Günümüzde, gelişen teknoloji ile birlikte kişisel veriler dahil her türlü datanın dünya genelinde herkes tarafından ulaşılabilir olmaya açık hale gelmesi ve artan ticari kaygılar nedeniyle şirketler başta olmak üzere kişisel verilerin gerçek ve tüzel kişiler tarafından gerçek bir hukuki koruma olmadan ve sınırlara tabi olmaksızın işlenmesi özel hayatın gizliliği yönünden önlenemez ihlallere sebep olmaya başlamıştır.
Kişisel verilerin işlenmesinin sınırlarını belirlemek ve özel hayatın gizliliğine yapılan bu müdahaleleri ortadan kaldırmak amacıyla kişisel verilerin korunmasına ilişkin yapılan çalışmalar son 5 yılda hız kazanarak, Avrupa’da Genel Veri Koruma Tüzüğü ve ülkemizde ise Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi ile kişisel verilerin işlenmesi konusunda yeni bir hukuki düzen getirilmiştir.
1)KİŞİSEL VERİLERİN KORUNMASI KANUNU
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7/4/2016 tarih ve Sayı : 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiş olup, “kişisel veri işleme faaliyetinin” usul ve esaslarını belirlemek ve sınırlamak amacıyla getirilmiş bir düzenlemedir.
Anılan kanun, yer yer farklılıklar içerse de Avrupa Birliği Genel Veri Koruma Tüzüğü’ne paralel bir amaç ve içerikle, ülkemizde “KİŞİSEL VERİLERİN KORUNMASI” konusunda uluslararası alanda Avrupa Standartlarına uygun bir yapı oluşturmayı hedeflemektedir.
2) KİŞİSEL VERİ NEDİR?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgidir. Gerçek kişi hakkındaki bir bilginin o kişinin kimliğini belirlenebilir hale getirmesi, o bilginin kişisel veri olduğunu söylemek için yeterlidir. Kanun ile belirlenmiş bazı kişisel veriler özel nitelikli olup, bunların işlenmesi daha sıkı şartlara bağlıdır.
Örneğin; isim, soy isim, kimlik numarası, performans değerlendirme raporları, ehliyet, plaka, fotoğraf, kamera görüntüleri, özlük dosyası ve sair bilgiler genel nitelikteki kişisel veriler iken, sağlık bilgileri, biyometrik ve genetik veriler (parmak izi vs.), etnik kimlik, dernek/sendika üyeliği gibi kişiyi ayırt edilebilir kılan veya ayrımcılık yaratabilecek bilgiler özel nitelikli kişisel verilerdir.
3) KANUN HANGİ KİŞİSEL VERİLERİ KORUMA ALTINA ALIR?
Kişisel verileri bu kanun ile özel koruma altına alınan taraf kişisel verileri işlenen gerçek kişilerdir. kanun kapsamında yalnızca gerçek kişilerin kişisel verileri korunmaktadır. Yani, şirketler gibi tüzel kişilere ait verilerin korunması bu kanun kapsamında değildir.
4) KANUNA GÖRE KİŞİSEL VERİLERİ KORUMAKLA YÜKÜMLÜ OLANLAR KİMDİR?
Bu kanun uyarınca kişisel verileri korumakla yükümlü olan kişiler ise bu verileri işleyen gerçek ve tüzel kişilerdir. Kanun ile koruma yükümlülüğü her iki hukuk statüye de yüklenmiştir.
5) VERİ SORUMLUSU NEDİR?
Kanunda, kişisel verilerin işlenme usul ve esaslarını belirleyen, hangi sistemle işleneceği, ne kadar süre saklanacağı gibi kuralları belirleyen, bu konuda söz sahibi olan gerçek veya tüzel kişisel VERİ SORUMLUSU olarak nitelendirilmektedir. Buna bağlı olarak da kanundaki tüm yükümlülükler veri sorumlusuna ait olmakta, keza ceza ve yaptırımların muhatabı da veri sorumlusu olmaktadır.
6) VERİ SORUMLULARI SİCİLİ VE VERİ ENVANTERİ NEDİR?
