btbilgi

Kişisel Verileri Koruma Kurulu, 12 Ocak 2017 Perşembe günü Yargıtay’da yemin ederek görevine başladı. Kurul’un bundan sonraki süreçte neler yapması gerekiyor? Kurul’un hazırlayacağı yönetmelikte hangi hususlara açıklık getirilmesi bekleniyor? Av. Mehmet Ali Köksal, Av. Gökhan Ahi ve Av. Ceyda Cimilli Akaydın’ın bu konudaki değerlendirmelerini aldık.

Geçtiğimiz yıl 24 Mart’ta TBMM’de kabul edilen ve 7 Nisan’da Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Koruması Kanunu’nun ihdas ettiği Kişisel Verileri Koruma Kurulu üyeleri 2016 yılı sonunda seçilmişti.

Kurul 9 kişiden oluşuyor
Kurul dokuz üyeden oluşuyor. Kanunda belirtildiği gibi kurulun beş üyesi TBMM, iki üyesi Cumhurbaşkanı ve iki üyesi Bakanlar Kurulu tarafından seçildi.

 

Kurula seçilmiş olan üyeler şunlar:
• Cabir Bilirgen Adalet ve Kalkınma Partisi aday gösterildi
• Cengiz Paşaoğlu Adalet ve Kalkınma Partisi aday gösterildi
• Mehmet Niyazi Tanılır Adalet ve Kalkınma Partisi aday gösterildi
• Turan Arık Cumhuriyet Halk Partisi aday gösterildi
• Yusuf Alataş Halkların Demokrasi Partisi aday gösterildi
• Prof. Dr. Faruk Bilir Cumhurbaşkanı tarafından seçildi
• Şaban Baba Cumhurbaşkanı tarafından seçildi
• Murat Karakaya Bakanlar Kurulu tarafından seçildi
• Hasan Aydın Bakanlar Kurulu tarafından seçildi

Kurul başkanını kendisi seceçek
Kişisel Verileri Koruma Kurulu, yemin ederek göreve başlamasının ardından üyeleri arasından Başkan ve İkinci Başkan’ı seçecek. Kurulun Başkanı aynı zamanda Kişisel Verileri Koruma Kurumu’nun da Başkanı olarak görev yapacak.

Yönetmelik hazırlanacak
Kurulun, 6698 sayılı kanun uyarınca, KVKK’nun yayımlanma tarihinden itibaren bir yıl içinde kanunda öngörülen yönetmelikleri yürürlüğe koyması gerekiyor. Buna göre yönetmeliğin 7 Nisan 2017 tarihine kadar yayınlanması bekleniyor.

Yönetmelikle düzenlenmesi beklenen hususlar
Kişisel Verilerin Koruması Kanunu’nu inceleyen hukukçular kanunda birtakım hususların yönetmelik tarafından netleştirilmesi gerektiğine dair görüş belirtiyorlar. Bu konuda görüşlerine başvurduğumuz Av. Mehmet Ali Köksal, Av. Gökhan Ahi ve Av. Ceyda Cimilli Akaydın’ın değerlendirmelerini aldık.

Kurul Veri Sorumluları Sicili oluşturacak
Kurulu bekleyen önemli işlerden birisi de Veri Sorumluları Sicili’nin oluşturulması. Sicil oluştuktan sonra şirketlerin veri sorumlularını bu sicile kaydettirme zorunlulukları bulunuyor. Veri sorumlusunu sicile kaydettirmemiş olan şirketlere cezai müeyyide uygulanacak.

Kişisel Verilerin Korunması Kanunu, şirketlere önemli yükümlülükler getiriyor. Şirketlerin 7 Ekim 2016 tarihine kadar veri sorumlularını belirlemiş olmaları gerekiyordu. Henüz belirlememiş olanlar dikkat! 5 bin TL ila 100 bin TL arasında para cezası var.

Şirketlerin Veri Sorumlusu belirleme süresi doldu
Av. Mehmet Ali Köksal: Sicilin oluşturulması gerekiyor. Ancak, bunun için önce Kurul’un sicil ile ilgili kararları alması gerekiyor.

