Geçen ekim ayında yürürlüğe giren ve kısa süre önce de ‘Kurul’u oluşturulan Kişisel Verilerin Korunması Kanunu, sade vatandaştan şirketlere kadar herkesi ilgilendiriyor. Özellikle kişisel verileri işleyen şirketlerin uyum sürecine dikkat etmesi gerekecek.
Son günlerde herkes, internet sitesine girdiği bankasının ya da mal aldığı perakende şirketinin önemli uyarısıyla karşılaşıyor: Kişisel Verilerin Korunması Kanunu (KVKK). Çünkü 7 Ekim 2016’da yürürlüğe giren yasa bir dizi uyum süreci öngörüyor. KVKK’nın amacı, “Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” olarak açıklandı. Dijital dünyanın hayatın her alanına nüfuz ettiği günümüzde yasanın getirdiklerini öğrenmek şart.
Kimleri ilgilendiriyor?
Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen (toplayan, saklayan, düzenleyen, değiştiren, sınıfl andıran, yurtiçine ya da yurtdışına aktaran, açıklayan) gerçek ve tüzel kişiler hakkında uygulanacak.
Kişisel veri ve özel nitelikli kişisel veri nedir?
Gerçek kişiyi belirli ve belirlenebilir yapan her tür veriye kişisel veri deniyor. Örneğin isim, adres, kimlik ve telefon numarası bu kapsama giriyor. Kanun, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri sayıyor.
Kişisel veriler hangi şartlara bağlı olarak işlenebilecek?
Veriler, KVKK’da istisna olarak sayılan haller dışında ilgili kişinin ‘açık rıza’sı olmaksızın işlenemeyecek, işlenenler yok edilecek. “Kanunlarda açıkça öngörülmesi”, “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması”, “Kişi tarafından alenileştirilmesi” gibi şartlarda ise bu rıza aranmayacak. Örneğin iş arayanların özgeçmişlerini sosyal medyada bu amaçla kurulan mecralara yüklemeleri bu alenileştirmeye giriyor. Özel nitelikli kişisel verilerin ise açık rıza olmaksızın işlenmesi yasak. Ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlıkla ilgili kişisel veriler ise ancak kamu sağlığının korunması, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık finansmanının planlanması gibi nedenlerle açık rızası aranmaksızın işlenebilecek. Ayrıca bu verilerin işlenmesinde Kişisel Verileri Koruma Kurulu’nca belirlenen önlemlerin alınması şart. Yine KVKK’ya göre açık rızanın, ilgili kişinin işleme hakkında aydınlatılmasını takiben, verinin işlenme amacına uygun olarak verilmesi de gerekiyor.
Veri sorumlusu kimdir?
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiye veri sorumlusu deniyor. Örneğin her şirket en azından çalışanlarına ait kişisel verileri işlemesi nedeniyle veri sorumlusu olarak niteleniyor. Tüm veri sorumlularının Veri Sorumluları Sicili’ne kaydolması gerekecek. Bu kayıt işlemi için örneğin şirketlerin hangi verileri ne amaçla ve ne kadar süreyle işleyeceklerini belirlemeleri, Sicil’e bildirmeleri gerekiyor. Veri sorumluları özellikle kişisel verileri işlenen kişilerin yapacakları bilgi edinme başvurularını, verilerin düzeltilmesi, silinmesi veya yok edilmesi taleplerini 30 gün içinde karşılamak zorunda. Bunları karşılamayan veri sorumluları, Kurul’na şikayet edilebilecek.
HAPİS VE PARA CEZASI
Kişisel veriler yurtdışına aktarılabilecek mi?
Kişisel verilerin yurtdışına aktarılması için, istisna halleri dışında ilgili kişinin açık rızasının alınması ve gönderilecek ülkenin yeterli kişisel veri korumasına sahip olması gerekiyor. Yeterli korumaya sahip ülkeler, Kurul tarafından liste halinde yayınlanacak.
