KIŞISEL VERILERIN KORUNMASI KANUNU

6698 sayılı ‘Kişisel Verilerin Korunması Kanunu’ 29677 sayılı Resmi Gazete’de yayımlanarak 07.04.2016 tarihinde yürürlüğe girmiştir.

Kanunun Amacı ve Kapsamı

Bu Kanunun amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Kanunun 2. maddesinde kapsamı belirtilmiştir; Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.

Temel Kavramlar

Açık Rıza;
      a. Belirli Bir Konuya İlişkin Olması
      b. Rızanın Bilgilendirmeye Dayanması
      c. Özgür İradeyle Açıklanması
Anonim Hale Getirme (Anonimleştirme)
İlgili Kişi
Kişisel Veri
Kişisel Verilerin İşlenmesi
      a.Otomatik İşleme       b.Otomatik Olmayan İşleme Veri Sorumlusu ve Veri İşleyen
Veri Kayıt Sistemi

Kişisel Veri Kavramı

  • Adı Soyadı 
  • Doğum Yeri 
  • Doğum Tarihi 
  • Taşıt Plakası
  • TC Kimlik No
  • Pasaport Numarası 
  • E-Mail Adresi / IP Adresi
  • Parmak İzi
  • Görüntü ve Ses Kayıtları 
  • Özgeçmiş 
  • Kişiyi belirlenebilir kılan benzer tüm veriler

Özel Nitelikli Kişisel Veriler

  • Din/Mezhep
  • Siyasi Düşünce
  • Felsefi İnanç
  • Dernek/Vakıf/Sendika Üyeliği
  • Irk / Etnik Köken
  • Sağlık
  • Ceza Mahkumiyeti Verileri
  • Güvenlik Tedbirleri
  • Cinsel Hayat
  • Biyometrik ve Genetik Veriler

Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler

Kanunda 17 ve 18. maddelerde kişisel verilerin hukuka aykırı olarak işlenmesine ilişkin 5237 sayılı Türk Ceza Kanunu’nun (TCK) 135 ila 140. maddeleri arasında yer alan hapis cezası yaptırımlarının uygulanması öngörülmüştür. Kanunda düzenlenen aydınlatma, veri güvenliği, Kurul kararlarının yerine getirilmemesi ve veri sorumluları siciline kayıt yükümlülüklerinin yerine getirilmemesi hallerinin ise kabahatler kapsamında değerlendirildiği ve dolayısıyla idari para cezası müeyyidesine bağlandığı ilgili madde gerekçesinde belirtilmiştir.

Suçlar

TCK m.135

Hukuka aykırı olarak kişisel verileri kaydeden kimseye (Değişik ibare: 6526 - 21.2.2014 / m.3) “bir yıldan” üç yıla kadar hapis cezası verilir.

TCK m.136

Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, (Değişik ibare: 6526 - 21.2.2014 / m.4) “iki yıldan” dört yıla kadar hapis cezası ile cezalandırılır.

TCK m.138

Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde (Değişik ibare: 6526 - 21.2.2014 / m.5) “bir yıldan iki yıla kadar hapis” cezası verilir.

Kabahatler

Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezası verilir.

Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Kanunun Geçiş Hükümleri ve Yürürlük

Kişisel verilerin üçüncü kişilere ve yurt dışına aktarılması, ilgili kişinin hakları, başvuru, şikâyet, inceleme, veri sorumluları sicili ile suçlar ve kabahatlere ilişkin hükümler Kanunun yayım tarihinden altı ay sonra, diğer hükümleri yayımı tarihinde yürürlüğe girer. Bu Kanuna dayanarak çıkarılacak yönetmelikler bir yıl içinde yürürlüğe konur. Yürürlük öncesinde işlenen kişisel veriler, yayım tarihini takiben iki yıl içinde uyumlu hale getirilir ya da silinir/anonim hale getirilir.

GDPR (General Data Protection Regulation)

Avrupa Parlamentosu ve Konseyinin 1995/46 AT sayılı Kişisel Verilerin İşlenmesi Sırasında gerçek Kişilerin Korunması ve Serbest Veri Trafiğine İlişkin Yönergesi ile Avrupa Birliği çapında kişisel verilerin korunması amaçlanmıştır. Bu sayede kişisel verilerin işlenmesi sırasında mahremiyetin korunması amaçlanmış olup kişisel verilerin dolaşımı düzenlenmiştir. Özellikle bilgi toplumunun ve hizmet sektörünün gelişimini kolaylaştırmak amacıyla yapılan bu düzenleme hızla gelişen teknoloji karşısında yetersiz kalmaktadır. Özellikle bulut teknolojilerinde son yıllarda yaşanan gelişmeler karşısında yeni bir düzenlemeye ihtiyaç duyulması kaçınılmazdır. Söz konusu ihtiyaçlar neticesinde AB veri koruma kurallarında köklü bir reform içeren “Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR)” Avrupa Parlamentosu tarafından 14 Nisan 2016 tarihinde onaylanmıştır.