Şirketlerin 7 Ekim 2016 itibariyle veri sorumlularını belirlemesi gerekiyordu. Yani belirlemeyenler derhal belirlemeli.

Burada kamuoyunda sıkça karıştırılan iki konunun birbirine geçtiğini görüyoruz: “Veri sorumlusunu belirlemek” ile “veri sorumlusu siciline kayıt olmak”. Veri sorumlusunu belirlemek bu işin temeli ve 10. Maddedeki aydınlatma yükümlülüğünün yerine getirilebilmesi için veri sorumlusunun belirlenmesi gerekiyor. Bu süre yukarıda da belirttiğim gibi 7 Ekim 2016’da doldu. Şirketler bu yükümlülüğü yerine getirmezlerse KVKK’nın 10. Maddesindeki aydınlatma yükümlülüğünü yerine getirmemiş olurlar. Bu da 5 bin TL ila 100 bin TL arasında idari para cezası ödenmesine neden olur.

Sicil kurulduktan sonra (Kurul tarafından ilgili kararlar alınıp, sicil oluşturulduktan sonra sicile kayıt olmamak ise KVKK’nın 18. Maddesinin 1. Fıkrasının (ç) bendi gereği 20 bin-1 milyon Türk Lirası arasında para cezası ödenmesine neden olabilir.

İLGİLİ HABER: Kişisel Verilerin Korunması Kanunu’na uymayanı ağır cezalar bekliyor

Nitelikli kişisel veriler daha sıkı korunmalı
Av. Mehmet Ali Köksal: Kişisel verileri çok temel olarak ikiye ayırmak mümkün. Bir kişiyi tanımlamaya yönelik her türlü bilgi kişisel veri sayılıyor ve buna genel anlamda kişisel veri diyoruz. Bir de din, ırk, mezhep, sağlık verileri, vs. gibi hassas ya da özel nitelikli kişisel veri kategorisi var. Bunlar adından da anlaşılabileceği üzere hukuka aykırı olarak kaydedilmesi durumunda ciddi sorunlar doğurabilecek bilgilerden oluşuyor.

Örneğin mezhep veya ırk temelinde bir veri tabanı ile daha sonra bir mezhebi ya da ırkı işaretleyip, yok etmeyi veya kamu hizmetlerinden mahrum etmeyi vs. amaçlayabilirsiniz. Bu nedenle bu tür veriler, çok daha sıkı şartlarla işlenmeli ve daha fazla güvenlik sağlanmalı. Bizde AB ve ABD’den farklı olarak kılık, kıyafet de hassas kişisel veriler arasında sayılmış durumda.

Açık rıza olsa dahi nitelikli kişisel veriler ile kodlama yapılamaz
Av. Gökhan Ahi: Hassas kişisel verilere kodlama yapılamaz. Zaten kodlama veya fişleme yapılamasın diye bu tür bilgilerin rızayla bile olsa işlenmesi yasaklanmıştır. Böyle bir veri işlendiyse de kişinin talebine bile gerek kalmaksızın silinmelidir. Bir ara nüfus kayıtlarında dinsel veya mezhepsel bir kodlama iddiası ileri sürülmüştü, bildiğim kadarıyla bu iddia yalanlanmadı. Tahminimce bu kodlama gayrimüslimleri veya azınlıkları ayırmak için yapılmış olabilir. Ancak, Kişisel Veriler Kanunu bu tür kodlamaları kesinlikle yasaklıyor, daha önce yapılmışsa bile mutlaka bu kodlama kayıtlarının imha edilmesi gerekiyor.

Hassas veriler, kural olarak açık rıza olsa bile işlenemez. Ancak, bazı kanuni zorunluluklarda rıza olmadan bile işlenebilir. Örneğin Askerlik Kanunu’na göre askere alınacak kişilerin cinsel tercihleri işlenmek zorunda. Ya da başka bir örnekte, engellilerin özel sağlık durumu bazı haklardan yararlanabilmesi için işverence işlenmek zorunda. Sendikalar, bağlı oldukları mevzuat gereğince kendi üyelerinin sendikal bilgilerini işlemek zorunda. Bu gibi durumlar, hassas verinin işlenmesini zorunlu kılabilir.

