Adımız, soyadımız ya da doğum tarihimiz dışında etnik kökenimizden kan grubumuza kadar özel ve kişisel olduğunu düşündüğümüz hiçbir veri gizli değil artık. Bugün alışveriş yaparken, bir internet sitesine üye olurken, banka hesabı açarken, işe girerken, bir kursa kayıt olurken ve hatta yemek siparişi verirken dahi kişisel verilerimizi paylaşmak zorundayız. Bilginin bu kadar kolay ulaşılabilir ve yayılabilir olduğu çağımızda, özel hayatın gizliliği ve kişisel verilerin korunması tüm dünya için hayati önem taşıyor. Ülkemizde ise 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Hakkında Kanun ile oldukça kapsamlı ve önemli düzenlemeler getirildi.
Öncelikle, kimliği belirli ya da belirlenebilir bir kişiye ait tüm bilgiler ”kişisel veri” olarak sayılıyor. Bu bilgilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi ya da sınıflandırılması gibi her türlü işlem ise ”kişisel verilerin işlenmesi” olarak kabul ediliyor. Kişisel Verilerin Korunması Hakkında Kanun’a göre, kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası gerekiyor. Ancak, kanunlarca izin verilmiş olması, rızasını açıklayamayacak durumda olan kişinin beden ve hayat bütünlüğü için önem arz etmesi, bir sözleşmenin kurulması için gerekli olması ya da verileri işleyenlerin kanuni yükümlülüklerini yerine getirebilmesi için zorunlu olması gibi durumlarda kişilerin açık rızası aranmadan kişisel verileri işlenebiliyor.
İlgili kişilerin açık rızasının ne şekilde alınacağına dair kanunda açıklık bulunmamakla birlikte, kanıtlanabilir olması bakımından rıza bildiriminin yazılı olarak alınmasını tavsiye ediyoruz.
Kanunda, kişisel verileri elde eden kişi ya da kurumlar ”veri sorumlusu” olarak tanımlanıyor. Veri sorumlusunun, kimliği, kişisel verilerin ne amaçla işleneceği, işlenen verilerin kimlere hangi amaçla aktarılacağı, kişisel verileri toplamanın yöntemi ve hukuki sebebi konularında ilgili kişileri bilgilendirme yükümlülüğü bulunuyor. Bu yükümlülüğe uymayan kişisel veri sorumlularını ise 5000 TL den 100.000 TL ye kadar para cezası bekliyor.
Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kendiliğinden ya da ilgili kişinin talebi üzerine, ilgili verileri silip, yok etmeyen veri sorumluları ise Türk Ceza Kanunu gereğince 1 yıldan 2 yıla kadar hapis cezası ile cezalandırılabiliyor.
Veri sorumlusuna yüklenen en önemli sorumluluk ise verilerin güvenliği noktasında sayılıyor. Öyle ki, kişisel verilerin hukuka aykırı işlenmesi ya da erişimini ya da muhafazasını sağlayamayan veri sorumluları, 15.000 TL den 1.000.000 TL ye kadar para cezası ile karşılaşabiliyor.
Herkesin, veri sorumlusuna başvurarak kendisiyle ilgili kişisel verilerin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, verilerin işlenme amacına uygun kullanılıp kullanılmadığını, verilerin yurtiçi ya da yurtdışında aktarıldığı kişileri öğrenmenin yanında işlenen verileri düzeltme ya da silinmesini veya yok edilmesini isteme hakkı bulunuyor. Kişisel verilerinin işlenmesinden zarara uğrayan kişilerin ise bu zararlarını talep etme hakkı bulunuyor.
Kanuna uyum süresi 07.04.2018 tarihinde son buluyor.
Kişisel Verilerin Korunması Hakkında Kanun ile hayata geçen Kişisel Verilerin Korunması Kurulu, veri sorumlusu ile verileri işlenenler arasında aracı görevi görüyor. Kurul denetiminde ve kamuya açık olarak tutulan Veri Sorumluları Sicili de yine kanunun getirdiği önemli yeniliklerden biri.
Kişisel veri sorumlusu olarak sayılan işverenler ve ticaret hayatında olan neredeyse tüm gerçek ve tüzel kişilerin, kişisel verileri işlemeye başlamadan önce, Veri Sorumluları Sicili’ne kayıt olma zorunluluğu bulunuyor.
Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesinden önce işlenen kişisel verilerin, kanunun yayım tarihinden itibaren 2 yıl içinde, yani 07.04.2018 tarihine kadar, kanunda belirtilen şartlara uygun hale getirilmesi gerekiyor. Buna göre, kanunun yayım tarihi olan 07.04.2016 tarihinden önce, kişilerin açık rızası alınmadan elde edilen tüm kişisel verilerin silinmesi ve imha edilmesi gerekiyor. Aksi takdirde kanun ile getirilen cezai yaptırımlar uygulamaya geçiyor.
Ancak, kanunun yayım tarihinden önce hukuki olarak elde edilen kişisel veriler, elde etme tarihinden itibaren 1 yıl içinde itiraz edilmemiş ise kanuna uygun elde edilmiş kabul ediliyor. Burada ”hukuki olarak elde etme” nin tanımı açık olmadığından, ilgili kanun hükmünün yoruma muhtaç olduğunu önemle belirtmemiz gerekiyor.
Av.AYŞEGÜL ZENGİN