1. Kişisel Verileri Koruma Mevzuatı

• 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”).
• Yönetmelikler, Tebliğler, Kurul Kararları, İlke Kararları, Rehberler

2. Kişisel Verilerin Korunması Kurumu

Türk veri koruma rejimi, Ankara’da yer alan Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yürütülür. Kamu tüzel kişiliğine sahip olan ve idarî ve malî özerkliğe sahip olan Kurum, Kanunla kendisine verilen görevleri yerine getirmek üzere kurulmuştur. Kurum, Cumhurbaşkanı tarafından görevlendirilen Bakana bağlıdır. Kurum, Kurul ve Başkanlık organlarından oluşur karar organı ise Kuruldur.

3. Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

4. Veri Sahibi Kimdir?

Gerçek kişilerin verileri Kanun kapsamında korunmaktadır. Bu nedenle Kanunda “veri sahibi” terimi, kişisel verileri işlenen gerçek kişiyi ifade etmek için kullanılmaktadır.

5. Kişisel Veri Nedir?

Kişisel veri, Kanun’un 3. maddesi uyarınca kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

6. Özel Nitelikli Kişisel Veri Nedir?

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

7. Veri Sorumlusunun Yükümlülükleri Nelerdir?

• Aydınlatma Yükümlülüğü

Kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:

1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
2. Kişisel verilerin hangi amaçla işleneceği,
3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5. 11. maddede sayılan diğer hakları.

Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu veya faaliyetin Kanundaki diğer bir şart kapsamında yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir. Bir başka deyişle, ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır.

Veri sorumlusu veya yetkilendirdiği kişi tarafından sözlü veya yazılı beyan, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamlar kullanılarak bilgilendirme yükümlülüğünün yerine getirilmesi sırasında aşağıdaki usul ve esaslara uyulması zorunludur:

• Veri işlemenin ilgili kişinin açık rızasına bağlı kalınması veya başka bir koşulda işlenmesi halinde bilgilendirme yükümlülüğü yerine getirilir.

• Kişisel veri işleme amacının değişmesi halinde, veri işlemeye başlamadan önce yeni amaçla bilgilendirme yükümlülüğü yerine getirilecektir.

• Bilgilendirme yükümlülüğünün yerine getirilmesi ilgili kişinin talebine bağlı değildir.

• Veri Güvenliğine İlişkin Yükümlülükler

Kişisel Veri Güvenliği Rehberi, uygulamada açıklık sağlamak ve veri sorumlusunun kişisel verilerin işlenmesi sırasında sorumlu olduğu teknik ve organizasyonel tedbirlere ilişkin iyi uygulama örnekleri oluşturmak amacıyla Kurum tarafından hazırlanmıştır.

Kanunun veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu;

1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
3. Kişisel verilerin muhafazasını sağlamak ile yükümlüdür.

• Veri Sorumluları Siciline Kayıt Yükümlülüğü

Kanun’un 16. maddesi uyarınca, kişisel verileri işleyen gerçek veya tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kayıt olurlar. Veri Sorumluları Siciline ilişkin usul ve esaslar Veri Sorumluları Sicili Hakkında Yönetmelik ile belirlenmiştir.

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının sicile kayıt ve sicil ile ilgili diğer işlemler için kullanacakları, Kurumun gözetiminde Başkanlık tarafından kurulan ve yönetilen internet ortamında erişilebilen bir bilgi sistemidir. Sistemin amacı, veri sorumlularının kim olduğunu açıklamak ve kişisel verilerin korunması hakkının daha etkin bir şekilde kullanılmasını sağlamaktır.

• İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü

Kanun’un 13. maddesi uyarınca Veri Sahibi, bu Kanunun uygulanmasına ilişkin taleplerini yazılı olarak veya Kurum’un belirleyeceği diğer yollarla veri sorumlusuna iletir. Veri sorumlusu, talepteki talepleri, talebin niteliğini dikkate alarak en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurum tarafından belirlenen tarifedeki ücretler talepte bulunanlardan alınabilir.

• Kurum Kararlarının Yerine Getirilmesi Yükümlülüğü

Kanunun 15 inci maddesi uyarınca Kurum, şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde, tespit edilen ihlallerin ilgili veri sorumlusu tarafından giderilmesine karar verilir. İlgili veri sorumlusu bu kararı ilgili taraflara bildirmek zorundadır. Ayrıca bu kararı, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde uygulama yükümlülüğü vardır.