Şirketler aydınlatmak zorunda
Av. Gökhan Ahi: Şirketler, kişisel verilerle ilgili olarak veri sahibini aydınlatmak zorunda. Bu aydınlatmanın neyi kapsayacağı da kanunda net olarak yazılmış. Bu durumda şirketlerin yapmış olduğu bilgilendirme, ne kadar muğlak ifadeler de barındırsa kanuna uygun bir bilgilendirme. Önemli olan bundan sonra kişisel verinin daha dikkatli işlenebilmesi ve herhangi bir yere veya ortama saçılmaması. Elbette muğlaklık olacak, Türkiye olarak yeni tanıştığımız bir kavram. Anlayışın ve uygulamanın oturması 3-4 yılı bulacaktır. Şimdilerde, bu yeni kanunun şirketlerde yarattığı farkındalık bile gayet olumlu.

Şirketler konunun öneminin farkında değil
Av. Mehmet Ali Köksal: Bazı şirketler önemli çalışmalar yaptılar. Bunların bir kısmı global şirketler. Zaten bu konuda bilgi ve deneyimi olan şirketler. Ayrıca Türkiye’nin köklü şirketleri, bankalar, vs. bazı çalışmalar yaptı veya yapmaya devam ediyor. Bunlardan bir kısmı belki tümden hazır. Bir kısmı ise tamamlamak üzere. Ancak, Şirketlerin önemli bir kısmı konunun farkında bile değil. Önemsemiyor. Bilmiyor.

Şirketlerin yapması gerekenler
Yapılması gerekenler aslında biraz uzun. Önce konunun öneminin farkına varmak gerekiyor. Çünkü, yanlışın ucunda hem hapis cezası hem de bir milyon TL’ye varan para cezası riski var.

Şirketlerin hangi tür verileri işlediklerinin envanterini çıkartması gerekiyor. Sonra bu verilerin hangi yasal gerekçe ile işlendiğini tespit edip, yasal bir gerekçesi yok ise ilgilinin rızasını alması ya da KVKK’da sayılan diğer rıza olmadan hukuka uygun veri işleme nedenlerinden birisinin olması gerekiyor. Örneğin bir sözleşmenin ifası ile ilgili veri işleme gibi.

Kurul resen inceleme yapabilir
Av. Mehmet Ali Köksal: Şirketlerin KVKK’ya uyum konusunda ciddi bir danışmanlık almalarını kesinlikle tavsiye ederim.

Bir ihlal durumu iki şekilde ortaya çıkabilecek. İlgili kişinin Kurul’a başvurması ya da Kurul’un resen inceleme yapması. Kurum’un bir denetim mekanizması olacak.

Suçlar KVKK’da düzenlenmiş değil. KVKK’da TCK’ya atıf var. TCK’daki ilgili suçların takibi de şikayete bağlı değil. Diğer yandan KVKK’da ayrıca kabahatler düzenlenmiş durumda.

Yönetmelikle yapılması beklenen düzenlemeler
Av. Ceyda Cimilli Akaydın, Kişisel Verilerin Korunması Kanununu bizim için madde madde ele alarak Yönetmelikle düzenlenmesi önem arz eden hususlara dikkat çekti.

Kanun hakkında genel olarak şu değerlendirmede bulunabiliriz: Kanunun öncelikle “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik”e (İzinli pazarlama) atıfta bulunularak ve paralel hazırlanması gerekirdi. Bu konudaki açık yönetmelikte kapatılabilir. Aksi halde önemli çelişkiler oluşacaktır.

Kişisel verilerin otomatik işleme tabii tutulması karşısında bireylerin korunması sözleşmesi (28/01/1981) de bu konuda detaylı düzenlemeler getirmiş. Bu alanda düzenlenmesi gereken alanlar arasında yer alıyor.

Maddeleri incelediğimizde şu hususlara dikkat çekmekte yarar bulunuyor:

Madde 3
d) kişisel veri tanımı yönetmelikte net bir şekilde yapılmalıdır.

Madde 4
ç) sınırlı ve ölçülünün tanımı ve belirlenmesi yönetmelikte net bir şekilde yapılmalıdır.

