btbilgi

Kişisel Verilerin Korunması Kanunu, geçtimiz yıl 7 Nisan’da yayımlanarak yürürlüğe girdi. Kanunun bazı maddelerinin yürürlüğe girmesi için öngörülen 6 aylık süre 7 Ekim 2016’da doldu. 2016 yılı sonu itibarıyle Kişisel Verileri Koruma Kurulu üyeleri TBMM, Cumhurbaşkanı ve Bakanlar Kurulu tarafından seçilerek kurul oluşturuldu.

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bireylere birtakım haklar sağlarken, şirketlere de önemli yükümlülükler getiriyor. 7 Ekim 2016 tarihine kadar kişisel verileri işleyen tüm şirketlerin veri sorumlularını belirlemeleri gerekiyordu. Birçok şirketin kurumsal veriden sorumlu kişileri henüz belirlemediği tahmin ediliyor.

Kişisel verilerin kanuna uygun olarak işlenmesi, bireylerin aydınlatılması ve işi biten verilerin silinmesi gerekiyor. Şirketler bu yükümlülüğü yerine getirmezlerse KVKK’nın 10. maddesindeki aydınlatma yükümlülüğünü yerine getirmemiş oluyorlar. Buna göre 5 bin TL ila 100 bin TL arasında idari para cezası ödenmesi söz konusu olabiliyor. Yaptırımlar bununla sınırlı değil. Kişisel Verilerin Korunması Kanunu’nun hükümlerine uymayanlara 1 milyon liraya kadar para ve 3 yıla kadar hapis cezası verilebilecek.

Kişisel Verileri Koruma Kanunu, kişisel verilerin meşru ve hukuka uygun sebeplerle işlenmesine, kişilerin açık rızasının alınması gerektiğine hükmederek, amaçlara uygun olarak, sınırlı ve ölçülü bir biçimde işlenmesine izin veriyor.

Veriler, işlendikleri amaç için gerekli olan süre kadar muhafaza edilebilecek. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekiyor. Veriler, gelecekte kullanma ihtimali ile saklanamıyor. Artık kişisel verilerin hukuka aykırı olarak kaydedilmesi, başkasına verilmesi, yayılması veya ele geçirilmesi hapis cezasına kadar uzanan yaptırımlara konu olabilecek.

Kişisel verilerin kötüye kullanımı mağdur ediyor
Birçok şirket ve kamu kurumu işlem yaptığı kişilerle ilgili bilgileri bilgisayar ortamında kayıt altına alıyorlar. İster bilgisayar ortamında ister kâğıt üzerinde olsun, hastaneler, sigorta şirketleri, bankalar, eğitim kurumları, emlakçısından süpermarketine kadar hemen her özel şirketin bu tür bilgileri tutuyor.

Kişisel verilerin nasıl tutulacağı, nasıl korunacağına dair kanuni bir düzenleme olmadığı için çeşitli mağduriyetler yaşanabilmekteydi. Bir şirketin müşteri kartını almak için verdiğiniz bilgileriniz başka bir şirkete kolaylıkla verilebiliyordu. Telefon dolandırıcılarına karşı uyanık olunması için Emniyetin SMS ile, broşür ile halkı bilinçlendirme çalışmalarına ve bu konudaki çok sayıdaki mağdur haberine rağmen halen telefon dolandırıcılarının tuzağına düşen insanlar olabiliyor. Çünkü ellerinde aradıkları kişinin adı, soyadı, adresi, bankası, çocuklarının isimleri gibi bilgiler olabiliyor ve çok inandırıcı senaryolar oynayabiliyorlar.

Kişisel veriler koruma altına alındı
Geçtiğimiz yıl 7 Nisan’da Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu önemli bir eksikliğin giderilmesi için kayda değer bir adım teşkil etti. Kanun, Avrupa Birliğinin 95/46/EC direktifine uygun bir şekilde kişisel verilerle ilgili çerçeveyi belirledi. Artık her vatandaş kendisi hakkında tutulan bilgilerin neler olduğunu öğrenme, ne amaçla işlendiğini sorma ve bilgilerin silinmesini isteme hakkına sahip. Kanun, şirketlere ise bazı önemli görev ve yükümlülükler getiriyor. Şirketlerin kanunda öngörülen şartlara uymamaları halinde ise şirketlere ve yöneticilerine para ve hapis cezası yaptırımları uygulanabiliyor.