Kişisel Verilerin İşlenmesi

8. Kişisel Verilerin İşlenmesinde Temel İlkeler Nelerdir?

Kanun’un 4. maddesi uyarınca kişisel veriler ancak Kanunda veya diğer kanunlarda belirlenen usul ve esaslara uygun olarak işlenebilir. Kanunda kişisel verilerin işlenmesinde sayılan genel ilkeler şunlardır:

1. Hukuka ve dürüstlük kurallarına uygun olma,
2. Doğru ve gerektiğinde güncel olma,
3. Belirli, açık ve meşru amaçlar için işlenme,
4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
6. Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

9. Kişisel Verilerin İşlenme Şartları Nelerdir?

Kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Kişisel verilerin işlenmesi Kanunun 5. maddesinde sayılan hallerden en az birinin bulunması durumunda mümkündür. Buna göre;

1. İlgili kişinin açık rızasının varlığı,
2. Kanunlarda açıkça öngörülmesi,
3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
4. Bir sözleşmenin kurulması veya ifasıyla doğudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
5. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
6. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
8. İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

hallerinden birinin varlığı durumunda ilgili kişinin kişisel verilerinin işlenmesi mümkün bulunmaktadır.

Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sınırlı sayıda sayılmış olup, bu şartlar genişletilemez.

10. Özel Nitelikli Kişisel Verilerin İşlenme Şartları Nelerdir?

Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde mümkündür:

• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
• Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Ayrıca Kanunda ile özel nitelikli kişisel verilerin işlenmesi bakımından, Kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiştir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

11. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesinin Genel Prensipleri Nelerdir?

Kanun’un 7. maddesi uyarınca, kişisel veriler, bu Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmesine rağmen, veri sorumlusu tarafından resen veya ilgilinin talebi üzerine, Kanunun 5. ve 6. maddelerinde belirtilen tüm işleme koşullarının ortadan kalkması halinde silinir, yok edilir veya anonim hâle getirilir.

Kurum, tamamen veya kısmen otomatik veya otomatik olmayan yollarla işlenen kişisel verilerin bir veri dosyalama kapsamında olmak kaydıyla silinmesine, yok edilmesine ve anonim hale getirilmesine ilişkin usul ve esasları belirlemek üzere Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik yayımlamıştır.

12. Kişisel Verilerin Aktarılması

1. Yurt İçinde Aktarım

Kişisel verilerin Türkiye’de hukuka uygun olarak işlenmesi, verilerin doğrudan üçüncü kişilere aktarılabileceği anlamına gelmemektedir. Kişisel verilerin aktarımında da Kanun’un 5. ve 6. maddelerinde belirtilen şartlar aranmaktadır.

Yurt içinde veri aktarımının hukuka uygun şekilde gerçekleşmesi için veri sahibinin açık rızasının alınması şarttır. Buna ek olarak, Kanun’un 8. maddesi uyarınca, kişisel verilerin Türkiye’de aktarımı aşağıda belirtilen koşullardan birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın yapılabilir:

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; ve

Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

2. Yurt Dışına Aktarım

Kanun’un 9. maddesinde düzenlenen koşullar çerçevesinde, sınır ötesi transfer gerçekleştirilebilir. Genel kural olarak, kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Bunun istisnaları yine kanunun aynı maddesinde hüküm altına alınmıştır. Şöyle ki;

Kanun’un 5/2 ve 6/3. maddelerinde belirtilen koşullardan birinin varlığı halinde veri sahibinin (a) yeterli koruma sağlanması halinde veya (b) Türkiye’deki ve ilgili yabancı ülkedeki veri sorumluları tarafından yazılı olarak yeterli koruma taahhüdünün bulunması ve Kurumdan izin alınmış olması halinde açık rıza olmaksızın yurt dışına aktarılabilir.

Kanun uyarınca Kurum, yeterli korumaya sahip ülkeleri belirler ve duyurur fakat henüz Kurum tarafından buna ilişkin bir liste yayımlanmamıştır.