Madde 5
(1) Açık rıza aramış ancak açık rıza yönetmelikte tanımlanmalı. Örneğin sözleşme içerisinde yer alan rızalar, özellikle hizmetin/ürünün alınması için kabulü zorunlu olan sözleşmelerde yer alan rıza beyanları açık rıza olarak kabul edilmemeli. Açık rızanın henüz oluşmamış kişisel veriye ilişkin olamayacağı açıkça, yoruma gerek bırakmayacak şekilde belirtilmeli. (Örneğin bir hastahaneye ilk kez gittiğinizde ileride oluşabilecek tüm kayıtlarınızın kullanılabileceğine ilişkin rıza geçerli olmamalı. Veya bir internet sitesine ilk kaydolduğunuzda  burada yapacağınız tüm faaliyetlerin işlenmesine izniniz olması kabul edilmemeli.)

(2) Kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği belirtilmiş, Madde 6 (2) özel nitelikteki kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği belirtilmiş.

f maddesi zaten veri sorumlusunun meşru menfaatleri için zorunlu olma istisnası getirmiş. Ticaret ve reklam pazarlama meşru menfaat olduğuna göre, bu istisna tüm ticari faaliyetleri kapsar durumda. Yönetmelikte daha dar yorumlanacak şekilde tanımlanmalı.

Madde 6
Özel nitelikli kişisel verilere ulaşılmasını veya bunlarla ilgili bilgi edinilmesini sağlayacak veriler de özel nitelikli kişisel veri sayılmalıdır. Yönetmelikte bu şekilde detaylı düzenleme yapılmalı. Örneğin kişinin okulda din dersinden muaf olup olmadığı, hangi dergi ve gazeteleri, kitapları okuduğu, ziyaret ettiği internet siteleri, bağış yaptığı kurumlar, kullandığı ilaç ve gördüğü tedaviler vb. özel nitelikteki kişisel verilere ulaşılmasını sağlayacak verilerdir. Yönetmelikte geniş yorum yapılarak bunların da işlenmesi engellenmelidir.

(3) Son cümlede ilgili kişinin açık rızası olmadan işlenmesi durumunda “3. Kişilerle paylaşılmamak koşuluyla ve yalnızca kamu sağlığı, koruyucu hekimlik, tıbbi teşhis, tedavi sağlık ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması amacıyla ve bu amaçlara ulaşmak için gerekli olduğu ölçüde” (çünkü işleme içerisinde tanımda “açıklama, aktarma, devretme” de var.) şeklinde dar yorumlanmalı. Yönetmelikte dar yorumlanarak bunların keyfi şekilde paylaşılması (Örneğin sigorta acentelerine kişinin hamilelik bilgilerinin açılması)

Madde 7
Yönetmelikte sebeplerin ortadan kalkması daha detaylı yorumlanmalı ve rızanın da şartlardan birisi olduğu açıkça belirlenerek, önceden verilen rızanın ortadan kalkması durumunda silme yükümlülüğü olduğu yoruma gerek bırakmayacak şekilde belirtilmeli.

Silmenin koşulları ve denetimi, silme ve imha farkı vb. teknik konular yönetmelikte net olarak belirtilmeli.

Madde 8
Aktarma tanımlanmalı. Özellikle şirket birleşmeleri, yabancı şirketlerle birleşmeler, satın almalar, bir hizmetin sağlanması için toplanan verilerin aktarılmasına sınır getirilmeli. Burada da açık rıza her bir aktarım için yeniden aranacak şekilde tanımlanmalı. En azından farklı bir hizmet/ ürün sunan kişilere aktarılmasında her bir aktarımda rıza aranacak şekilde yönetmelik düzenlenmeli. Aksi halde örneğin kitap tanıtımı için kişisel verisini veren ve aktarmaya baştan izin veren kişinin verisi pornografik içerik pazarlayan bir kişiye aktarılabilir ve burada kullanılabilir.

Madde 9
Yurt dışına aktarılma tanımı çok net şekilde yapılmalı. Örneğin birçok bulut sistemde dağıtık sunucular var ve hangi verinin hangi ülkedeki sunucuda tutulacağını belirleme şansınız yok. Dolayısıyla yurt dışına çıkartılıp çıkartılmadığını bilmediğiniz gibi, 2. Maddede sayılan kriterleri taşıyan ülkelere gidip gitmediğini de belirlemek mümkün değil. Bu nedenle yönetmelikte yurt dışına çıkartma kriterleri net olarak belirlenmeli ve nelerin yurt dışına çıkartma sayılacağı belirtilmeli.

