurabilir. Kurul en geç 60 gün içinde cevap vermek zorundadır. Cevap vermezse şikayet reddedilmiş sayılır. Ayrıca telafisi güç veya imkansız zararların doğma ihtimali varsa kurul veri işlenmesini veya yurtdışına aktarılmasını derhal durdurabilir.

D. Veri Sorumluları Sicili:

Kanunun 16. maddesinde düzenlenen veri sorumluları sicili bütün veri işleyen gerçek ve tüzel kişiler için kaydolması zorunlu olan yeni bir sicildir. Kurul tarafından belirlenecek objektif kriterlerle sicile kayıt zorunluluğuna istisna getirilebilecektir. Veri Sorumluları Siciline ilişkin diğer usul ve esaslar çıkarılacak yönetmelikle düzenleneceği için ayrıntılı bir bilgi elimizde olmamasından dolayı, veri sorumlularının hangi şartlarda ve nasıl bu sicile kaydolup sicilin içeriğinin ve hukuki statüsünün ne olacağı çıkarılacak yönetmelikle belirlenecektir.

E. Suçlar ve Kabahatler:

5237 sayılı Türk Ceza Kanununun 135 ila 140. maddelerine atıf yapan Kanunun 17. maddesi suçlar kısmını düzenlerken 18. maddede bu kanuna aykırı davranılması halinde ne kadar idari para cezası kesileceği düzenlenmiştir.

F. Kişisel Verileri Koruma Kurumu:

Yine bu kanunla ilk defa kurulacak kişisel verileri koruma kurumu ve kurulu kanunun getirdiği yeniliklerden biridir. Bu husus kanunun 19 ila 28. maddeleri arasında düzenlemiştir. Kurulun görev ve yetkilerinin arasında göze çarpanlar şunlardır; özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek, veri sorumluları sicilinin tutulmasını sağlamak ve bu kanunda öngörülen idari yaptırımlara karar vermek.

4. Sonuç

Bu alanda ilk defa düzenlenmiş olan bu kanunun henüz bir pratik uygulaması olmaması, kurulun kurulmaması ve gerekli yönetmeliklerin çıkmamış olması sebebiyle kanunun getirilerinden somut olarak bahsedemesek de uzun zaman önce çıkması gereken bu kanunun kabul edilmesi oldukça büyük bir adımdır. Kanun Resmî Gazete’de yayınladıktan sonra, adaptasyon için bir geçiş dönemi belirlenecek. Bu sürede, (özel hastaneler, bankalar, telekom şirketleri gibi) kişisel veri tutan şirketler, önce veri siciline kaydolmak, ardından hâlihazırda tuttukları verileri kanunla uyumlu hâle getirmek zorunda olacaklar. Bir başka deyişle, kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak tutulabilecek. Aksi takdirde hapis veya idari para cezaları gündeme gelecek. [5]

Kanun ayrıca geçiş hükümleri başlığı altında bu adaptasyon süreci düzenlemiştir. Buna göre; önceden işlenmiş kişisel verilerin iki yıl içinde kanunla uygun hale getirilmeli, veri sorumluları Kurul tarafından belirlenecek ve ilan edilecek süre içerisinde Sicile kayıt yaptırmalı ve kanunun yayımı tarihinden itibaren yönetmelikler bir yıl içinde yürürlüğe konulmalıdır.

Kanunun tüzel kişilerin bilgilerini kişisel verilerden saymamış olması nedeniyle şirketler arası ilişkilerin sicile kayıt zorunluluğu da olmayacağı için bu Kanun iş hayatından çok insanların özel hayatına etki edecektir. Türk hukuku adına atılmış bu olumlu adım, şirketler bazında değerlendirildiğinde çalışanlarının kayıtlarını, iş yaptıkları gerçek kişilerin kayıtlarını bildirmek ve bu sebeple veri sorumluları siciline kayıt olması gerekmesinden başka bir sorumluluk yüklemeyecektir. Ve tabiki bu kayıtların bu kanuni düzenleme ışığında tutulması gerekmektedir.

Şirketinizin yurt dışı veri transferinde, kurul tarafından o ülkenin iç hukukunda yeterli düzenleme yapılıp yapılmadığı araştırılacak ve bu sadece gerçek kişilerle ilgili veriler açısından geçerli olacak. Avrupa ülkelerinde çok önceden (Almanya’da 1970 de) bu kanun kabul edildiği ve oldukça ileri bir koruma sağlandığı için veri aktarımı konusunda bu ülkelere yapılacak aktarımlar için mevcut durum açısından bir değişiklik olmayacaktır. Diğer ülkeler için de Kurulun oluşması ardından belirlenecek kriterler doğrultusunda bir kısıtlama getirilecektir.

Saygılarımla,

Stj. Av. Osman Nuri Güven

MGM Hukuk & Danışmanlık