Kişisel verilerin korunması kanunu 24.Mart.2016 tarihinde Türkiye Büyük Millet Meclisinde kabul edilerek 07.Nisan.2016 tarihinde 29677 sayili resmi gazetede yayınlanarak yürürlüge girmiştir.
Kişisel verilerin korunması kanununun oldukça eski bir geçmişi söz konusu.İlgili kanun ilk olarak, Avrupa konseyi tarafından tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışının ilkelerinin belirlenmesi amacıyla hazırlanan “Kişisel Verilen Otomatik Işleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayili Sözleşme” 28.01.1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır.Ancak sözleşmenin 4.maddesi gereğince,iç hukukta kişisel verilerin korunmasına yönelik yasal düzenleme yapılmasının zorunlu olması ve ülkemizde buna yönelik bir yasal düzenleme bulunmaması sebebiyle Türkiye Büyük Millet Meclisi sözleşmeyi onaylayamamıştır. Bu sebeple de sözleşme 1981’den bugüne kadar ülkemiz tarafından uygulanmamıştır.
Yaklaşık 35 yıldır ülkemiz gündeminde olan bu sözleşme ve AB uyum yasaları gereği ilgili kanun yürürlüğe girmiştir.
Kısaca kanun ve maddelerine bakıyor olacağız;
Öncelikle kanunun amacı:Bu kanunun amacı;kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
1-Kişisel Veri nedir?
Kanunda kişisel veriler “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır.Bu sekilde kişisel veri kavramının tanımı mümkün olduğunca geniş tutulmuştur.
Kişisel veriler, kişinin “adı,soyadı,doğum tarihi ve doğum yeri, telefon numarası,her türlü motorlu tasıt plakası,pasaport numarası,özgeçmiş,resim,görüntü ve ses kayıtları,parmak izleri,IP adresi,e-posta adresi,hobiler,tercihler,etkileşimde bulunulan kişiler,grup üyelikleri,siyasi tercihi, aile bilgileri,saglık bilgileri”gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerdir.
İsverenlerin çalistirdikları personelden temin etmis olduğu, mal ve hizmet sunanların müşterilerinden elde etmis olduğu veya dernek/vakıfların üyelerinden temin etmiş oldukları tüm veriler kişisel verilere örnek olarak gösterilebilir.
2-Kişisel verilerin işlenmesi ne demektir?
Kişisel verilerin işlenmesi,kişisel verilerin tamamen veya kısmen otomatik olan ya da olmayan yollar ile elde edilmesi, kaydedilmesi, depolanması,muhafaza edilmesi,değiştirilmesi,yeniden düzenlenmesi,açıklanması,aktarılması,devralınması,elde edilebilir hale getirilmesi,sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
3-Kişisel verilerin işlenme şartlari nelerdir?
Kanunda kişisel verilerin işlenmesinde uyulması gerekli temel ilkeler şu şekilde sayılmaktadır;
- Hukuka ve dürüstlük kurallarına uygun olması,
- Doğru ve gerektiğinde güncel olması,
- Belirli,açık ve meşru amaçlar için işlenmesi,
- İşlendikleri amaçla sınırlı olma ve işlendikleri amaç için gerekli olan süreyle sınırlı olarak muhafaza edilme ilkeleri gösterilmiştir.
Kanuna göre, yukarıda sayılan temel ilkelere uygun olmak şartıyla kişisel veriler kural olarak ancak ilgili kişinin açık rızası olması koşuluyla işlenebilecektir.Bununla birlikte kanunda sayılan bazı istisnalardan birinin varlığı halinde açık rızası olmaksızın da kişisel verilerin işlenmesi mümkün olabilecektir.
İstisnalardan bazıları;
- Kanunda açıkça öngörülmesi,
- İlgili kişinin kendisi tarafindan kişisel verinin alenileştirilmiş olması,
- Bir hakkın tesisi,kullanılması veya korunması için veri işlemenin zorunlu olması gibi.
4-Veri sorumlusu ve veri işleyen kimlerdir?
Kanunda veri sorumlusu ve veri işleyen olarak birbirinden ayrı kavramlara yer verilmiştir.Veri sorumlusu veri kayit sisteminin bir birim,kurum ya da temsilci bünyesinde kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanırken veri işleyen,veri sorumlusunun verdigi yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıstır.
5-Kanuna aykırılık halinde uygulanacak ceza ve yaptırımlar nelerdir?
Kanunda yer alan hükümlere aykırı hareket edenler hakkında ise 5.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanması gibi idari yaptırımlar getirilmiştir.Ayrıca cezai yaptırımlar için Türk Ceza Kanunu'nda bulunan cezaların uygulanacağı belirtilmiştir.Bu cezalar,suçun niteliğine göre 1 ile 6 yıl arasında degişen hapis cezası olarak belirlenmiştir.
6-Kanun’daki yürürlük ve geçiş sürecine ilişkin esaslar nelerdir?
Kişisel verilerin üçüncü kişilere veya yurt dışına aktarılması,ilgili kişinin hakları,başvuru ve şikayet,suçlar ve idari para cezalarına ilişkin hükümleri kanunun yayımı tarihinden itibaren 6 ay sonra yürürlüğe girecektir.Bu hükümler haricinde diğer hükümler ise kanunun yayım tarihiyle birlikte yürürlüğe girmiş olacaktır.
Bu kanunun yayım tarihinden önce işlenmiş olan kişisel verilerin,yayım tarihinden itibaren iki yil içinde kanuna uygun hale getirileceği belirtilerek geçiş süreci tanımlanmıştır.Bu kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin ise derhal silinmesi, yok edilmesi veya anonim hale getirilmesi tanimlanmıştır.Ancak bu kanuna uygun olarak alınmış rızalar bir yıl içinde aksine bir irade beyanında bulunulmaması halinde bu kanuna uygun olarak kabul ediliyor olacaktir.
Ayrıca bu kanunda öngörülen yönetmelik ve ikincil düzenlemeler bu kanununun yayım tarihinden itibaren bir yil içinde yürürlüğe girecektir.
7-Kişisel verileri koruma kurulu kimlerden oluşur?
Kurulacak olan kişisel verileri koruma kurulu toplam dokuz üyeden oluşuyor ve görev yeri Ankara olacaktır.Üyelerin beş tanesi Türkiye Büyük Millet Meclisi tarafından,ikisi Cumhurbaşkanı tarafından kalan iki üyesi de bakanlar kurulu tarafindan seçiliyor olacaktır.Kanunda;yayım tarihinden itibaren altı ay içinde kurul üyelerinin seçilmesi öngörülmüştür.
Kanunun uygulanması esnasında Elektronik Haberleşme hizmeti veren şirketler ve Katma Değerli Servislerin sunulması noktasında bazı yeni düzenlemeler yapılıyor olacaktır.
24.Temmuz.2012 tarihinde 28363 sayılı resmi gazetede yayınlanarak yürürlüğe giren Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmelik kapsaminda faaliyet gösteren sektör şirketleri bu kanundan en az etkilenecek durumdadir.