Madde 10
Aydınlatma yükümlülüğü detaylı tanımlanmalı. Daha önceden aydınlatma yükümlülüğünün yerine getirilmeden toplanmış olan verilerin 2 yıl içerisinde uygun hale getirilmesi sırasında bu yükümlülüğün nasıl yerine getirileceği tanımlanmalı. Aydınlatma metinlerinde çok genel ifadeler kullanılması engellenmeli, örneğin verinin kullanılma amacı veya kimlere aktarılabileceği konularında “ve benzeri, buna benzer, her türlü, tüm …” ibarelerinin kullanılması yönetmelikle engellenmeli.

Madde 11
Burada kişisel veri sorumlusuna örneğin bilgi edinme yasasındakine veya ticari elektronik iletilere getirilen aynı yöntemle çıkabilme, nasıl çıkılacağını belirtme vb. yükümlülükler yönetmelikle getirilmeli. Örneğin verinin toplandığı kanalda mutlaka bu maddede sayılan haklarını kullanmasına izin verecek ve veri toplama aracı ile aynı iletişim yöntemini kullanan bir kanal sağlanmalı. Mesela internet sitesi üzerinden veri toplanıyorsa aynı sitede, aynı görünürlükteki bir alanda bir talep formu olması gibi.

Madde 12
Burada güvenlik tedbirlerinin seviyesi çok önemli. Üst düzeyde, en üst vb. şekilde genel geçer ifadelerle değil teknik olarak net bir şekilde alınması gereken tedbirler mümkünse uluslararası standartlara atıfta bulunarak belirtilmeli.
Ayrıca bu tedbirlerin denetimi mekanizması da detaylı olarak yönetmelikte belirtilmeli.

Madde 13
Yukarıda Madde 11’de belirttiğim gibi burada da ‘kurumun belirleyeceği yöntemler’ ibaresi çok geniş. Yönetmelikte bu başvuru için ilgilinin çok kolay kullanabileceği ve veri toplanmasında kullanılan yönteme benzer yollarla başvuru için imkan sağlanması konusunda düzenleme yapılmalı.

Madde 15
15/2 de atıfta bulunulan “dilekçe hakkının kullanılmasına ilişkin yasa” nın 4. Maddesi “Türkiye Büyük Millet Meclisine veya yetkili makamlara verilen veya gönderilen dilekçelerde, dilekçe sahibinin adı-soyadı ve imzası ile iş veya ikametgâh adresinin bulunması gerekir.” İbaresini taşıyor. Buradaki imzalı ifadesi elektronik ortamda yapılan işlemler açısından başvuru hakkını kısıtlayıcı olacaktır. Yönetmelikle burada verinin topladığı yönteme benzer bir yöntemle başvuru yeterli sayılmalıdır. Ayrıca aynı yasanın 6. Maddesi “b) Yargı mercilerinin görevine giren konularla ilgili olanlar” ifadesi ile yargı mercilerinin görevlerine giren konularda dilekçe verilemeyeceğini düzenler.  Ancak bu yasada özellikle özel kişisel verilere ilişkin ihlaller Türk Ceza Kanunu’nun kişisel verilerin korunmasına ilişkin hükümlerini ihlal nedeniyle cezai yaptırım gerektireceğinden yargı mercilerinin görevlerine girecektir. Bu nedenle yönetmelikte atıfta bulunulan yasanın bu maddesinin de uygulanmayacağı belirtilmeli, veya bu durumda 13. Madde uyarınca başvuru yapılmadan doğrudan şikayet yoluna gidilebileceği belirtilmelidir.

Madde 17
Atıfta bulunulan TCK 135-140 bu yasada belirtilen “özel kişisel verilere” ilişkindir. Diğer kişisel verileri korumaz ve bunlarla ilgili ihlalleri suç olarak düzenlemez. Dolayısıyla özel kişisel veriler dışındaki verilere ilişkin olarak bu yasanın ihlali açısından bir cezai düzenleme yapılmamıştır. Yönetmelikle de yapılması mümkün olmadığından bu madde yeniden düzenlenmelidir.

