Your browser (Internet Explorer 7 or lower) is out of date. It has known security flaws and may not display all features of this and other websites. Learn how to update your browser.

X

Kişisel verilerin korunması – Av. Dr. Çiğdem Ayözger

Kişisel Verilerin Korunması Kanunu’na uyumlu musunuz?

Peki, risklerinizi biliyor musunuz? Uyum için pratik çözümleriniz var mı?

Düzenlemenin Getirdikleri

Veri/Data ham gerçek enformasyon parçacığına verilen addır. “Kişisel Veri” ise kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. Kanun 7 Nisan 2016’da yürürlüğe girmiş olup geçtiğimiz haftalarda Kurul’un tamamen belirlenmesiyle pratikte de Kurumun düzenlemeleri ve denetimleri ile de karşılaşılmaya başlanacaktır.

Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması gerekmektedir:

  • Hukuka dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuattaki veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel veriler düşünüldüğünde ilk akla “müşteri verileri” gelmektedir. Ancak sadece müşteri verileri değil, çalışanlarınızın verileri yani HR verileri, out-source ettiğiniz ya da size out-source edilen hizmetlerde kullanılan kişisel veriler ile yurtiçine yada yurtdışına transfer edilen her türlü kişisel veriler bu kanuna tabidir. Yani aslında Kanuna uyum için sanıldığından çok daha fazla veri grubu için uyum politikası uygulanmalıdır.

Kişisel Verilerin İşlenme Şartları

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak rıza aranan hallerin aşağıdaki istisnaları bulunmaktadır:

  • Kanunlarda açıkça öngörülmesi,
  • Kişinin rızasını açıklayamayacak durumda bulunması veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin yerine getirilmesi için sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, örn: araç kiralama hizmetinin verilmesi için kişisel verinin işlenmesi halinde rıza gerekmez
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, örn: araç için sigortanın müşteri adına yapılmasının gerekmesi durumunda,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Kişisel Verilerin Transferi

Kişisel veriler, ilgili kişinin açık rızası olmaksızın transfer edilemez. Ancak yukarıda sayılan istisnalar transfer için de geçerlidir. Transfere holding veya ana şirketten iştirake yapılan transferler yani grup içi olarak adlandırılan transferler de dâhildir.

Kişisel verilerin yurtdışına transfer edilmesi durumunda ise transfer edileceği yabancı ülkede; yeterli korumanın bulunması veya veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılabilir.

Yeterli korumanın bulunduğu ülkeler Kurulca ayrıca belirlenecektir.

Düzenlemenin Getirdikleri

Her şirkete “Veri Sorumlusu” atama yükümlülüğü, “Veri Siciline Kayıt” yükümlülüğü getirilmektedir.

İdari Para ve Hapis Cezaları

Kanun her türlü idari ve teknik tedbirin alınmasını emretmekte olup kişisel verilere ilişkin; Kanunun ihlali bakımından 1 Milyon TL’ye kadar idari para cezası, Suçlar bakımından Türk Ceza Kanununa göre 4 yıla kadar hapis cezası uygulanacaktır.

Uyum için Yapılması Gerekenler

Öncelikle şirketinizde hangi tür kişisel veri olduğu tespit edilmeli, verilerin saklanması, işlenmesi, saklanması, transferi ve silinmesi koşulları belirlenmeli, şirket çalışanlarına uyum için eğitim verilmeli, kişisel verilere ulaşan çalışanlar için her türlü idari ve teknik tedbirler belirlenmeli, idari tedbirlerin başında yönetim kurulu karar almalı, tüm iç ve dış süreçler kanuna uyumlu olarak yeniden dizayn edilmelidir.

Top