Kişisel Verilerin Korunması Kanunu'na Uyum Sağlama Gerekliliği
Kişisel verilerin korunması meselesi 1960'lı yıllardan bu yana dünyanın, 1980'lerden bu yana ise Türkiye'nin gündeminde olan bir konudur. Türkiye, 108 Avrupa Konseyi Sözleşmesi (Kişisel Verilerin Otomatik İşleme Tabi Tutulması Sırasında İnsanın Korunmasına İlişkin Sözleşme), 'nin tarafı olmakla kişisel verilerin etkili bir biçimde korunmasını taahhüt etmiştir. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu (bundan böyle "Kanun" olarak anılacaktır) 7 Nisan 2016 tarihinde Resmi Gazete'de yayımlanarak yürürlüğe girmiştir.
Bu kanun, kişisel veri işleme faaliyetinde bulunan hemen hemen tüm gerçek ve tüzel kişileri ilgilendirmektedir.
"Kişisel Veri" Kavramından Ne Anlaşılmalıdır?
Kişisel veri, kanunda "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak açıklanmıştır. Bu bilgilerin nelerden ibaret olduğunun tek tek sayılmak sureti ile belirlenmesi ve netleştirilmesi ne yazık ki mümkün değildir. Çünkü bir veriden yola çıkarak o kişinin kimliğinin belirlenme imkanının bulunup bulunmadığı, her durum için ayrı bir değerlendirme gerektirir. Öte yandan, özellikle teknolojik gelişmeler neticesinde bugün için kişinin kimliğini belirleme niteliğinden yoksun bir verinin ileride çeşitli vasıtalarla anlamlandırılarak kişinin kimliğini belirleyebilir hale gelmesi mümkün olabilir. Uygulamada genellikle kişinin adı ve soyadı, kimlik numarası, telefon numarası, e-posta adresi, görüntüsü, sesi, yerleşim yeri, eğitim durumu, mesleği, araba plakası, banka hesap bilgileri, parmak izi, DNA'sı, adli sicil kayıtları, IP adresi, herhangi bir hastalığın seyri, teşhisi, tedavisi ile yapılan tetkikler konusunda bilgiler içeren belge ve kayıtlar kişisel veri olarak kabul edilmektedir.
"Kişisel Veri İşlemek" Ne Anlama Gelir?
Kişisel verileri işlemek, bu tür verilerin temin edilmesinden herhangi bir şekilde yok edilmesine; yani silinmesine, imhasına veya veri ile ilgili olduğu kişi arasındaki bağlantının kaldırılmasına (anonimleştirilmesine) kadar kişisel veriler üzerinde gerçekleştirilen her türlü faaliyettir. Ancak Kanun açısından önemli olan, bu verilerin belirli kriterlere göre yapılandırılarak, başka bir deyişle bir veri kayıt sisteminin parçası olarak işlenmesidir. Bu kapsamda elde etmek, kaydetmek, depolamak, muhafaza etmek, değiştirmek, sınıflandırmak, aktarmak, paylaşmak gibi her türlü eylem kişisel veri işlemek anlamına gelir.
Kişisel Veri İşlemek Hukuka Aykırı Mıdır?
Kişisel verileri işlemek, Kanunun belirlediği şartlar altında yapıldığı takdirde hukuka uygundur. Örneğin verinin ait olduğu kişinin açık rızasının olması halinde o kişisel verinin işlenmesi mümkündür. Kanun; kişisel verileri hangi amaçla ve hangi araçla işlediğini belirleyen, kişisel verilerin işlendiği veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri "veri sorumlusu" olarak adlandırmıştır. Veri sorumluları, kişisel verileri Kanunun belirlediği ilkelere uygun bir biçimde, Kanunun aradığı şartlardan herhangi birine dayanarak ve Kanunun kendilerine yüklediği birtakım diğer yükümlülükleri yerine getirerek işledikleri takdirde herhangi bir yaptırımla karşılaşmazlar.
Kişisel Verilerin İşlenmesinde Uyulması Gereken İlkeler Nelerdir?
Veri sorumluları, kişisel verileri işlerken bu faaliyetlerinin hukuka ve dürüstlük kurallarına uygun bir şekilde; belirli, açık ve meşru amaçlar doğrultusunda ve bu amaçla bağlı, sınırlı ve ölçülü olarak yürütülmesi, işledikleri kişisel verilerin doğru ve gerektiğinde güncel olması ile kişisel verilerin yalnızca ilgili mevzuatta öngörülen veya işlendikleri amaç için gereken süre kadar muhafaza edilmesini garanti altına almak zorundadırlar.
Kişisel Verilerin İşlenmesinde Yerine Getirilmesi Yükümlülükler Nelerdir?
Kişisel veri işleme faaliyetinin Kanunda belirtilen herhangi bir şarta dayanarak ve Kanunun belirlediği temel ilkelere uygun olarak yürütülmesi gereğinin yanında veri sorumlusu, bu faaliyeti hakkında verinin ait olduğu kişiyi bilgilendirmeli ve işlediği kişisel verilerin güvenliğini sağlamak üzere her türlü teknik ve idari tedbiri almalıdır. İlaveten, veri sorumlularının kural olarak bir kişisel veri işleme envanteri hazırlaması ve Veri Sorumluları Sicili'ne (VERBİS) kayıt olması gerekmektedir.
Kişisel Verilerin Hukuka Aykırı olarak İşlenmesinin Yaptırımı Nedir?
Kişisel verilerin hukuka aykırı olarak işlenmesi sonucunda sorumlular ihlalin niteliğine göre hapis cezası, adli para cezası veya idari para cezası ile karşılaşabilirler. Türk Ceza Kanunu'na göre kişisel verilerin hukuka aykırı olarak kaydedilmesi, bir başkasına verilmesi, yayılması, ele geçirilmesi ile gerektiğinde yok edilmemesi eylemlerine karşılık 1 yıl ile 8 yıl arasında değişebilen hapis cezaları öngörülmüştür.
Diğer yandan; Kişisel Verileri Koruma Kurulu, şikayet üzerine veya ihlal iddiasını herhangi bir şekilde öğrenmesi durumunda kendiliğinden yapacağı inceleme neticesinde;
-Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 TL'den 100.000 TL'ye kadar (2021 yılı için yeniden değerleme oranına göre 9.834 TL'den 196.686 TL'ye kadar);
-Veri güvenliğini yerine getirmeyenler hakkında 15.000 TL'den 1.000.000 TL'ye kadar (2021 yılı için yeniden değerleme oranına göre 29.503 TL'den 1.966.862 TL'ye kadar);
-Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 TL'den 1.000.000 TL'ye kadar (2021 yılı için yeniden değerleme oranına göre 49.172 TL'den 1.966.862 TL'ye kadar);
-Veri Sorumluları Sicili'ne (VERBİS) kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 TL'den 1.000.000 TL'ye kadar (2021 yılı için yeniden değerleme oranına göre 39.337 TL'den 1.966.862 TL'ye kadar);
idari para cezası verebilmektedir.
Sonuç olarak; bireylerin temel haklarından olan kişisel verilerinin korunması hakkının korunması ve ciddi bir cezai/idari yaptırımla karşılaşılmaması için kişisel veri işleme faaliyetinin Kişisel Verilerin Korunması Kanunu'na uyumlu hale getirilmesi son derece önemlidir.
Faydalı bağlantılar: