10.05.2016
Kişisel veri ne anlama geliyor? Neden kişisel verilerin korunması çok önemli?
6698 sayılı Kişisel Verilerin Korunması Kanunu 07 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdi. Kanun’da yer alan tanıma göre Kişisel Veri; en yalın haliyle, kimliği belirli veya belirlenebilir, gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu tanıma göre sadece gerçek kişilere ait Kişisel Veri Kanun kapsamına alınmakta olup bu kişilerle ilişkilendirilerek kimliği belirlemeye yetecek bir bilgi dahi Kişisel Veri olarak sayılacak ve Kanun kapsamında korunacaktır. Kanunun gerekçesinde ise “Kişisel verilerin, sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin akli, psikolojik, fiziki, kültürel, ekonomik, sosyal ve sair özelliklerine ilişkin veriler olduğu ifade edilmiştir. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir” açıklamasına yer verilmiştir. Görüldüğü üzere kanunu gerekçesiyle birlikte değerlendirdiğimizde kapsamlı bir kişisel veri tanımı ortaya çıkmaktadır.
Kişisel Verilerin korunması demokratik hukuk devletleri için önem arz eden bir husustur. Zira demokratik ülkelerde özel hayatın gizliliği esastır. Gelişen teknoloji ile birlikte vatandaşların özel hayatlarını ve bilgilerini gizli tutmaları son derece zor bir hale gelmiştir. Bu bilgilerin ve vatandaşların korunma hakkının güvence altına alınması hukuk devleti olmanın bir gereğidir. Keza 6698 sayılı Kişisel Verilerin Korunması Kanunu da gücünü Anayasamızın Özel Hayatın Gizliliği ve Korunması başlıklı 20. maddesinden almaktadır.
Gelişmiş ülkelerde kişisel veriler hukuken nasıl korunuyor?
Bizim de dâhil olmayı amaçladığımız Avrupa Birliği’ni ele alırsak burada Kişisel Verilerin Korunması “Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi (95/46/EC)” ile güvence altına alınmıştır. 6698 sayılı Kanunumuz da bu AB Direktifi’ne dayanılarak ve bu direktif hükümleri doğrultusunda hazırlanmıştır. İngiltere, Almanya, İtalya gibi gelişmiş ülkelerde de kişisel bilgiler ancak veri sahibinin “açık rızası” ile işlenebilmektedir. Bu ülkeler ayrıca verilerin üçüncü kişilere aktarılmasına ilişkin olarak yazılı bir sözleşme zorunluluğunu öngörmüştür.
Kişisel verilerin diğer ülkelere aktarımının yapılacak olması durumu bilhassa önemli bir husustur. Zira yatırımların global hale geldiği günümüzde kişisel veriler sıklıkla yurtdışına aktarılabilmektedir. Bu kapsamda örneğin İngiliz Hukuku Avrupa Ekonomik Alanı (AEA) dışarısına çıkarılan veriler için aktarılacak ülke de yeterli koruma bulunması şartını aramakta olup İngiltere’deki veri sahiplerinin, veri aktarılacak ülkenin yeterliliğine ilişkin olarak münhasıran karar vermelerine fırsat tanınmıştır.
Almanya Hukuku ise Avrupa Ekonomik Alanı dışına veri aktarılabilmesi için Avrupa Komisyonun yeterli koruma bulunduğu kanaatinde olmasını aramaktadır. Görüldüğü gibi bizim kanunumuzun temel aldığı AB Direktifi’ni esas alarak veri koruması sağlayan ülkelerde de oldukça etkili koruma tedbirleri öngörülmektedir.
Bugüne kadar kişisel veriler Türkiye’de hukuken nasıl korunuyordu? 2005’ten bu yana cezai hükümler uygulandı mı?
Kişisel veriler en temelde Türkiye Cumhuriyeti Anayasası’nın 20. maddesine dayanılarak güvence altına alınmaktadır. Bu madde uyarınca, herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. Ayrıca aynı maddenin 3. fıkrası uyarınca herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Söz konusu madde kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceğini öngörmüş olup, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceğini öngörmüştür. Bu hüküm, Anayasamıza 12 Eylül 2010 tarihli referandum ile eklenmiş olmasına rağmen “Kişisel Verilerin Korunması Kanunu” ancak 6 yıl sonra yasalaştırılmıştır.
2004 yılında yasalaşarak yürürlüğe giren 5237 sayılı Türk Ceza Kanunu’nu da Özel Hayatın Gizliliği ve Kişisel Verilerin Korunmasına ilişkin olarak cezai hükümler öngörmektedir. Türk Ceza Kanunu’nun Kişisel Verilerin Kaydedilmesi başlıklı 135. maddesi uyarınca, hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Ayrıca kişisel verinin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında arttırılacağı düzenlenmiştir.
5237 sayılı Türk Ceza Kanunu’nda öngörülen bu hükümlere istinaden cezai işlemler yapılabilmektedir.
Kişisel verilerin gizliliğin ihlal edildiğine dair Türkiye’de bildiğiniz / yürüttünüz bir dava oldu mu? Örneklendirebilir misiniz?
Yeni kanun öncesinde, yukarıda açıkladığımız şekilde Türk Ceza Kanunu hükümleri uyarınca adli süreçler yaşanmaktaydı. Öncelikle belirtmek gerekir ki, Türk Ceza Kanunu uyarınca, kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır. Bu nedenle adli makamlar bu nitelikteki suçları kendiliğinden araştırmıyorlar.
Yaşanmış olaylara örnek vermek gerekirsek, Yargıtay’ın bir kararına konu olmuş olayda, Yargıtay tarafından sanığın, boşanmış olduğu eşinin bilgisi ve rızası dışında, onun adına bir arkadaşlık sitesinde üyelik işlemleri yaparak elektronik posta adresi oluşturduğu, sitede eşinin, herkes tarafından bilinmeyen veya kolaylıkla ulaşılması ve bilinmesi mümkün olmayan, ancak sınırlı bir çevreyle paylaştığı ismi, medeni durumu, yaşı, burcu gibi kişisel bilgilerine yer vererek, katılanın günlük kıyafetleriyle ve poz vermiş şekilde çektirdiği bir fotoğrafını koyup, “kısa süreli ilişki” seçeneğini işaretlemesi verilerin hukuka aykırı olarak verme veya ele geçirme suçunu oluşturduğu belirtilmiştir. Yeni Kanun sonrasında başka türde olaylarla karşılaşacağımız da aşikârdır.
Yeni Kişisel Verilerin Korunması yasası gecikmiş bir yasa mıdır, yoksa zamanlaması iyi midir?
Önceden de bahsettiğimiz üzere, Kanun’un gecikmiş olduğu kanaatindeyiz. Anayasamızda 12 Eylül 2010 tarihinde yapılan değişikle Kişisel Verilerin Korunması ilişkin usul ve esasların kanunla düzenleneceği öngörülmüş olmasına rağmen, söz konusu kanun ancak 6 seneye yakın bir süre sonunda yasallaşabilmiştir. Özellikle 2000’li yılların başından itibaren teknolojinin muazzam hızlı şekilde gelişmesi ve dijitalleşmenin hızlanması nedeniyle vatandaşların kişisel verilerinin ve özel hayatlarının korunması için kapsamlı düzenlemelere ihtiyaç duyulmaktaydı. Anayasamızın vatandaşlara bu korumayı talep etme hakkını vermesine rağmen, düzenleme yapılmamasından ötürü mağduriyetler yaşanmaktaydı. Her ne kadar 5237 sayılı Türk Ceza Kanunu’nun 135 ve devamı maddelerinde Kişisel Bilgilerin Kaydedilmesine ilişkin cezai hükümler düzenlenmiş olsa da teknik olarak altı doldurulmamış olduğundan uygulamada karışıklıklar yaşanabilmekte ve bazı olaylar suç tanımı dışında kaldığından net bir hukuki süreç yürütülememekteydi.
Yargıtay Ceza Genel Kurulu’nun 2012/12-1510 Esas, 2014/331 Karar numarasıyla 17.06.2014 tarihinde vermiş olduğu kararla kapsamlı bir yorum yapılmış ve kişisel veri tanımlanmıştır. Ancak, halen kapsamlı bir düzenlemeye ihtiyaç olduğu açıktı. Yargıtay Ceza Genel Kurulu’na göre Türk Ceza Kanunu düzenlenmeleri ile tüm kişisel veriler koruma altına alındığından kişisel verilerin mutlaka gizli olması zorunlu değildir. Ancak gizli olmayan ve herkes tarafından bilinen kişisel veriler de hukuka aykırı eylemlere karşı korunmalıdır. Zira kişisel verilerin korunmasına ilişkin suçlarda korunan hukuki değer “sır” olmayıp, verinin ilgilisi olan kişinin kişilik haklarıdır.
