Kişisel verilerin korunması hakkında kanun 7 Nisan 2016 tarihinde yürürlüğe girdi. Kabul tarihine kadar pek çok taslak hazırlandı, çeşitli kurum ve kuruluşlardan çok farklı talep ve yorumlar aldı.
Yasanın çıkma nedeni temel olarak Avrupa Birliği uyum çalışmaları ve özellikle yargı kurumlarının veri taleplerinin ülkemizde uygun düzenlemelerin bulunmaması nedeniyle veri paylaşmaması nedeniyle yaşanan zorluklar.
Yasanın kabul edilmesinin önündeki en büyük engel ise en büyüğünden en küçüğüne kadar tüm kurumların bu düzenleme ile gelecek ek yükümlülükler ve bunların getireceği maliyetler nedeniyle direnişi ve tabii ki, konunun pazarlama amaçlı veri toplanması ve paylaşımı açısından pek çok kurumun hemen hemen tüm dijital pazarlama faaliyetlerinin temel kaynağı olan verinin gözden geçirilmesi ve hatta imhası gerekliliğinin şirketlerin tepkisine neden olması.
Her ne kadar ilgili yönetmelik henüz çıkmamış olduğundan uygulamada pek çok konu halen belirsiz olsa da, yasanın yürürlüğe girmesi ile tüm kurumlarda süreçleri yasaya uygun hale getirmek için hummalı bir çalışma başladı. Bu yazıda öncelikle yasanın getirdiği temel değişiklikleri, sonrasında da özellikle insan kaynakları ve müşteri ve tedarikçi ilişkileri süreçlerinde yapılması gereken temel düzenlemeleri inceleyeceğiz.
Kanunun gerekçesi ve temel ilkeleri
Bir yasanın uygulamasına ilişkin olarak boşluklar olması halinde yani yoruma ihtiyaç olması durumunda yasa koyucunun bu yasayı çıkartmaktaki amacını ve yasanın genel ilkelerini incelemek gerekir.
Öncelikle Türkiye 28 Ocak 1981 tarihinde imzalanan “Kişisel Nitelikteki Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme”yi imzalamıştır. Bu sözleşme taraf ülkelere yerel mevzuatlarında kişisel verilerin korunmasına ilişkin düzenlemeler getirme yükümlülüğü getirmektedir. Ayrıca AB üyeliği için uyum çalışmaları kapsamında da bu mevzuat değişikliği zorunlu hale gelmiştir. Ayrıca son yıllarda siyaset alanında çok yer alan dinlemeler ve izinsiz kayıtlar da yasanın çıkarılmasında önemli rol oynamıştır. Gerek ilgili meclis tutanakları incelenerek, gerekse kanunun gerekçesi incelendiğinde bu husus açıkça görülecektir. 2016 yılında Türk Ceza Kanunu ‘nda kişisel verilerin korunmasına ilişkin cezai düzenlemeler getirilmiş ve son olarak da 26/04/2016 tarihinde anılan yasa yürürlüğe girmiştir. Yasanın gecikmesindeki temel neden de özellikle doğrudan pazarlama ve tüketiciye yönelik ticari faaliyetler yapan kuruluşların direnci olmuştur.
Yasanın kişisel verilerin işlenmesi için getirdiği temel ilkeler:
- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verinin tanımı ve türleri
Yasa kişisel veriyi “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlamıştır. Bu tanımlama yasadan önce kişisel verinin ne olduğu, hangi bilgilerin kişisel veri sayılacağı yönünde yapılan tartışmaları da sonlandırmıştır. Bu düzenleme öncesinde kişisel veri sadece Türk Ceza Kanunu’nda Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgiler kişisel veri olarak ve bu verilerin hukuka aykırı olarak kaydedilmesinin yaptırımı 6 aydan 3 yıla kadar hapis cezası olarak tanımlanmıştı. Ancak, burada tanımlananlar dışındaki veriler, örneğin kişinin adresi, dış görünüşü, iletişim bilgileri, medeni hali gibi veriler bu madde kapsamına girmediğinden bu verilerin korunmasına ilişkin bir düzenleme yoktu.
6563 sayılı elektronik ticaretin düzenlenmesi hakkında kanun kişisel verilerin korunmasından hizmet sağlayıcıyı sorumlu tutmuş ve kişisel verilerin ilgili kişilerin onayı olmaksızın paylaşılamayacağını düzenlemişse de, kişisel veriyi tanımlamamıştır. Bunun yanında sosyal güvenlik mevzuatı, Noterlik Kanunu, Türk Ticaret Kanunu, Sermaye Piyasaları Mevzuatı, Elektronik Haberleşme Kanunu gibi çeşitli mevzuat kişisel verilerin korunması ile ilgili tedbirlerin alınmasını düzenlemişse de, kişisel veri tanımı bu mevzuatta da yapılmamıştır. Bu nedenle yasanın çıkışından önce nelerin kişisel veri sayılması gerektiği konusunda çeşitli tartışmalar yaşanmış, yasanın yürürlüğe girmesi ile bu tartışmalar büyük ölçüde sona ermiştir.