Kişisel veri nedir, özel nitelikli kişisel veri nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ediyor. Bunlar şirketlerin çalışanlarına, müşterilerine veya iş ortaklarına ait bilgiler olabilir. Kanun sadece gerçek kişilere ait kişisel verileri koruma altına aldığından, tüzel kişilere ait veriler kanun kapsamında değil.

Örneğin, bir kişinin adı, soyadı, taşıt plakası, TC kimlik numarası, SGK numarası, pasaport numarası, özgeçmişi, e-posta adresi veya fotoğrafı kişisel bilgiler arasında yer alıyor. Daha geniş bir ifadeyle, bir gerçek kişinin kimliği ile eşleşebilen her türlü veri kişisel veri diyebiliriz.

Şirketiniz tarafından tutulan IP adresleri ya da kullanılan kapalı devre kamera görüntüleri, tutulan ses kayıtları veya alınan parmak izleri de kişisel veri olarak kabul edilirler.

Bir kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili verileri, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili bilgileri ile biyometrik verilerini de içeren hassas veriler kanunda “özel nitelikli kişisel veriler” olarak tanımlanıyor.

Kişisel verilerin ve özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasak ve ancak kanunda sayılan çok sınırlı haller ile ve yeterli önlemlerin alınması şartıyla bu kurala istisna getiriliyor.

Şirketlerin yükümlülükleri
  • Veri sorumluları, kanunun yayımı tarihinden önce işledikleri kişisel verileri, yayımı tarihinden itibaren 2 yıl içinde kanun hükümlerine uygun hale getirmekle yükümlüler.
  • Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhal silinmeli, yok edilmeli veya anonim hale getirilmeli.
  • Veri Sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundalar. Kanun sicile kayıt zorunluluğunu net bir tarihe bağlamamış olduğu için geçtiğimiz ay oluşturulmuş olan Kurul’un bu sicili oluşturmasının ardından kayıt için çağrı yapayacağı düşünülüyor.
  • Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, bu kişilerle birlikte müştereken sorumluluk taşıyor.
  • Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda.
  • Bilgilerin başkaları tarafından elde edilmesi halinde veri sorumlusunun bu durumu en kısa sürede verisi ele geçirilmiş olan kişilere ve Kurul’a bildirmesi gerekiyor. Kurul gerekli görürse bu bilgiyi kendi internet sitesinde ilan edebilecek.
Kişilerin hakları

Kişisel verilerin elde edilmesi sırasında, kişisel veri sahibinin aydınlatılması gerekiyor:

  1. Veri sorumlusu olarak şirketin ve temsilcisinin kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
  5. Kişisel veri sahibinin sahip olduğu haklar;
    • Kişisel veri işlenip işlenmediğini öğrenme,
    • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    • KVK Kanunu’nun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Kişisel verilerini korumak isteyen vatandaşlar ne yapmalı, ne yapmamalı?

Kanunun 5. maddesinin 2. fıkrası d bendinde, kişisel bilgilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması halinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesi mümkündür bilgisi yer alıyor. Kişisel verilerini korumak isteyen kişilerin, kendi bilgilerini açıkça alenileştirmemesi gerekiyor.

Hangi durumlarda suç oluşuyor?

Bu suçun oluşabilmesi için, kişisel verilerin hukuka aykırı bir şekilde kayda alınması gerekiyor. Kişinin rızası ile kendisiyle ilgili bilgilerin kayda alınması suç teşkil etmiyor. Çeşitli kamu kurumlarında verilen kamu hizmetinin gereği olarak kişilerle ilgili bazı bilgiler ilgili kanun hükümlerine istinaden kayda alınıyorlar. Bu durumlarda, söz konusu suç oluşmuş olmuyor.

Kanunda kişilerin siyasî, felsefî veya dinî görüşle­rine, ırkî kökenlerine, ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık du­rumlarına veya sendikal bağlantılarına ilişkin bilgileri kayda almak, suç olarak tanımlanıyor. Ancak, bunlardan kişilerin ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgile­rin kayda alınmasına kanunlarda özellikle suçlulukla mücadele bağlamında, suç ve suçluların ortaya çıkarılmasını sağlamak amacıyla belli ölçüde izin verilebiliyor. Bu durumlar da kişisel verilerin gizliliğini ihlal suçu sayılmıyor.