Kişisel Verileri Koruma Kurulu’na kimler seçildi?
Kişisel verilerin korunması için özerk bir kurul ve kurum oluşturuldu. Kişisel Verileri Koruma Kurulu 12 Ocak 2017’de yemin ederek göreve başladı. Kurul, TBMM seçimi ile Cabir Bilirgen, Cengiz Paşaoğlu, Turan Arık, İhsan Ezel Büyüksekban ve Kurulu seçimi ile Murat Karakaya ile Hasan Aydın’dan oluşuyor.
Ne tür cezalar öngörüldü?
Kişisel verileri hukuka aykırı (TCK) olarak kaydedenler 1 yıldan 3 yıla kadar, hukuka aykırı olarak veren veya ele geçirenler 2 yıldan 4 yıla kadar, verileri yok etmeleri gerektiği halde yok etmeyenler 1 yıldan 2 yıla kadar hapis cezasıyla karşı karşıya kalacak. Ayrıca KVKK’da veri sorumlusuna yüklenen belirli yükümlülükleri yerine getirmeyenlere Kurul tarafından 5 bin-1 milyon lira idari para cezası verilebilecek.
KVKK’nın uygulanmayacağı istisnalar neler?
KVKK belli tip veri işlemede uygulanmayacak. Bunlar arasında “Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi”, “Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” var.
ŞİRKETLER İŞ YAPIŞ ŞEKİLLERİNİ DEĞİŞTİRECEK
KVKK’nın sade vatandaştan holdinglere kadar geniş bir kitleyi çok yakından ilgilendirdiğini vurgulayan Paksoy Ortak Avukat Bürosu Kurucu Ortağı Serdar Paksoy, bu kanun sonrası tüm şirketlerin iş yapış şekillerini değiştirmesi gerektiğini ifade etti. Paksoy şöyle devam etti: “Bir uyum süreci gerekecek. Temelde her bilgiyi almak için rıza istemeleri gerekiyor. Ama özellikle amaca uygunluk çok önemli. Alınan bilgilere şirket içinden kimlerin ulaşabileceği belirlenecek ve bunun sınırları netleştirilecek. Örneğin personelin özlük haklarıyla ilgili bilgiler için de bunlar geçerli olacak. Yine bilgilerin saklandığı dosyaların, bilgisayarların nasıl korunacağı, başkalarını gösterilmemesiyle ilgili talimatların düzenlenmesi gerekecek. Şirket içi departmanların yeni kanuna uygunluğu gözden geçirilecek. Özellikle tüketicilerle imzalanan satış, taahhüt gibi sözleşmelere yeni kanuna uygun maddelerin, seçeneklerin eklenmesi sağlanacak. Bu şirketler arası sözleşmeler için de geçerli.” Şirketlerin eskiden yapabildiği ama bu kanun sonrası yapamayacağı tasarrufl arla ilgili örnekler de veren Paksoy, “Bir holding çatısı altındaki üretim şirketi personeliyle ilgili kişisel verileri, yine aynı holding bünyesinde bulunan bir pazarlama ya da satış şirketine dahi, açık rıza olmaksızın veremeyecek. Ya da bir perakende şirketi yeni kanuna uygun aldığı, işlediği kişisel verileri bir başka perakende şirketine ilgili kişilerin rıza olmaksızın aktaramayacak. Sınırsız veri toplama, işleme dönemi kapandı” dedi.
İŞLENEN ESKİ VERİ İÇİN RIZA ALINACAK
KVKK yürürlüğe girmeden önce işlenmiş verilerin 7 Nisan 2018’e kadar bu kanuna uygun hale getirilmesi gerekiyor. Yani veri sahiplerinden açık rıza alma şartı bulunuyor. KVKK’ya aykırı olduğu tespit edilen; açık rıza olmayan, belli bir hukuka uygun amaca dayanmayan veya işlenme amacını aşan kişisel verilerin ise bu verileri elinde tutanlar tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gerekiyor. Kişiler bu yönde talepte bulunabilecek.