Yasa kişisel veriyi “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımladıktan sonra “özel nitelikte kişisel veri” tanımı yapmıştır. Özel nitelikte kişisel veri ise yasada kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Kişisel Verilerin Korunması Kanunu kurumlara hangi yükümlülükleri getiriyor
- Veri sorumlusu belirleme ve bildirme yükümlülüğü: Yeni çıkan kanun öncelikle kişisel veri işleyen kurumlara bir kişisel veri koruma yetkilisi belirlenmesi ve bu yetkilinin kurula bildirilmesi yükümlülüğünü getiriyor. Bireysel müşterisi olamayan kurumlar için bile çalışanlarının verisini işledikleri düşünülünce tüm kurumların ve şirketlerin bu sorumluyu belirlemesi gerektiği açıktır. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar para cezası öngörülmüştür. Cezanın uygulanmaya başlama tarihi 01/10/2016 dır. Bu güne kadar kurul oluşturulmuş olmadığından bildirimin yapılması mümkün değilse de, kurumların en azından alacakları bir karar ile sorumluyu belirlemeleri ve ilan etmeleri cezai sorumluluktan kurtulmak açısından şu anda yerine getirebilecekleri sorumluluklarını yerine getirmelerini sağlayacaktır.
- Veri sahibinin açık rızası olmadan veri işlememe yükümlülüğü: Yasa veri işlenmesi için veri sahibinin açık rızasının alınmasını zorunlu tutmuştur. Henüz yönetmelik çıkmamış olduğundan her ne kadar rıza alınmasına ilişkin detaylı tanımlama yoksa da, rızanın veri sahibinin neye rıza gösterdiğini net olarak göreceği şekilde örneğin ayrı bir beyan olarak ve bir sözleşme içerisinde veya uzun bir metin içinde değil de, veri sahibinin neye rıza gösterdiğini net olarak göreceği şekilde ayrı bir beyan olarak alınması gerektiğini düşünmekteyim. Yasa beyanın alınması için bir yöntem göstermemiştir. Yayınlanacak olan yönetmelikte özel bir yöntem düzenlemesi yer alırsa tabii ki bu yönteme uygun rıza alınması gerekecektir. Eğer özel bir düzenleme yapılmazsa, açık rıza alındığının ispatının yükümlülüğü veri sorumlusunda olduğundan kurumların ileride aksi bir iddia olduğunda rıza alındığını ispatlayabilecek bir sistem ile alınması gerekir. Burada ıslak imzalı veya nitelikli elektronik imzalı rızanın bu yükümlülüğün yerine getirildiğini ispatlayacağı açıktır. Diğer elektronik sistemlerle alınan rızalar açısından ise ispat imkanı incelenerek karar verilmesi gerekir.
Yasa bu yükümlülüğün istisnası olarak şu durumlarda açık rıza olmasa dahi kişisel verilerin işlenebileceğini belirtmiştir:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- Veri sahibinin açık rızası olmadan veriyi paylaşmama yükümlülüğü:Yasa verinin paylaşılması için de veri sahibinin ayrıca açık rızasının alınmasını zorunlu tutmuştur. Bu nedenle verinin paylaşılması için işleme konusunda izin yeterli olmayacak olup, yine işleme için alınacak rıza gibi ayrı bir rıza alınması gerektiği görüşündeyim.
- Aydınlatma yükümlülüğü: Veri sahibi her zaman veri sorumlusuna başvurarak kendisi hakkında hangi verilerin işlendiğini, bu verilerin paylaşılıp paylaşılmadığını ve amacına uygun kullanılıp kullanılmadığını öğrenme hakkı vardır. aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar para cezası öngörülmüştür.
- Kişisel verilerin talep halinde düzeltilmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğü: Yasaya uygun olarak işlenmiş olsa dahi, işlenmesini gerektiren nedenin ortadan kalması durumunda re’sen veya veri sahibinin talebi üzerine veri sorumlusu tarafından kişisel veriler silinmeli, yok edilmeli veya imha edilmelidir. Bu yükümlülüğe uymayanlar 5237 sayılı Türk Ceza Kanunu’nun 138 inci maddesine göre altı aydan bir yıla kadar hapis cezası ile cezalandırılırlar.
- Yasanın yürürlüğe girmesinden önce işlemiş olan kişisel verilere ilişkin yükümlülükler: “Yasa Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” Düzenlemesini getirmiştir. Dolayısıyla yasadan önce yasaya uygun şekilde rıza alınmadan işlenmiş kişisel verilerin işlenmesi veya paylaşılması için yasada belirtilen şekilde rıza alınması gerekmektedir. Bu şekilde uygun hale getirilemeyen kişisel veriler derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.