Kişisel Verilerin Korunması Kanunu
Sürekli olarak teknolojik gelişmelerin yaşandığı dünyamızda hayat standartlarımız gelişirken aynı zamanda da güvenlik sorunlarıyla karşılaşabiliyoruz. Hemen hemen yaptığımız tüm işlemlerde bizleri diğer kişilerden ayırt eden bilgileri karşı tarafla paylaşmak zorunda kalıyoruz. Örneğin; bir internet sitesinden alışveriş yapabilmek için kredi kartı bilgilerimizi paylaşmamız gibi.
Bu konularda hukuki bir problem yaşandığında bir bilişim avukatı ile süreci yürütmek en sağlıklı yöntem olacaktır. Ancak onun öncesinde tam olarak ne haklarımız var bunu bilmek gerekir. Bu nedenle daha iyi anlayabilmek için önce kişisel verilerin ne olduğunu tam olarak açıklamamız gerekiyor.
Kişisel Veri Nedir?
Ürünlere göz atın
Kişisel veri, bir gerçek kişiyi diğer kişilerden ayırt eden veya ayırt edebilir kılan her türlü bilgidir. Adınız ve soyadınız, e-posta adresiniz, doğum tarihiniz, doğum yeriniz, mesleğiniz, telefon numaranız, banka hesap bilgileriniz, adresiniz, parmak iziniz, ses kayıtlarınız gibi örnekler çoğaltılabilir. Temel olarak bilmemiz gereken herhangi bir gerçek kişiye ait bir bilgiden yola çıkarak onu diğer kişilerden ayırt edebiliyorsak bu bir kişisel veridir. Anayasa Mahkemesi’nin 2013/84-Esas 2014/183-Karar numaralı kararında tüzel kişilerinde kişisel verilere ilişkin korumalardan yararlanabileceğine ilişkin karar vermiştir.
Kişisel verilerin korunması kanunu, kişisel verileri elinde bulunduran gerçek ve tüzel kişilere sorumluluk yükleyerek kişisel verilerini paylaşan kişilerin kendilerini daha güvende hissetmesini sağlamaktadır.
Kişisel Verilerin Korunması Kanunun Önemi
Yukarıda kişisel verileri saklayanların genel olarak uyması gereken tedbirlerden bahsettik. Kişisel verilerin aslında hayati bir önem taşıdığını söyleyebiliriz. Örneğin; bir e-ticaret sitesinin müşterilerinin kişisel verilerini saklamada yeteri kadar güvenlik tedbiri almadığını ve bu ihlalin sonucunda o internet sitesinden alışveriş yapan kimselerin kişisel verilerinin ortaya çıktığını düşünelim. Bu durumda yaşayacağı müşteri kaybı ve alacağı cezalar nedeniyle çok zorlu günlerin kendisini bekleyeceği açıktır.
Bu durumla karşılaşmadan önce kişisel verilerin korunması kanunu hakkında uzman kişilerle çalışıp gerekli hukuki, idari ve teknik tedbirleri alınabilseydi böyle bir durum ortaya çıkmazdı.
Veri Sorumlusu ve Veri İşleyen Kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir
Veri işleyenler, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
Veri sorumlusu ve veri işleyen kavramının daha iyi anlaşılması için şöyle bir örnek verilebilir; A şirketi düzenleyeceği bir kampanya için bazı kişiler kişisel verileri A şirketiyle paylaşmış ve gereken izinleri de vermiştir A şirketi de bu kişisel verileri bir B çağrı merkezi şirketine aktararak kampanyalar hakkında müşterilerinin bilgilendirilmesini istemiştir.
Bu örnekte A firması veri sorumlusu B şirketi ise veri işleyendir.
Özetle, veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile ilgilidir. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi veri sorumlusuna aittir.
Kişisel Verilerin İşlenme Şartları
Kişisel veriler ilgili kişinin açık rızası olmadan işlenemez. Açık rıza kavramına değinmek gerekirse belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür irade sonucu verilmiş irade beyanıdır. Açık rıza olmadan kişisel verilerin işlenebileceği durumlar kişisel verileri koruma kanununda sınırlı bir şekilde sayılmıştır. Bu durumlar;
Kanunda açıkça öngörülmüş olması,
- Fiili imkânsızlık
- Sözleşmenin kurulması
- Hukuki yükümlülük
- İlgili kişinin verileri alenileştirmiş olması
- Bir hakkın tesisi
- Veri sorumlusunun meşru menfaati
Veri Sorumlusunun Aydınlatma Yükümlülüğü
Kişisel verilerin korunması kanunu, kişisel veri saklayanlara şu yükümlülükleri getirmektedir;
- Kişisel veri saklayanın kimliğini
- Kişisel verilerin ne amaçla işleneceği
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
Konularında kişisel veri sahibine bilgi verme yükümlülüğü getirmiştir.
Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin talebine bağlı değildir. Ayrıca aydınlatma yükümlülüğünün gerçekleştiğini ispat edecek olan da kişisel verileri saklayan gerçek veya tüzel kişidir.
Kişisel Veri Saklayanların Veri Güvenliğine İlişkin Yükümlülükleri
Kişisel verileri saklayanlar, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini engellemek ve kişisel verilerin muhafazasını sağlamak için gerekli tedbirleri almak zorundadır.
Kişisel verileri saklayanlar, kişisel verileri saklama kanununda öngörülen hükümlerin uygulanması için gerekli denetimleri yapmak veya yaptırmak zorundadır.
Kişisel veri saklayanlardan, kişisel verilerin kanuni olmayan yollardan ele geçirilmesi halinde veri saklayan bu durumu en kısa sürede Kişisel Verileri Koruma Kurulu’na ve kişisel veri sahibine bildirir.
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde bu kişilerle birlikte müştereken sorumludur.
Veri Sorumluları Siciline Kayıt Yükümlülüğü
Veri sorumluları sicili(VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetlerini beyan ettikleri bir kayıt sistemidir.
Kişisel Verilerin Korunması Kanunun Uygulamaya Yansıması
Kişisel veriler koruma kanunu, hukuki, idari ve teknik yönleri olan bir kanundur. Kişisel veri sorumluları ancak bu üç alanda gereken tedbirleri alabilirse başarılı olabilirler. Aşamalar;
- Kişisel verilerin korunması kanunu hakkında profesyonel destek almak,
- Veri sorumlusunun elinde bulunan kişisel verilerin tespiti,
- Çalışanların bu konuda bilinçlendirilmesi ve kişisel verilere ulaşmada çalışanları pozisyonlarına göre yetkilendirme,
- Kişisel verileri bir sınıflandırabilecek, doğru ve güncel olarak tutabilecek, gerekli olan süre kadar muhafaza edebilecek bir veri kayıt sistemi oluşturulmalı,
- Tüm bu süreçleri takip edebilecek, birbiriyle entegre bir şekilde çalışabilecek bir ekip oluşturulmalı,
- Gerekli denetimler yapılmalıdır.
Kişisel Verilerin Korunması Kanunun Öngördüğü Suçlar ve Kabahatler
Suçlar
Kişisel verilerin korunması kanununda, Ceza Hukukuna atıf yapılarak kişisel verileri,
- hukuka aykırı olarak kaydeden,
- ele geçiren,
- bir başkasına veren,
kanunda öngörülen sürelerde yok etmeyenler hakkında farklı hapis cezaları öngörülmüştür.
Kabahatler
Kişisel verilerin korunması kanununda öngörülen idari para cezaları ise şunlardır;
- Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
- Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
İdari para cezası verilir.
Sonuç
Kişisel verilerin korunması kanunu kişilerin kendilerini güvende hissetmesini sağladığı gibi aynı zamanda da kişisel veri sorumlularına da bazı sorumluluklar yüklemiştir. Aslında kişisel verilerin korunması bir yandan da kişisel veri sorumlularını korumaktadır.
Çünkü yapılan bu düzenlemeyle kişisel veri sorumluları gerekli önlemleri alıp denetlemeleri yapmaları halinde kişisel veri sahiplerine güven verecektir. Hiç kimse kişisel verilerinin güvende olmadığı bir gerçek veya tüzel kişiyle çalışmak istemez.
Kişisel verilerin korunması kanununun öngördüğü idari para cezalarından elde edilecek tahmini gelir devlet bütçesinde yer almaktadır. Bundan anlaşılacağı üzere bu konuda gerekli tedbirleri almayanlara idari para cezaları verilecektir.
İdari para cezalarının doğru olabileceği durumlar olabilir ancak bu konuda idare makaslar arasında ihlale oranla doğru bir miktar tayin etmelidir. Örneğin; 100.000 TL’lik bir cezayı gerektiren bir ihlale 200.000 TL vermesi hukuka aykırı olacaktır.
Kişisel verilerin korunması kanunu hakkında uzmanlaşmış, tecrübeli, gelişmeleri takip eden ve mevzuata hakim bir avukatla çalışılıp ve alınması gereken tedbirler konusunda danışmanlık alınmalıdır. Böylelikle hem olası cezalara karşı önlem alınmış olur hem de kişisel veri sahiplerinin kendilerini güvende hissetmesi sağlanır.