Bunun yanı sıra AB ülkelerinde Kişisel Veri Koruması ile ilgili genel metin olan direktifin de 1995 tarihli olduğunu da hatırlatmakta fayda var. Bu arada AB’nin bahis konusu direktif üzerinden oldukça önemli değişiklikler yapmak üzere olduğunu da paylaşmak isterim. Biz bu direktifi iç hukukumuza yeni alabilmişken temel direktifin kısa zaman içinde değişecek olması ihtimali de bu yasanın geç kalmış bir yasa olduğunun bir başka göstergesidir.
Yeni yasanın olumlu ve olumsuz bulduğunuz yanları nedir? Kamuoyunda fişlemeye olanak verdiği yönünde eleştirilere katılıyor musunuz?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun uygulamadaki büyük bir boşluğu dolduracağından şüphe yok. Ancak uygulamasındaki problemleri net olarak söyleyebilmek açısından yasanın uygulamasını ve kanun kapsamında kurulacak olan Kişisel Verileri Koruma Kurumu’nun pozisyonunu görmemiz gerekli. Kanun bu kapsamıyla 95/46 Sayılı AB Direktifi’ne oldukça yakın hükümler içermekle birlikte insanların kafasında fişlenmeye ilişkin olarak soru işareti yaratan bazı maddeler olduğu da söylenebilir. Örneğin, Kanunun yasalaşmasından önce; tasarıya ilişkin komisyon raporlarında muhalefetin bu konulardaki karşı oylarını görebilmekteyiz. Kanun’un 6. maddesinde yer alan “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık kıyafeti” kavramlarına yer verilmiştir. Karşı oy metninde gördüğümüz ifadelere göre, Avrupa Birliği ülkelerinin birçoğunda özel nitelikli kişisel veri olarak benzeri kavramlara yer verildiğinin görülmekte olduğu belirtilmiş ancak “mezhep” ve “kılık-kıyafet” verileri, hiçbir ülkede işlenebilir veri olarak değerlendirilmemiştir. Türk Ceza Kanunu’nun 135/2. maddesinde kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimselerin hapis cezası ile cezalandırılacağı öngörülmüştür. Ancak Kanunun 6. maddesinde yer alan özel nitelikli kişisel veri tanımlandıktan sonra özel nitelikli kişisel verilerin Kurul tarafından belirlenen yeterli önemlerin alınması şartıyla işlenebileceği belirtilerek, asgari düzeyde de olsa Türk Ceza Kanunu’nun 135/2 maddesine bir istisna getirilmiştir. Burada da yukarıda bahsettiğimiz Kurum ve Kurum bünyesinde oluşacak Kurul’un ne şekilde hareket edeceği önem kazanmaktadır.
Kanunun 28. maddesi ise yine tartışmalara yol açan bir istisnayı düzenlemektedir. 28. maddenin iç bendinde “Kişisel Verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi durumlarında Kanunun uygulama alanı bulmayacağı belirtilmiştir. Bu da bir anlamda oldukça geniş kapsamda bir yetkiyi ilgili kurumlara vermektedir. Bu istisnaya karşı olan görüşlerden başka bir tanesine göre; Polis Vazife ve Salahiyet Kanunu’nun EK-7 maddesinde buna ilişkin bir hükmün hâlihazırda düzenlenmiş ve yürürlükte olması nedeniyle Kanun’un anılan hükmünün anlamsız olduğudur.
Fişlemeye ilişkin iddialara uygulama doğrultusunda yorum yapılması uygun olacaktır. Bu noktada Kişisel Verileri Koruma Kurumu’nun nasıl teşekkül edeceği hususu önem arz etmektedir. Kurum nezdinde oluşturulacak olan Kişisel Verileri Koruma Kurulu’nun 9 üyeden oluşacağı, bunlardan 5’inin TBMM tarafından, 2’sinin Cumhurbaşkanı tarafından ve 2’sinin Bakanlar Kurulu tarafından seçileceği düzenlenmiştir. Kurulun bu şekilde teşekkül edecek olması da ülkemizdeki mevcut siyasi yapı düşünüldüğünde bağımsızlık açısından endişeler yaratabilmektedir. Kurum uygulamalarını bu Kurul yürüteceğinden, Kanunda yer alan istisnalar ve fişleme iddialarının bu hususlar göz önünde bulundurularak yorumlanması yerinde olacaktır.