Türkiye’de kişisel verilerin korunmasına ilişkin yasal düzenleme çalışmaları 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı “Kişisel Verilerin Korunması Kanunu" ile önemli bir aşama kaydetmiştir. 6698 sayılı Kanun, AB Veri Koruma Reformu kapsamında hazırlanan GDPR metninin Avrupa Parlamentosu’nda kabulünden kısa bir süre önce yürürlüğe girmiştir. Kanun’un yürürlüğe girmesiyle ülkemiz BİT sektörünün başta yurt dışına bilgi toplumu hizmetleri sunabilmesi, kişisel verinin temel girdi olduğu sektörlerde ülkemizin iş potansiyelinin artması, sınır ötesi veri paylaşımı ve adli işbirliği kanallarının etkin çalışmasının sağlanması için önemli bir adım atılmıştır. Ancak, 6698 sayılı Kanun’un güncel AB düzenlemesi olan GDPR’den ziyade 95/46/AT sayılı Veri Koruma Direktifi’ni referans almaktadır.

Avrupa Birliğinde yeni bir düzenleme yapılmasının bir diğer sebebi ise veriye ulaşmanın ve de transferinin oldukça kolaylaşmasıdır. Bunun sonucunda AB vatandaşlarının haklarının olumsuz etkilemesi kaygısıdır.

Komisyonun kişisel verilerin korunmasına ilişkin genel AB yasal çerçevesini gözden geçirirken temel aldığı politika hedefleri şu şekilde ifade edilmektedir:

  • Özellikle küreselleşmeden kaynaklanan zorluklar ve yeni teknolojilerin kullanımı karşısında kişisel verilerin etkili bir biçimde korunması amacıyla AB hukuk sisteminin iyileştirilmesi,
  • Kişisel veriler konusunda bireysel hakların güçlendirilmesi ve aynı zamanda AB içinde ve/veya dışında kişisel verilerin serbest akışının sağlaması için bürokratik süreçlerin azaltılması,
  • Kişisel verilerin korunmasına ilişkin AB hukuku kurallarına netlik ve tutarlılık kazandırılması; bu kuralların yine tutarlı ve etkin bir biçimde uygulanması ve Birliğin tüm faaliyet alanında kişisel verilerin etkin bir biçimde korunması

GDPR tarafından Getirilen Temel Değişiklikler Nelerdir?

  • Kişisel verilerin ve veri sahiplerinin daha etkin korunması,
  • Veri işleyenler ile veri kontrolörlerinin artırılmış sorumlulukları,
  • Uygulanma alanı bakımından daha güçlü düzenlemelere sahip olmasını amaçlamaktadır.

-Uyumlaştırma: GDPR bir düzenleme olarak değil de tüzük olarak yayınlanmıştır. Bunun farkı şudur; tüzükler, üye ülkelerde doğrudan uygulanma kabiliyetine sahiptir. Herhangi bir iç hukuk düzenlemesi yapılmasını gerektirmez. Direktifler ise elde edilmesi beklenen temel hedefleri ortaya koyar ancak söz konusu hedeflere ulaşılmasına ilişkin yöntemleri üye devletlerin kendi iç hukuklarına bırakırlar. Düzenleme değil de tüzük olarak yayınlanmasında ki amaç üye ülkelerin iç hukuk düzenlemelerinden kaynaklanan farklılıkları ortadan kaldırmak ve standart bir korumayı sağlamaktır. Avrupa Birliği’nin bu konudaki iradesi birçok kez "tek kıta, tek kanun" (one continent, one law) olarak da ifade edilmektedir.Ayrıca -Kullanıcı Haklarının üye ülkeler arasındaki farklılıkları giderilmiştir.

-Veri İşleyenlerin Tamamının Veri İşlemeden Sorumlu Tutulması: 95/46 sayılı Direktif’te tek kişi “veri kontrolörü olarak düzenlenmekteydi. GDPR ile getirilen düzenleme kapsamında, veri kontrolörü olmamakla birlikte bu verileri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi alt hizmet sağlayan üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu tutulacaklardır. Bu kapsamda GDPR hükümlerinin, sunucuları AB dışında yerleşik bulunan ve işleme faaliyetlerini Birlik ülkeleri dışından sürdüren bulut hizmet sağlayıcıları bakımından da bağlayıcı olduğu görülmektedir. GDPR ile getirilen yüksek oranlı para cezaları bu işleyiciler bakımından da bağlayıcıdır.

-AB Vatandaşlarına ait Kişisel Verilerin Birlik dışına aktarımı daha sıkı kurallara bağlanmıştır: özellikle Amerikan merkezli Google-Apple-Facebook gibi şirketlerin kullanıcı bilgilerini Amerika’da Ulusal Güvenlik Ajansı (NSA) ile paylaşmaları ve 2013 yılında Edward Snowden tarafından ortaya çıkarılan mahremiyet ihlalleri neticesinde verilerin Birlik dışına aktarımı konusunda yaptırımlar arttırılmıştır.

-Tazminat Talebi: GDPR zarara uğrayanlara tazminat talebi hakkı tanımaktadır.

