KİŞİSEL VERİLERİN KORUNMASI – YENİ DÜZENLEME NELER GETİRİYOR?

09-Sep-2019 / 139

 

Türk Hukuku’ nda, Kişisel Verilerin Korunması ve bu kapsamda yapılması gereken çalışmalar, uyulması gereken kurallar ve kişisel verilerin bağımsız bir bağlamda ele alınarak, 23.09.2010 tarihli 27708 sayılı Resmi Gazete’ de yayımlanmıştır.07.05.2010 tarihli 5982 sayılı Kanun ile Anayasa’ nın 20.maddesine eklenen ek fıkra ile yürürlüğe girmiştir.

Buna göre  kişiler,  kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; bireylerin kendi  kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya imha edilmesini  de kapsar. Kişisel veriler, ancak kanunda öngörülen durumlarda veya kişinin açık rızasıyla işlenebilir.Bu kanunla beraber kişiler kendi kişisel verilerinin hangi amaçla saklandığından haberdar olabilir.

‘Bahsettiğimiz Anayasa’ ya gelen düzenleme doğrultusunda yaklaşık olarak 6 yıllık bir çalışma sonrasında, 24/03/2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) TBMM’ de kabul edilmiş ve 29677 sayılı 07/04/2016 tarihli Resmi Gazete’ de yayımlanarak yürürlüğe girmiştir. Ancak Kanun’ un 32. Maddesi gereğince 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra, diğer maddeleri ise yayımı tarihinde, yürürlüğe girmiştir.’ ( KVK Rehberi 2019 )

 

Kanuna Göre Kişisel Veri Türleri 

6698 sayılı kanun bazı kişisel bilgilerin diğerlerine kıyasla  daha önemli olması sebebiyle daha korunaklı olmasını öngörür. Bu süreçte kanun öncelikle kişisel verileri düzenler daha sonra ise "Özel Nitelikli Kişisel Veriler"i düzenler.  

Özel Nitelikli Kişisel Veriler 

6698 sayılı kanunun 6.maddesi "Kişilerin inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri"nin özel nitelikli kişisel veri olduğunu belirtir. 

Özel nitelikli veriler, genel nitelikli verilere göre daha fazla risk taşımaktadır. Bu verilerin işlenmesi durumunda kişilerin çeşitli alanlarda mahrumiyet yaşama ihtimalleri, genel nitelikli kişisel verilere göre daha fazladır. 

Maddenin 2.fıkrası özel nitelikli kişisel verilerin, bireyin açık rızası olmaksızın işlenmesi yasak olduğunu açık bir şekilde vurgulamaktadır.

               ‘Maddenin 3.fıkrası yukarıda sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceğini belirtmektedir. Fıkranın devamı Sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kişinin açık rızası aranmaksızın işlenebileceğini belirtir ve bu verileri diğer özel nitelikli verilerden daha çok korunmaya uygun görmektedir.’(KVK Kanunu)

Açık Rıza

KVK Kanunu madde 5 gereği kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenememektedir. Ancak aynı maddenin 2. fıkrasında yazılan bazı istisnai durumlarda bu rıza olmadığında da  kişisel veriler işlenebilmektedir. Buna göre; kanunlarda açıkça belirtildiği gibi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan şahsın kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için mecburi olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla; sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için mecburi olması, ilgili şahsın kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin mecburi olması, ilgili kişinin temel hak ve özgürlüklerine korumak ve olumsuz bir süreç yaşatmamak kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin mecburi olması hallerinde ilgili kişinin açık rızası olmaksızın da veri işlenmesi mümkün olabilecektir.

 

KVK Kurumu – KVK Kurulu

 

KVK Kanunu madde 21 kapsamında Cumhurbaşkanlığına bağlı  Kişisel Verileri Koruma Kurulu kurulmuş olup, Kurul bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirip, kullanmaktadır. Ayrıca Kurul, yine KVK Kanunu madde 19 gereği kurulan Kişisel Verileri Koruma Kurumu’ nun karar organı olarak görev yapmaktadır. Kişisel Verileri Koruma Kurum ve Kurulu’ nun görev ve yetkileri ayrıntılı olarak KVK Kanunu’ nda yer almaktadır.

 

Veri Sorumlusu – Veri İşleyen

 

KVK Kanunu kapsamında üzerinde durulması gerekli en önemli sıfatlar veri sorumlusu ve veri işleyen sıfatları olup, aslında önemli olan nokta bu sıfatların ayrımında ortaya çıkmaktadır. Veri Sorumlusu, kişisel verilerin işleme hedeflerini ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdikleri faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır.

Veri İşleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Bu kişiler, kişisel verileri kendisine verilen talimatlar doğrultusunda  işleyen veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi olabilecektir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Bir örnekle açıklamak gerekirse; KVK Kanunu uyumluluk sürecini  firmasında uygulaya başlayan firmanın işvereni, Veri Sorumlusu işverenin firmasındaki kişisel verilerin toplanması, Verbis sistemine işlenmesi, ve imha edilmesini gerçekleştiren bu konu üzerine görevlendirilmiş  kişi ise Veri işleyen statüsündedir.

Veri Sorumluları Sicili  ( VERBİS )

 

Yine KVK Kanunu madde 16 gereğince, kişisel verileri işleyecek gerçek ve tüzel kişilerin, elektronik ortamda tutulacak Veri Sorumluları Sicili (VERBİS)’ ne kayıt olması gerekmektedir. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.

VERBİS’ e kayıtlar 01.10.2018 tarihi itibari ile başlamış olup, yıllık çalışan sayısı 50’ den çok veya yıllık mali bilanço toplamı 25 milyon TL’ den çok olan gerçek veya tüzel kişi veri sorumluları için 30.09.2019 tarihine kadar, yurtdışında yerleşik gerçek veya tüzel kişi veri sorumluları için 30.09.2019 ve yıllık çalışan sayısı 50’ den az ve yıllık mali bilanço toplamı 25 milyon TL’ den az olan ancak ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi veri sorumluları için 31.03.2020 olacaktır.

 

                                                                                                          BÜNYAMİN KILIÇ

Etiketler:

10 dakika da SGK'dan ne kadar alacağınız olduğunu öğrenin

Ücretsiz Analiz

Yukarı