Yeni yasanın yürürlük tarihi nedir? Bağlı yönetmelikler ne zaman çıkıyor olabilir?
Kanun 07 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdi. Kanuna tabi olacakların uyum sağlayabilmesi açısından bazı geçiş hükümleri öngörülüyor. Buna göre; Geçici Madde 1 uyarınca; Veri Sorumluları, kanunun yayımı tarihinden önce işledikleri Kişisel Verileri, yayımı tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hale getirmekle yükümlüdürler. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Veri Sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır. Ancak bu noktada belirtmek gerekir ki; Kurul üyelerinin seçimi ve başkanlık teşkilatının oluşturulması Kanun’un yayım tarihinden itibaren 6 ay içerisinde olacağından Sicile kayıt zorunluluğunun ne zaman uygulanacağı net bir tarihe bağlanmamış olup en erken Kurul’un ve dahi ilgili sicilin oluşmasının bekleneceği düşünülmektedir.
Kişisel Verilerin Üçüncü Kişilere ve Yurtdışına Aktarılması, İlgili Kişinin Hakları ve Veri Sorumlusuna Başvurusu, Kurula Şikâyet ile İncelemenin Usul ve Esasları, Veri Sorumluları Sicili, Suçlar ve Kabahatlere ilişkin konuları düzenleyen maddelerin yayım tarihinden 6 ay sonra yürürlüğe gireceği belirtilmiştir.
Kanunda öngörülen yönetmeliklerin ise Kanun’un yayım tarihinden itibaren 1 yıl içinde yürürlüğe konacağı öngörülmüştür.
Yeni yasa, hayatımızda doğrudan neyi değiştirecek?
Kişisel Verilerin korunması hakkı, temel insan hak ve özgürlükleri arasında yer almakta olup, insanın şahsiyetinin korunması, hukuk devleti ilkesi ve demokrasinin derinlik kazanması açısından hayati öneme sahiptir. Öncelikle belirtmek gerekir ki; bu Kanunun yasalaşması Avrupa Birliği Uyum Kriterleri normlarından bir tanesi olup, ülkemizin Avrupa Birliği üyeliği yolunda bir adım daha atmasına vesile olmaktadır.
Bu noktada vatandaşların veri güvenliğinin sağlanması için özel kurumlar ve devlet kurumları nezdinde operasyonel değişiklikler yapılması gerekecektir. Kanuna uyum sağlanabilmesi açısından gerek kamu kurum ve kuruşları gerekse özel sektör temsilcilerinin belli bir iş gücü ayırması ve masraf yapmaları gerekecektir.
Hâlihazırda Türk Ceza Kanunu ve Anayasa maddeleri uyarınca güvence altına alınmaya çalışmış “kişisel verilerin korunması hakkı”, vatandaşlar için daha somut koruma sağlamaktadır. Ayrıca, daha önce adli kurumlar vasıtasıyla korunan bu haklar, Kanun ile birlikte kurulacak Kurum bünyesinde yönetilerek daha kurumsal bir yapıya kavuşacak, Veri Sorumluları üzerindeki denetim artacaktır. Vatandaşlar kişisel verilerinin uygunsuz kullanıldığı kanaatinde ise Kanun’da belirtilen açık hükümler karşısında başvurularını yaparak daha etkin bir koruma sağlayabileceklerdir.
Elbette bunlar öngörülerimiz olup Kanunun uzun vadedeki etkilerini görebilmemiz için Kanun ve ilgili yönetmeliklerin yürürlüğe girip uygulamasını görmemiz gerekecek.
Yeni yasaya göre, standart kişisel veriler ile nitelikli kişisel veriler nasıl ayırt edilecek, nitelikli kişisel verilerin işlenmesi neye göre olacak?
Kanun, Özel Nitelikli Kişisel Veri kavramını getirmiştir. Buna göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli “Kişisel Veri”dir. Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemler alınmaksızın hiçbir şekilde işlenemez.