-Kullanıcı Haklarına İlişkin Bilgilendirme Yükümlülüğünün Veri Kontrolöründe Olması ve Açık Rızanın alanı genişlemiştir: Buna göre önceden kullanıcı aksini ileri sürmedikçe rızası vardır mantığı terkedilerek açıkça rıza alınmadan hiçbir verinin işlenmeyeceği kabul edilmiştir. Zira kişisel verilerin işlenmesine ilişkin rızanın özgürce, belirli, aydınlatılmış/bir amaca matuf, bilinçli ve açıkça verilmiş olması gerekmektedir. Söz konusu rızanın aynı amaç veya amaçlar için yürütülen tüm işleme faaliyetleri bakımından alınması gerekmektedir. Ayrıca rızanın elektronik araçlarla istendiği durumlarda bu istek, açık, özlü ve uğruna kullanıldığı hizmetten yararlanmayı engellemeyen bir mahiyette olmalıdır. Bu da açık rıza kavramının (bazı kitaplarda güçlendirilmiş rıza) uygulama alanının genişlemesi sonucunu doğurmaktadır.

-GDPR ile cezalar artmış, kontroller sıkılaştırılmıştır: GDPR ile verilecek ceza tutarı 200 milyon Avro veya hizmet sağlayıcının küresel gelirinin yüzde dördü (iki değerden yüksek olan) gibi önemli miktarlara arttırılmıştır. Buna göre veri işleyenler ve Bilgi Teknolojileri üreticileri için ürün ve hizmetlerini veri koruması yönünden kullanıcı dostu düzeyde oluşturma yükümlülüğü getirilmektedir.

-Veri İhlali Riskinin Yüksek Olması Durumunda Hem Veri Koruma Otoritesine Hem de Veri Sahibine Bildirimde Bulunma Zorunluluğu Getirilmiştir: Düzenlemenin hayata geçirilmesi sonrasında ortaya çıkan ihlallerle alakalı, tespitinden itibaren 72 saat içerisinde ilgili kişilere veya veri sahiplerine bilgi verilmesi gerekmektedir.

-Unutulma Hakkı: GDPR ın getirdiği en büyük yeniliklerden birisidir. GDPR ile getirilen düzenleme kapsamında kullanıcılar kendilerine ait kişisel verilerin silinmesini talep edebilmektedirler. Kişilerin geçmişte yaşadıkları olayların toplum hafızasından silinmesini istemek olarak nitelendirilecek bu hak ile ilgili en bilinen dava İspanya vatandaşı Mario Costeja Gonzalez tarafından Google İspanya ve Google Inc. şirketine karşı açılmış olan davaadır. Davanın konusu 1998 yılında bir gazetede davacı Gonzalez hakkında yapılan habere ilişkin kısayolun arama motorundan kaldırılması talebidir. Davacı uzun süre önce kendisi hakkında yapılan bu haberin artık “alakasız” bir mahiyette olması gerekçesiyle habere ilişkin linkin kaldırılması gerektiğini savunmuştur. Bu kararda arama motorlarının ve internet aracı hizmet sağlayıcılarının veri kontrolörü sayılması gerektiği ifade edilmiştir.
Unutulma hakkı ile ilgili hukukumuzda yer alan düzenleme için Yargıtay Hukuk Genel Kurulunun 17.06.2015 tarihli 2014/4-56E. 2015/1679K. sayılı ilamı incelenmelidir.

SONUÇ:Yeni AB Veri Koruma Tüzüğü ile AB üyesi ülkeler arasında veri koruma hukuku bakımından üst seviyede bir uyumun sağlandığı ve Birlik üyelerinin iç hukuk düzenlemelerinden kaynaklanan farklılıkların giderildiği görülmektedir. Söz konusu düzenleme sayesinde Birlik ülkeleri bakımından sadeleştirilmiş, sorunsuz ve verimli bir AB sayısal pazarı hedefi bağlamında küresel rekabet avantajı sağlanacağı değerlendirilmektedir. Bu kapsamda ülkemiz mevzuatı bakımından da, bilhassa Veri Koruma Kurulu’nca ortaya konulacak ikincil düzenlemeler bağlamında söz konusu Tüzük’e uyumlu bir genel çerçevenin oluşturulması önem arz etmektedir. GDPR, 95/46 no’lu Direktif’le kıyaslandığında, özellikle sorumluluklar, yaptırımlar, kişi hakları ve veri koruma tedbirleri açısından daha sıkı ve kapsamlı düzenlemeler getirmiştir. Başta veri işleyen tarafların artırılmış sorumluluk rejimi, unutulma hakkının kanunla tanımlanması, idari para cezalarına ilişkin yaptırımların artırılması yoluyla caydırıcılığın güçlendirilmesi olmak üzere veri taşınabilirliği ve etki değerlendirmesi ile tasarımdan itibaren güvenlik gibi yenilikçi yaklaşımların 6698 sayılı Kanun’a ve uygulamaya yansıtılması gerekmektedir.