6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Temel Bilgiler
GENEL BİLGİLENDİRME
Teknolojik gelişmelerin artmasıyla, sosyal medya kullanımının yaygınlaşması, cep telefonu ve bilgisayar kullanımının her geçen gün artması kişisel verilerimizi her gün daha da fazla yere ulaştırıyoruz. Bu durum da kişisel verilerimizin erişimini ve olası yasal olmayan yollarla kullanılmasını kolaylaştırmaktadır.
İnternet üzerinde bulunan ve işlem yapan tüm şirketlerin, kurumların veri güvenliği de kişisel verilerimiz gibi önem taşıyan diğer husustur. TBMM tarafından hazırlanan ve oy birliği ile yasalaşan Kişisel Verileri Korunması Kanunu kişisel verileri güvende tutmak adına birden fazla ve önemli düzenlemeler getirmiştir. Bu kanun, 7 Nisan 2016’da Resmî Gazete ’de yayınlanarak yürürlüğe girmiştir.
Kanun düzenlemeleri ile kişilerin veya kurumların yükümlülükleri ve sorumlulukları da açık bir şekilde belirlenmiştir. Kanun, verileri kimin topladığını, kimin verileri işlendiğini, verilerin nerede, ne şekilde veya hangi amaçla kullanılabileceğini açıkça belirtmiştir. Mevcut verilerin ne gibi durumlardan ötürü imha edilmesi ve hızlı bir şekilde yayından kaldırılması ile ilgili sorunlar da bu yasada açıkça belirtilmiş ve kanun üzerinden belirtilmiştir.
Kanunun amacı, kişisel verilerin işlenmesinin belirli kurallara bağlanmasıdır, böylece anayasada öngörülen özel hayatın gizliliğine ilişkin temel hak ve özgürlüklerin korunmasıdır.
Kanun kapsamında, bazı yükümlülükler mevcuttur. Veri Sorumluların yerine getirmesi gereken aydınlatma yükümlülüğü, VERBİS’e kayıt yükümlülüğü gibi birtakım yükümlülükler düzenlenmiştir. Kişisel Verileri Koruma Kurumu ve Kurulu oluşturulmuş ve göreve başlamıştır.
Veri Sorumlularının kaydolduğu Kişisel Verileri Koruma Kurulu gözetiminde VERBİS adıyla bilinen Veri Sorumluları Sicili oluşturulmuştur.
Uygulamada yanlış bilinen konulardan biri 31 Aralık 2021 VERBİS’e son kayıt tarihinin Kanun’a uyum sağlanması için son tarih değildir. Kanun 2016’dan önceki veriler için uyum süresini 2 yıl olarak öngörmüştür. Bu süre 7 Nisan 2018’de sona ermiştir. 2016’dan sonraki verilerin bu kanuna uygun işlenmiş olması gerekmektedir.
KİŞİSEL VERİ NEDİR?
Kimliği belirli ya da belirlenebilir kılan her türlü bilgiye kişisel veri denir. Ad soyad, adres, kimlik bilgileri ilk akla gelen kişisel veriler olsa da bunların yanında e-posta adreslerimiz, telefon numaramız, takma adlar, IP adresleri, banka bilgilerimiz, kredi kartı bilgilerimiz, sosyal medya hesaplarımız, fotoğraflarımız gibi, bizim kim olduğumuza ulaştıran her türlü bilgi kişisel veridir. Örneğin, bir kişinin araç plaka numarası da kişisel bir veridir. Bu plakayı sisteme girdiğimizde kişinin ad soyad bilgisine erişiriz.
Kişinin kimliğinin belirli hale gelmesinin ilk akla gelen şekli ad ve soyadının tespit edilmesi olsa da bir kişinin kimliğinin belirli olması için ad ve soyad bilgisi her zaman gerekmeyebilir.
Örneğin internet ortamında, belirli cihazların davranışları ve dolayısıyla bu cihazları kullanan kişilerin davranışları tespit edilebilmektedir. Böylece ad, soyad veya adres gibi bilgilere ihtiyaç duyulmaksızın, kişinin sosyo-ekonomik, psikolojik, felsefi veya diğer bağlamlarda kategorize edilmesi ve internete bağlandığı cihaz aracılığıyla gerçekleştirdiği davranışların ona ait olduğunu teyit etmek mümkündür. Özetle, bir kişinin kimliğinin belirli hale gelme ihtimali, artık yalnızca onun ad ve soyadının tespit edilmesi anlamına gelmemektedir.