Ancak yukarıda da belirtmiş olduğum gibi Türk Ceza Kanunu’nun 135/2. maddesinde kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimselerin hapis cezası ile cezalandırılacağı öngörülmesine rağmen Kanun, özel nitelikli kişisel veriyi tanımladıktan sonra özel nitelikli kişisel verilerin Kurul tarafından belirlenen yeterli önemlerin alınması şartıyla işlenebileceğini belirterek bir istisna getirmiştir.
Özel nitelikli kişisel veriler, Kurul tarafından belirlenen yeterli önlemler alınmaksızın hiçbir şekilde işlenemez. Kanunda bu önlemlere ilişkin herhangi bir düzenlemeye yer verilmemiştir. Bu nedenle Kurum tarafından çıkarılacak yönetmelikte bu düzenlemelere yer verilmesini bekliyoruz. Belirtmek gerekir ki, Kurum tarafından belirlenecek bu önlemler alınsa dahi; özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecektir. Yani gerek kişisel verilerin gerekse özel nitelikli kişisel verilerin işlenebilmesinin ilk ve olmazsa olmaz şartı kişinin açık rızasıdır.
Yeni yasaya göre kişisel veriler bundan böyle nasıl işlenecek, geçmişte işlenmiş kişisel verilerin durumu ne olacak?
Kanunda kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği öngörülmüş ancak “açık rızanın” şekline ilişkin bir hükme yer verilmemiştir. Kanundaki tanım uyarınca açık rıza belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Bu nedenle, bu rızanın sözlü ya da yazılı herhangi bir yolla verilebileceği anlaşılmaktadır. 95/46 Direktif içerisinde de rızanın açık bir biçimde alınması gerektiği belirtilmiş ancak yöntemine ilişkin bir bilgi öngörülmemiştir. Dolayısıyla ikincil mevzuat olan yönetmeliklerde de açık rızanın alınma usulüne ilişkin bir detay verilmemesi halinde Veri Sorumlusu’nun tabi olduğu mevzuatta belirtilen yöntemler kullanılarak rıza alınması gerekeceği düşüncesindeyim.
Kanunun Geçici Madde 1’i uyarınca; Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayım tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hale getirilmesi yükümlülüğü bulunmaktadır. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler ise derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Ayrıca belirtmemiz gerekir ki; Kanunun yayım tarihinden önce hukuka uygun olarak alınmış rızaların, veri sahibinin 1 yıl içerisinde aksine bir iradesi olmazsa, Kanuna uygun olduğu kabul edilmektedir. Ancak burada henüz Kanunda belirtilen açık rızanın ne şekilde alınması gerektiğine ilişkin net bir bilgi olmadığından, Kanunun yayımı öncesinde hukuka uygun alınmış rızanın neyi ifade ettiği de net değildir. Örneğin web sitelerindeki kullanıcı sözleşmeleri içinde bir paragrafta yer verilen ve tıklama suretiyle onay verilerek alınan veri işleme rızaları gibi çeşitli yollarla alınmakta olan rıza beyanlarının hangilerinin Kanuna uygun olacağını yönetmelikler çıktıktan sonra görebileceğimizi tahmin ediyorum.
Yeni yasanın getirdiği Kişisel Verileri Koruma Kurulu’nun işlevi ne olacak, kişisel verileri korumada etkili olabilecek mi?
Kurum nezdinde oluşturulacak olan Kişisel Verileri Koruma Kurulu, 5’i TBMM, 2’si Cumhurbaşkanı ve 2’si Bakanlar Kurulu tarafından atanmak suretiyle toplamda 9 üyeden oluşacaktır. Kurul’un en önemli işlevi kişisel verilerin temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak olacaktır. Bunu sağlarken Kanun ve ikincil mevzuatta kendisine tanınmış her türlü hak ve yetkiyi kullanacak ve Kanun ile kendisine yüklenmiş diğer görevleri de ifa edecektir.
Kurul, örneğin, kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde buna ilişkin geçici önlemler almakla yükümlüdür. İnceleme şikâyet üzerine veya Kurul’un ihlali öğrenmesi durumunda kendiliğinden başlatılabilir. Kurum’un oluşturulması ve Kurul’un teşekkül etmesinden sonra, yapılacak diğer kanuni düzenlemeler ile kişisel verilerin korunmasında ne derece etkili olunacağını daha net görebileceğiz. Ama AB ülkelerinde de buna benzer kurumların olduğunu belirtmek isterim. Kurum bağımsız çalışabildiği, objektif kararlar verebildiği sürece verilerin korunmasında etkili olacaktır.