Madde 21
Kurulu TBMM nin seçmesi durumunda tarafsızlık sağlanması mümkün değildir. Sektör temsilcileri, STK temsilcileri vb. oluşan daha geniş tabanlı bir kurul olmalı.

Madde 22
Kurulun görevleri arasında veri güvenliğine ilişkin düzenli denetimler olmalı

Madde 28
İstisnalar açısından özel kişisel verilerin istisnalara dahil olmaması yönetmelikle sağlanmalı. Özel kişisel veriler sanat tarihi, edebi veya bilimsel amaçlarla da işlenememeli. Bunun düzenlenmemesi örneğin “ateist şairler”, kürt, çerkes vb heykeltraşlar”, “homoseksüel yazarlar” vb gibi siciller tutulmasına veya bu kişilerin özel kişisel verilerinin işlenmesine yol açabilir.

Verinin kişinin kendisi tarafından alenileştirilmesi ibaresi yönetmelikte çok net ve dar olarak tanımlanmalı. Örneğin kişinin kendisinin özel kişisel verisini (mezhep, din, cinsel tercih vb.) alenileştirmiş olmasının işlemeye olanak vermesi önlenmeli, özel kişisel veriler alenileştirilse dahi işlenemeli. Ayrıca alenileştirmenin ardından ilgili kişiye bu konudaki rızasını geri alma hakkı verilmeli.

Madde 29
Kurumun gelirleri arasında bağışlar var. Kurumun bağımsızlığı çok önemli olduğundan yönetmelikte bu bağışların kabul edilebileceği kurum ve kişiler belirlenmeli ve bağışların şeffaf olması için düzenlemeler getirilmeli

Madde 30
4. fıkrada belirtilen güvenlik sisteminin yönetmelikle çok iyi tanımlanması önemli. Ayrıca bu verilerin paylaşılması durumunda da paylaşılan sistemlerin de aynı sisteme tabii olması gerek. (örneğin bu veriler sigorta şirketleri ve özel hastanelerle bir havuz üzerinden paylaşılacaksa -ki paylaşılıyor- burada çok ciddi kısıtlamalar ve tedbirler olmalı. Bu konuda teknik olarak detaylı yazmak gerek

Geçici madde 1
(3) burada önceden elde edilmiş verilerin alınırken madde 10 da belirtilen aydınlatma yükümlülüğünün yerine getirilmemiş olduğu dikkate alınarak yönetmelikte bu konuda bir düzenleme olmalı. Örneğin bu veriler açısından her veri koruma yetkilisinin uygun yöntemlerle ve ilgili kişi tarafından görülebilecek şekilde (örneğin web sitesinde) genel bilgilendirme yapması vb. yükümlülükler getirilmeli.

Bu kanunun kişisel verilerle ilgili bilgileri koruyup korumayacağını zaman gösterecek. Şu andaki hali ile kendi içinde yanlış anlaşılmalara meydan verebilecek açık uçlarının dikkatle gözden geçirilmesi ve eksiklerinin giderilmesi ile bu anlamda uzun zamandır beklenen bir alanı dolduracak olması ise ayrıca önem arzediyor. 

Yorumlar
btbilgi
PAYLAŞ
blank
Lisans eğitimini Marmara Üniversitesi İletişim Fakültesi'nde tamamladı. Fatih Üniversitesi İngilizce MBA programında master derecesini aldı. İş yaşamına BYTE Türkiye dergisinde başladı. Computerworld dergisinde Yazı İşleri Müdürü, Hürriyet Gazetesi'nin e.Yaşam ekinde yardımcı editör olarak görev aldı. Fintek A.Ş. (Ziraat Teknoloji) ve İnnova A.Ş.'de Kıdemli Pazarlama İletişim Uzmanı olarak çalıştı. 2017 Ocak ayı itibarı ile xTRlarge ekibine kıdemli editör olarak katılan Hüseyin Gönüllü evli ve Kerem isimli bir erkek çocuk babasıdır.