ÖZEL NİTELİKLİ KİŞİSEL VERİLER NELERDİR?
Özel nitelikli verilerle kişisel veriler arasında fark vardır. Özel nitelikli kişisel veriler kişisel verilerden farklı olarak işlenmesi halinde kişinin hayatında dışlanmaya, hakarete uğramasına, alaya alınmasına neden olabilecek durumlara yol açılabilir. Bu yüzden kanun kapsamında da daha hassas davranılmış ve kanun kapsamı buna göre belirlenmiştir.
Diğer bir deyişle, özel nitelikli veriler kanunun özel önem atfettiği ve korunması, özel nitelikli olmayan verilere göre daha sıkı koşullara bağlanmış olan verilerdir. Kurul, değerlendirmelerdeki kıstası, ilgili kişilerin ayrımcılık veya mağduriyete uğramasına neden olma riski taşımaları olarak açıklamaktadır. Örneğin, GDPR’dan da farklı olarak, kılık kıyafet verisi. Kılık kıyafet verisi baret ya da başörtüsü gibi kişinin dış görünüşüyle alakalı özel nitelikli kişisel veriye örnektir. Bunun dışında ırk, etnik köken, siyasi düşünce, dini, inancı mezhebi, kılık kıyafeti, dernek vakıf üyeliği, cinsel hayatı, ceza mahkumiyeti veriler özel nitelikli verilere örnektir.
Özel nitelikli kişisel verilerin işleme şartları ise;
Sağlık ve cinsel hayat verileri sır saklama yükümlülüğü bulunan kişilerce aşağıdaki şartlarla işlenebilir;
-Kamu sağlığının korunması
-Koruyucu hekimlik
-Tıbbi teşhis, tedavi ve bakım
-Sağlık hizmetleri ile finansmanın planlanması
Diğer verilerse kanunlarda öngörülmesi halinde işlenebilir. Aksi halde mutlaka açık rıza alınmalıdır.
VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ NELERDİR?
Veri sorumluların kanun kapsamında pek çok yükümlülüğü bulunmaktadır. Bunlar şunlardır:
Veri sorumluları siciline kaydolma; VERBİS veri koruma nezdinde tutulan bir sicildir. Türkiye’de 50 çalışan veya 25 milyon aktif mali bilanço toplamı olan veya ana faaliyet konusu özel nitelikli veri işleme olan veri sorumluları 31 Aralık 2021’a kadar yaptırmaları gerekmektedir
Veri Sorumlularının Kişisel Veri Envanteri oluşturması gerekmektedir. Bu envanter, hangi kişisel verilerin, kimlere ait olduğunu, ne amaçlarla işlendiğini, verilerin aktarıldığı üçüncü tarafları ve bunun gibi bilgileri içeren detaylı bir veri haritasıdır. Oluşturulan kişisel veriler envanterine istinaden bildirim yapılmalıdır yani bildirim ile envanterin uyumlu olması önemlidir.
Veri sorumlusu aydınlatma yapmak zorundadır; Aydınlatma yapmak, kişiyi bilgilendirmektir. Aydınlatma; açık ve anlaşılır olmalı, ilgili faaliyete özgü net bilgilendirmeler içermelidir. Çok hukuki cümleler de içermemeli her kişinin anlayabileceği gibi olmalıdır.
İlgili kişiye haklarını kullandırma; İlgili kişi bir şikâyet ya da soru olduğunda veri sorumlusuna yapılan bildirime 30 gün içinde geri dönmek zorundadır. Bu sürede ilgili kişi olarak “bilgilerimi sil” deme hakkına sahip olmuş olurum. Veri sorumlusu şikâyete cevap vermezse kurula şikâyet edilebilir. Olumlu ya da olumsuz bir geri dönüş yapmak zorundadırlar.
Veri güvenliği; Veri sorumlusu şirketin güvenliği için belli teknik ve idari tedbirleri almakla yükümlüdür. Bunlar güvenliği sağlamak için yapılması gereken her şeydir.
Sır saklama yükümlülüğü; Veri sorumlusunun sır saklama yükümlülüğü bulunmaktadır. Veri sorumlusu görevden ayrılsa bile sır saklama yükümlülüğü devam eder.
İhlali bildirme; Veri sorumlusu veri ihlali gerçekleştiğinde kurula bildirilmek zorundadır. Bu bildirim ihlali tespitten itibaren 72 saat içinde olmalıdır. Gecikme olursa da neden olduğunu açıklamak zorundadır.
Ayşenur Özöğren Garip