Kurum, yabancı ülkede yeterli korumanın bulunup bulunmadığına ve (b) bendinde belirtilen aktarıma izin verilip verilmediğine aşağıdaki hususları değerlendirerek ve gerektiğinde ilgili kurum ve kuruluşların görüşlerini alarak karar verir:

1. Türkiye’nin taraf olduğu uluslararası sözleşmeler,
2. Talepte bulunan ülke ile Türkiye arasındaki veri aktarımına ilişkin karşılıklılık durumu,
3. Her somut, münferit veri aktarımı durumuna ilişkin verilerin niteliği, işlenme amacı ve süresi,
4. İlgili mevzuat ve kişisel verilerin aktarılacağı ülkedeki uygulaması,
5. Kişisel verilerin aktarılacağı ülkede veri sorumlusu tarafından taahhüt edilen tedbirler,

Uluslararası sözleşme hükümleri saklı kalmak kaydıyla, Türkiye’nin veya ilgili kişinin menfaatinin ciddi şekilde zedeleneceği hallerde, kişisel veriler ancak ilgili kamu kurum ve kuruluşlarının görüşleri alınarak Kurum tarafından verilecek yetki ile yurt dışına aktarılabilir.

Veri sorumluları arasında veya veri sorumlusu ile veri işleyen arasında yapılacak her türlü veri aktarımında Kanun’un 9. maddesine uyulması zorunludur.

13. İlgili Kişinin Hakları Nelerdir?

1. Başvuru Hakkı

Veri sahipleri, Kanun’un 11. maddesinde belirtilen hakları kapsamında veri sorumlularına yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza veya e-posta adresi aracılığıyla talepte bulunacaklardır.

Veri sorumlusu, ilgili kişinin Tebliğ kapsamında yapacağı taleplerin etkin, hukuka ve hakkaniyet normlarına uygun olarak sonuçlandırılması için gerekli organizasyonel ve teknik tedbirleri almakla yükümlüdür.

Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder. Daha sonra, yanıtını veri sahibine yazılı olarak veya elektronik yollarla iletir.

Veri sorumlularının, başvuruda yer alan talepleri, talebin niteliğini dikkate alarak en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerekmektedir. Ancak, işlemin ek maliyet gerektirmesi halinde Tebliğ’in 7’nci maddesinde belirtilen tarifede talepte bulunan kişiden ücret alınabilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

2. Şikâyet Hakkı

Kanun’un 13. maddesi uyarınca talebin reddedilmesi, veri sorumlusunun cevabının yetersiz bulunması veya 30 gün içinde talebe cevap verilmemesi halinde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün içinde Kuruma şikâyette bulunabilir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep zımnen reddedilmiş sayılır.

Kanun’un 13 üncü maddesi uyarınca veri sorumlusuna başvuru yolu tüketilmeden şikâyette bulunulamaz.

1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanımına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan şikayetler incelemeye alınmaz.

Talebin zorunlu ve şikâyetin isteğe bağlı olması nedeniyle, talebi zımnen veya açık olarak reddedilen ilgili kişi, hem Kuruma şikâyette bulunabilir hem de doğrudan adli veya idari yargıya başvurabilir. Kişilik hakları ihlal edilenlerin genel hükümlere göre tazminat hakları saklıdır.

Kanunun 15 inci maddesi, Kurum tarafından yapılacak incelemenin usul ve esaslarını belirler.

Şikâyet üzerine Kurum talebi inceler ve ilgili kişilere cevap verir. Şikâyet tarihinden itibaren altmış gün içinde talebe cevap verilmemesi halinde talep reddedilmiş sayılır.

Şikâyet üzerine yapılan inceleme sonucunda, ihlal olduğunun anlaşılması hâlinde Kurum, tespit edilen ihlallerin ilgili veri sorumlusu tarafından giderilmesine karar verir ve bu kararı ilgililere bildirir. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde uygulanır.

İlgili kişi, Kurum tarafından kendisi hakkında verilen kararlara karşı idare mahkemelerinde dava açma hakkına sahiptir.

Bu bilgiler, konuyla ilgili genel bir kılavuz sağlamayı amaçlamaktadır. Özel koşullarınız hakkında uzman tavsiyesi için bizlerle iletişime geçebilirsiniz.

Faruk AKTAY

Tutku Ecem REHBER