KİŞİSEL VERİLERİN KORUNMASI KANUNU

26-04-2016
Sağlık, Adissad
Twitter Facebook LinkedIn Mail

KİŞİSEL VERİLERİN KORUNMASI KANUNU

KİŞİSEL VERİ KAVRAMI

Kişisel veri, genel olarak belirli veya kimliği belirlenebilir gerçek veya tüzel kişilere ilişkin bilgilerin tamamı olarak nitelendirilmiştir.

Gerçek kişi ?Özellikle bir kimlik numarası referans alınarak doğrudan ya da dolaylı olarak belirlenebilen ya da fiziksel, psikolojik, akli, ekonomik,  kültürel veya sosyal kimliğine özgü bir veya birden çok faktörle tanımlanabilen kişidir.?(1)

TARİHİ GELİŞİMİ

Tarihi olarak gelişimine bakıldığında, gelişmekte olan teknoloji nedeniyle önceleri kağıtlara basılan ve saklanan kişisel veriler, 1980?lerden itibaren elektronik ortama aktarılmaya başlanmıştır ve buna bağlı olarak muhafaza şekilleri de değişiklik göstermiştir. Bu değişiklik neticesinde bu verilere ulaşım yolları da kolaylaşmıştır. Bu verilerin hukuka aykırı kaydedilmesi veya rıza ile alınmış olsa da iyi muhafaza edilmemesi yahut kanunlarda öngörülen sürelere rağmen ?anonimleştirilmemesi, yok edilmemesi? nedeniyle kişilik haklarının ihlal edileceği aşikârdır. Bu tehlikeleri önleme amacıyla 1980? li yıllarda çeşitli çalışmalar yapılmış ve 1981? de Avrupa Konseyi tarafından ?Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin Sözleşme?  hazırlanmıştır. Bu sözleşme ile ihtiyaç duyulan konularda çeşitli düzenlemeler yapılmış ve elektronik ortama aktarılan ve dolaşıma giren bilgilerin korunması amaçlanmıştır. Bu sözleşmenin en önemli özelliği, koruma sağlanamadığı takdirde ?sorumlulara? gidilebilecek olmasıdır.

Türkiye imza atan devletlerden biri olsa da uzun yıllar boyunca bu konu hakkında somut bir düzenlemeyi bir bütün halinde yapmamıştır. Ancak, geçtiğimiz 20 yıl içinde yaşanan teknolojik gelişmeler ve verilerin ekonomik değer ifade eder hale gelmesi, bu reformu kaçınılmaz kılmıştır.

Hatırlanacağı üzere, birkaç yıl önce sosyal medya devi Facebook, 19 milyar dolar vererek bugün son derece yaygın kullanım ağına sahip olan Whatsapp uygulamasını satın almıştır. Whatsapp uygulaması basit bir yazılımdan oluşsa da teknik açıdan değil, milyonlarca kullanıcının ?rıza göstererek? uygulamanın kullanımına sunduğu kişisel veriler sebebiyle bu denli yüksek rakamla Facebook tarafından satın alınmıştır. (2)

Ayrıca Avrupa Birliği? ne üyelik sürecinde de kişisel verilerin korunması konusu, kişilik hakları açısından önemli bir yere sahiptir.

Bu sebeplerledir ki, 24/03/ 2016 tarihinde, Adalet Bakanlığı tarafından hazırlanan ve Türkiye Büyük Millet Meclisi Genel Kurul?unda görüşülerek kabul edilen ? Kişisel Verilerin Korunması Kanunu? Cumhurbaşkanı?nın onayının ardından Resmi Gazete? de yayımlanarak yürürlüğe girmiştir.

KİŞİSEL VERİLERİN KORUNMASI KANUNU

Bu kanuna göre kişisel veriler ancak usul ve esaslara uygun olarak işlenebilecektir.  Kişisel verilerin işlenmesinde; “hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma,  belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uyulması zorunlu olacaktır.

Düzenlemeye göre kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

Ancak aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkündür;

  1. a) Kanunlarda açıkça öngörülmesi,
  2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

  1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

ÖZEL NİTELİKLİ KİŞİSEL VERİ

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel veridir.

Özel nitelikli kişisel veriler, Kurul tarafından belirlenen yeterli önlemler alınmaksızın hiçbir şekilde işlenemez. Özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgilinin açık rızası olmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Bu verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

 KİŞİSEL VERİLERİN AKTARIMI, SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamayacak, ancak belirtilen şartlardan birinin bulunması halinde aktarılabilecektir.

Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacaktır. Kişisel veriler ancak kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli koruma yoksa Türkiye ve yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul?un izninin bulunması şartıyla yurt dışına aktarılabilecektir.

Kişisel veriler, uluslar arası sözleşme hükümleri saklı kalmak üzere, Türkiye?nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum ve kuruluşunun görüşü alınarak Kurul?un izniyle yurtdışına aktarılabilecektir.

Kanunlara uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re?sen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

 İLGİLİ KİŞİNİN HAKLARI

Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

  1. a) Kişisel veri işlenip işlenmediğini öğrenme,
  2. b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  1. d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  2. e) 7? nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  3. f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  4. g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir.

 VERİ SORUMLUSUNUN YÜKÜMLÜLÜĞÜ

Veri sorumlusunun aydınlatma yükümlülüğü vardır. Ayrıca veri sorumlusu, verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü tutulmaktadır.

 VERİ SORUMLUSUNA BAŞVURU İMKÂNI

İlgili kişiler, Kanun?un 11. maddesinde sayılan haklarıyla ilgili taleplerini öncelikle veri sorumlusuna iletmelidir. Bu yol tüketilmeden şikâyet yoluna gidilemez.

Talebi alan veri sorumlusu ücretsiz veya işlem ayrıca maliyet gerektiriyorsa belirlenen tarifeye göre alacağı ücret ile en kısa sürede ve en geç 30 gün içinde inceleyerek, talebi kabul etmek veya gerekçesini açıklayarak reddetmek,  ayrıca cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirmek zorundadır.

 ŞİKÂYET İMKÂNI

İlgili kişinin veri sorumlusuna yaptığı başvurunun reddi halinde verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde ilgili kişi Kurul? a şikâyette bulunabilecektir.

Kurul,  şikâyet üzerine yapacağı inceleme sonunda cevap vermelidir. Ancak şikâyet tarihinden itibaren 60 gün içinde cevap verilmezse talep reddedilmiş sayılır.

Şikayet tarihinden itibaren 60 günlük sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır. Kurul şikayet sonucu bu Kanun hükümlerinin ihlal edildiğine kanaat ederse tespit ettiği hukuka aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar verir, kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç 30 gün içinde yerine getirilir.

İDARİ VE CEZAİ YAPTIRIMLAR

Kişisel verilere ilişkin suçlar ve ceza yaptırımı bakımından 5237 sayılı TCK? nın ilgili hükümlerine atıf yapılmaktadır. Ayrıca kanunda öngörülen bazı yükümlülüklerin yerine getirilmemesi kabahat olarak nitelenmekte ve idari yaptırıma bağlanmaktadır. İdari yaptırımlara Kurul tarafından karar verileceği de hükme bağlanmıştır.

(1) Avrupa Birliği?nin 24 Ekim 1995 Tarihli Kişisel Verilerin İşlenmesi İle İlgili Bireylerin Korunması ve Bu Tür Verilerin Serbest Dolaşımına İlişkin 95/46/AB Sayılı Direktifi md.2/a

(2) Av. Oğuz Kaan Pehlivan

 

Özcan Hukuk Bürosu – Av. Muzaffer ÖZCAN