Dikkat! Hapis ve para cezası var

Özel hayatın korunmasını ve güvence altına alınmasını temin etme amacını taşıyan Türk Ceza Kanununun 135. maddesi, hukuka aykırı olarak kişisel verileri kaydeden kişilere altı aydan üç yıla kadar hapis cezası öngörüyor. Bu suçu kamu görevlisi, görevinin gerektirdiği yetkiyi kötüye kullanarak işlemesi halinde ceza yarı oranında artırılarak uygulanıyor. Benzeri şekilde belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde de ceza yarı oranında artırılıyor. Örneğin serbest çalışan bir doktorun kendisine gelen hastaların tahlil ve diğer raporlarını depolaması kişisel verilerin kaydedilmesi suçunu oluşturuyor.

Kanun’un öngördüğü para cezaları ise şöyle:

  • Aydınlatma yükümlülüğünü yerine getirmeyenlere 5.000 TL’den 100.000 TL’ye kadar,
  • Veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyenlere 15.000 TL’den 1.000.000 TL’ye kadar,
  • Kurul tarafından verilen kararları yerine getirmeyenlere 25.000 TL’den 1.000.000 TL’ye kadar,
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne uymayanlara 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası verilecek.
Zaman aşımı süresi

Kişisel verilerin hukuka aykırı olarak kaydedilmesi suçunun dava zaman aşımı süresi ise 8 yıl. Mağdur olan kişiler suçun işlendiği tarihten itibaren 8 yıl dolmadan önce suçu savcılığa bildirmesi gerekiyor. Aksi takdirde, dava zaman aşımı süresi dolacağından suç ile ilgili soruşturma yapılamayacaktır.

Kanunun tüm maddeleri yürürlükte

Kanun 9 adet maddesi hariç, yayımlandığı gün yani 7 Nisan 2016’da yürürlüğe girdi. Kanunda sayılan 8, 9, 11, 13, 14, 15, 16, 17 ve 18. maddeleri ise kanunun yayımlanmasından 6 ay sonra yürürlüğe girdi. Yani 7 Ekim 2016 itibarıyla kanun tüm maddeleri ile yürürlüğe girmiş bulunuyor.

Kişisel Verileri Koruma Kurulu teşkil etti

Kanunda verilen görevlerin yerine getirilmesi için idari ve mali özerkliğe sahip, Başbakanlıkla ilişkili, kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuş bulunuyor. Kurum, başkanlık ve kuruldan oluşuyor.

9 kişiden oluşan kurulun üyeleri 2016 Ekim ve Aralık ayında seçilerek Resmi Gazetede ilan edildi. Buna göre;

  • Cabir Bilirgen Adalet ve Kalkınma Partisi aday gösterildi
  • Cengiz Paşaoğlu Adalet ve Kalkınma Partisi aday gösterildi
  • Mehmet Niyazi Tanılır Adalet ve Kalkınma Partisi aday gösterildi
  • Turan Arık Cumhuriyet Halk Partisi aday gösterildi
  • Yusuf Alataş Halkların Demokrasi Partisi aday gösterildi
  • Prof. Dr. Faruk Bilir Cumhurbaşkanı tarafından seçildi
  • Şaban Baba Cumhurbaşkanı tarafından seçildi
  • Murat Karakaya Bakanlar Kurulu tarafından seçildi
  • Hasan Aydın Bakanlar Kurulu tarafından seçildi
Yönetmeliğin yayınlanma zamanı

Kanunun geçici maddesi, yönetmeliğin kanunun yayımlanma tarihinden itibaren bir yıl içinde yürürlüğe konacağı hükmünü içeriyor. Bu sebeple Yönetmeliğin 7 Nisan 2017 tarihine kadar yayımlanması bekleniyor. Ancak kanun yayımlandığı tarihte yürürlüğe girmiş bulunuyor. Yani Kanun’un uygulanması için Yönetmeliğin yayımlanmasını beklemek gerekmiyor.

 

 

Yorumlar

yorum

PAYLAŞ
blank
Lisans eğitimini Marmara Üniversitesi İletişim Fakültesi'nde tamamladı. Fatih Üniversitesi İngilizce MBA programında master derecesini aldı. İş yaşamına BYTE Türkiye dergisinde başladı. Computerworld dergisinde Yazı İşleri Müdürü, Hürriyet Gazetesi'nin e.Yaşam ekinde yardımcı editör olarak görev aldı. Fintek A.Ş. (Ziraat Teknoloji) ve İnnova A.Ş.'de Kıdemli Pazarlama İletişim Uzmanı olarak çalıştı. 2017 Ocak ayı itibarı ile xTRlarge ekibine kıdemli editör olarak katılan Hüseyin Gönüllü evli ve Kerem isimli bir erkek çocuk babasıdır.