Yeni yasa kamuya ve şirketlere Veri Sorumlusu zorunluluğu getirdi, bu sorumlu kimdir, kişisel verilerle ilgili görevi nedir?
Veri Sorumlusu en basit tanımıyla Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade etmektedir. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.
Kanun ayrıca “Veri İşleyen” tanımı da yapmıştır. Buna göre, Veri işleyen, Veri Sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen çalışanlar olabileceği gibi Veri Sorumlusu’nun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi de olabilir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem Veri Sorumlusu, hem de Veri İşleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak Veri Sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise Veri İşleyen olarak kabul edilecektir. Kanun’un komisyon raporu da bu kavramları aynen bu şekilde ifade etmektedir.
Kişisel Verilerin elde edilmesi sırasında Veri Sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; işlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ilgili kişinin hakları gibi hususlara ilişkin olarak bilgi vermekle yükümlüdür.
Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Sosyal medya şirketlerinde toplanan kişisel verilere ilişkin yeni yasa bir çerçeve çizmiş midir?
Sosyal medya kanallarına ilişkin kanunda özel bir hüküm öngörülmemiştir. Ancak global anlamda hizmet veren Facebook, Twitter gibi sosyal medya kanallarından bahsediyorsak bu kurumların merkezleri Türkiye’de bulunmuyor ve bu platformlarda hesap oluştururken kişisel verilerimizi doğrudan yurtdışında kurulu şirketlerine gönderiyoruz. Yani Türkiye içerisinde paylaşılan bir bilginin yurtdışına transferi, bu gibi durumlarda söz konusu değil. Dolayısıyla bu şirketlerin yurtdışında kurulu diğer şirketler gibi kanun kapsamında bir yükümlülükleri bulunmayacağı kanaatindeyim. Elbette Kurum ve Kurul oluştuktan sonra bu konularda enteresan fikirler ya da uygulamalar da ortaya çıkabilir. Bunu ancak bekleyip görebileceğiz. Ancak Türkiye’de kurulu olan sosyal medya kuruluşları elbette bu Kanun hükümlerine tabi olacaktır.
Kişisel verilerin uluslararası dolaşımı nasıl olacak? Yabancı şirketlere getirilen yükümlülükler var mıdır?
Kanunun kişisel verilerin yurtdışına çıkarılmasına yönelik de ciddi sınırlamalar getirmiş olduğunu görmekteyiz. Buna göre kural olarak kişisel verilen yurtdışına çıkarılması için kişinin açık rızası gerekiyor. Bu açık rızaya ek olarak verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya verinin aktarılacağı yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri gerekecek. Kurul yeterli korumanın bulunduğu ülkeleri bir liste halinde yayınlayacak.
Kurul’un izninin bulunması hallerinde verilerin yurtdışına çıkarılması için kişinin ayrıca açık rızası aranmadan verilerin transferi söz konusu olabilecek. Burada da görüleceği üzere kurulun verilerin transferi konusunda bir onay mekanizması görevini üstlendiğini söyleyebiliriz. Bunun yanı sıra, verilerin yurtdışına çıkarılması ile ilgili olarak taslak metin içerisinde yer almayan ve meclis görüşmeleri sırasında 9. maddeye eklenen 5. fıkraya göre kişisel veriler, Türkiye’nin veya veri sahibi kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurtdışına aktarılabilecektir. Bu noktada devletin ilgili kurumlarının yurtdışıyla veri paylaşımında kurula görüşünü bildirmesi söz konusu olacak. Fıkra hükmü veri paylaşımının Türkiye üzerinde oluşturabileceği zararın nasıl ölçülebileceği konusunda net bir tanım yapmadığı için devlet kurumlarının görüşlerinin kurul tarafından benimsenmesi olasılığı yüksek görünüyor. Türkiye’de kurulu olan tüm yabancı sermayeli şirketler kanun kapsamında değerlendirilecektir. Bunun yanında yabancı ülkede kurulu şirketlerin Türkiye’de açmış oldukları şube ve irtibat büroları da Kanunda yazılı yükümlülükleri yerine getirmekle mükelleftir.