Kişisel Verilerin Korunması Kanunu’nun Getirdikleri

Giriş

Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde Resmi Gazetede yayınlanarak yürürlüğe girmiştir. Avrupa Birliği’nin 95/46/EC sayılı Direktifi’ne uygun olarak hazırlanan Kanun, Türk mevzuatında dağınık şekilde düzenlenen özel hayatın gizliliği, özel bilgilerin korunması ve teknolojik gelişmeler doğrultusunda işlenmesi ile ilgili düzenlemeleri tek bir kanun altında toplamıştır.

Kanun amacını kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları belirlemek olarak belirlemiştir.

Kişisel veri nedir?

Kişisel veri bir gerçek kişiyi belirli veya belirlenebilir yapan her türlü veridir. Kanun, kişilerin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ise daha katı koruma altına alarak özel nitelikli kişisel veri olarak tanımlamaktadır.  Tüzel kişi bilgileri kişisel veri olarak kabul edilmemektedir.

Veri işleme nedir?

Kişisel verilerin otomatik olan ya da otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem veri işleme olarak kabul edilmektedir.

Kişisel veriler ancak ilgili kişinin açık rızası olması halinde işlenebilecektir.

Kişisel veriler nasıl işlenebilir?

Kanuna göre kişisel veriler ancak aşağıdaki asgari şartların bulunması halinde işlenebilir:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma.
  2. b) Doğru ve gerektiğinde güncel olma.
  3. c) Belirli, açık ve meşru amaçlar için işlenme.
  4. d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  5. e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi

Ayrıca kişisel verilerin elde edilmesi sırasında veri sorumlusu ilgili kişilere; kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ve kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili bilgiler vermekle yükümlüdür.

Veri sorumlusu kimdir?

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler veri sorumlusu olarak tanımlanıyor.

Buna göre faaliyet alanı gereği gerçek kişilerle doğrudan bağlantısı olmasa da çalışanlarının kişisel bilgilerini/verilerini toplayan, saklayan veya aktaran her işveren de Kanuna göre veri sorumlusudur. İşveren çalışanların kişisel verilerini Kanuna uygun olarak işlemek zorunda olmakla birlikte, bu bilgileri hukuki yükümlülüğünü yerine getirebilmek için işlemek zorunda olduğundan çalışanın açık rızasını almak zorunda değildir.

Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, ve bu verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri sorumlusu kişisel bilgileri kendi işleyebileceği gibi verileri kendi adına işleyecek bir gerçek veya tüzel kişiyi de yetkilendirebilir.  Veri sorumlusu, böyle bir yetkilendirme halinde veri işleyenler ile birlikte müştereken sorumludur.

Veri sorumlularının yükümlülükleri nelerdir?

–       07.04.2016 tarihinden itibaren Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler Kanuna uygun olarak silinmeli, yok edilmeli veya anonim hale getirilmelidir.

–       07.04.2016 tarihinden itibaren kurulacak Kurulun çağrısı ile Veri Sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundalar.

–       07.04.2016 tarihinden itibaren veri sorumluları, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda.

–       07.04.2018 tarihine kadar veri sorumluları, Kanunun yayımı tarihinden önce işledikleri kişisel verileri, bu tarihe kadar Kanun hükümlerine uygun hale getirmekle yükümlüdür.

Kanunun getirdiği yaptırımlar nelerdir?

Kanun kişisel verilerin ilgili kişinin rızası olmadan işlenmesi halinde kişisel verinin özelliğine göre kademeli olarak yaptırımlar ön görüyor:

 

İhlal Yaptırım
İlgili kişiyi bilgilendirme yükümlülüğünün yerine getirilmemesi 5.000 Türk Lirası’ndan 100.000 Türk Lirası’na kadar para cezası
Veri Siciline kayıt yaptırmama 20.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar para cezası
Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi 15.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar para cezası
Kurul kararlarına aykırılık 25.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar para cezası
Kişisel Verilerin hukuka aykırı olarak kaydedilmesi 1 yıldan 3 yıla kadar hapis cezası
Yok edilmesi gereken verilerin yok edilmemesi 1 yıldan 2 yıla kadar hapis cezası
Kanuna aykırı olarak kişisel verilerin aktarılması, açıklanması, paylaşılması 2 yıldan 4 yıla kadar hapis cezası

 

Ayrıntılı bilgi için ozlem.ege@ege.av.tr veya bilgi@ege.av.tr