Kişisel Verilerin Korunması Kanunu, Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına ile bu kriterleri sağlamasa dahi kamu kurum ve kuruluşları ile ana faaliyeti özel nitelikli kişisel veri işleme gerçek ve tüzel kişi veri sorumlularının Veri Sorumluları Siciline kayıt olma ve Kişisel Veri Envanteri çıkarma zorunluluğu getirmiştir.
Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulu’nun internet sitesinden de herkese açık olarak ulaşılabilen, hangi veri sorumlusunun, hangi kategorideki verileri, hangi şartlarla işlediğinin görülebildiği bir sicil sistemidir. Bu sistemin amacı, sürekli olarak veri sorumlusu konumundaki şirket veya gerçek kişilerle muhatap olan ve verileri işlenen şahısların, bilgilerini paylaştığı bu veri sorumlularının bu bilgileri kanuna uygun işleyip işlemediğini görmesini sağlamaktır. Böylece hem veri sorumlularının bu kamuya açık sicil nedeniyle kanuna uygun davranması amaçlanmakta, hem de verileri işlenen kişilerin hukuka aykırılıkları tespit edip gerekli başvuruları yapmasına olanak sağlanmaktadır.
Kişisel Veri Envanteri ise, Veri Sorumlusunun iş yerindeki hangi birim tarafından, hangi süreçte, hani kategorideki verilerin, ne amaçla, hangi süreyle işlendiği, yurt dışına aktarılıp aktarılmadığı, veri işlenirken hangi tedbirlerin alındığı gibi bilgileri sistematik bir tablo haline getirdikleri listedir.
7) KİŞİSEL VERİLERİ KORUMA KANUNUNA UYGUN HALE GELMEK İÇİN NE YAPMAK GEREKİR?
Öncelikle belirtmek gerekir ki; Kişisel Verilerin Korunması Kanunu ile bu kanuna aykırılık halinde aykırılığın türüne göre 5.000TL ile 1.000.000TL arasında idari para cezası öngörülmüştür.
Bu kanuna uyumlu hale gelmenin birinci adımı idari ve teknik yönden VERİ GÜVENLİĞİ tedbirlerini alıp, güvenlik düzeyini Kişisel Verileri Koruma Kurulunun aradığı standarda ulaştırmaktır.
Ayrıca, kişisel veri işleme faaliyeti sırasında bilgilerin neden işlendiği, hangi amaçla kullanılacağı, ne kadar süre saklanacağı, başkalarıyla paylaşılıp paylaşılmayacağı ve başka pek çok başlık konusunda aydınlatma yükümlülüğü yerine getirilmeli ve gerekmesi halinde açık rıza alınmalıdır.
Kişisel veriler gerektiği ölçüde talep edilmeli, işe yaramayacak bilgilerin alınmasından ve saklanmasından kaçınılmalıdır. İşlenen veriler makul süre ile saklanmalı, işe yaramaz hale geldiğinde derhal imha edilmelidir.
Yukarıda sayılan ana başlıklar bu kanunun temel noktaları olmakla birlikte, bu kanun ile getirilen kurallar ve belirlenen veri işleme şartları burada belirtilenden çok daha detaylı olup, aynı zamanda her işlem ve bilgi bazında veri işleme faaliyetinin nasıl yapılması gerektiğinin kanunun ana felsefesi doğrultusunda ayrıca saptanması gerekmektedir.
Dolayısıyla kanuna uyumlu hale gelebilmek için kanunun içeriğine, veri işleme faaliyetinin genel ilkelerine, veri işleme faaliyetinin hukuki sebepleri ile kanundaki sair hususlara dair eğitim alınmalı ve bu alanın güncelliği göz önünde bulundurularak sistemin sürekli takip edilmesi ve güncellenmesi gerekmektedir.
Kişisel Verilerin Korunması Hukuku alanında uzman ekibimizden eğitim ve uyum sürecine dair detaylı bilgi ve destek almak için bizlerle iletişime geçebilirsiniz.
UZ&ER HUKUK BÜROSU
AV. M. TUFAN UZ & AV. NAFİYE DİKER & AV. ZEYNEP ZÜLFÜKAR