Okuyacağınız blog yazısı 03.11.2014 tarihinde Adalet Bakanlığı tarafından hazırlanarak Bakanlar Kurulunca kararlaştırılan “Kişisel Verilerin Korunması Kanunu Tasarısı” (“Kanun Tasarısı”)‘na ilişkin olarak hazırlanmıştır.

Kanun Tasarısının Gelişim Süreci

İş bu Kanun Tasarısından önce, Dışişleri Bakanlığınca 21.07.2014 tarihinde  “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin (“108 Sayılı Sözleşme”)Onaylanması”na dair kanun tasarısı gündeme gelmiştir. Söz konusu olan 108 sayılı Sözleşme ise, Avrupa Konseyi bünyesinde hazırlanarak 28 Ocak 1981 tarihinde Strazburg’da imzaya açılmış ve 1 Ekim 1985 tarihinde yürürlüğe girmiştir.

108 sayılı sözleşmenin ülkemiz tarafından onaylanarak yürürlüğe konması konusunda yapılan değerlendirmede, Sözleşmenin iç hukuk düzenlemelerinin tamamlanmasından sonra onaylanması ve yürürlüğe konulmasının uygun olacağı sonucuna varılmıştır. 108 sayılı Sözleşme ve bu sözleşme çerçevesinde iç hukuk düzenlemelerinin de tamamlanması çerçevesinde kişisel verilerin işlenmesi, kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasların düzenlenmesi amacıyla iş bu kanun tasarısı oluşturulmuştur.

Bu tasarı ile gerek özel sektör, gerekse kamu sektörü tarafından bilişim sistemleri üzerinden verilerin kullanılması sonucunda bazı bilgilerin istismar edilme riskinin bertaraf edilmesi amaçlanmıştır. Bu noktada kişisel verilerin yetkisiz kişilerce elde edilmesinin önlenmesi, kullanılmaması hedeflenerek temel hak ve özgürlüklerin ihlal edilmesinin önüne geçilmesi amaçlanmıştır.

Kanun’un İçeriğinin İncelenmesi

Kişisel Veri Kavramı

İş bu Kanun Tasarısına göre kişisel veri kavramı, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanmaktadır. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir.

Tasarının Kapsamı

Tasarı’nın hitap ettiği çevre olarak kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen, otomatik olan veya olmayan yollarla işleyen gerçek ve tüzel kişiler sayılabilir. Bu Kanun hükümlerinin kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen kişilere uygulanması öngörülmüştür.

Kanun hükümlerinde yer alan düzenleme ve esasların uygulanmayacağı noktalar ise, istisnalar başlığı ile hüküm altına alınmıştır. Bu durumlar, kişisel verilerin gerçek kişiler tarafından tamamen kişisel veya aynı konutta beraber yaşayanlarla ilgili faaliyetlere ilişkin olarak, kişisel verilerin anonim hale getirilmesi suretiyle araştırma amacıyla işlenmesi, basın özgürlüğü çerçevesinde işlenmesi ve bu sayılan durumlar dışında özel kanunlarda ayrı tutulmuş durumlara uygun şekilde işlenmesi durumlarında iş bu kanun tasarısı hükümleri uygulanmayacaktır.

Genel Olarak Kişisel Verilerin İşlenmesinde Uyulacak Esaslar

Tasarı ile, Uluslararası hukukta da geçerli olan, Kişisel verilerin işlenmesi kapsamında; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar amacıyla işlenme, işlenme amacı ile bağlantılı, sınırlı ve ölçülü olma, işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması gerektiği düzenlenmiştir.

Tasarıya göre kural olarak kişisel veriler, ilgili kişinin açık rızası olmadan işlenemez. İstisnaen rıza olmadan işlemek mümkündür.  Buna göre; kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olması veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde rıza olmasa da işleme yapılabilir.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili veriler özel nitelikli verilerdir ve işlenmesi yasaktır. Bu özel nitelikli kişisel verilerin işlenmesi ise ancak belirli hallerde mümkündür. Bu durumlar ise; ilgili kişinin açık rızası, kanunlarda açıkça öngörülmesi, siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluşların mevzuatına uygun olmak ve 3. kişilere açıklanmamak kaydıyla verilerin işlenmesi, ilgili kişi tarafından alenileştirilmiş olması, bir hakkın tesisi veya kullanılması için zorunlu olması, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenmesi durumlarıdır. Sonuç itibariyle; yukarda tanımı yapılmış olan özel nitelikli kişisel veriler yalnızca sayılan bu durumlarda işlenebilmektedir.

Veri Sorumlusu ve Yükümlülükleri

Veri sorumlusu kavramı; birim, kurum veya kuruluşlarda veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Veri sorumlusunun aynı zamanda ilgili kişileri, kişisel verilerin elde edilmesi, hangi amaçla işleneceği, kimlere hangi amaçla aktarılabileceği, silinmesi ve yok edilmesi ile ilgili aydınlatma ve bilgi verme yükümlülüğü bulunmaktadır.

Aynı zamanda ilgili kişinin; kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenmek, bunlara ilişkin bilgi talep etmek, amacına uygun kullanılıp kullanılmadığını sorgulamak, kişisel verilerin aktarıldığı kişileri bilmek, yanlışların düzeltilmesini talep etmek, kişisel verilerinin zarara uğraması durumunda zararının giderilmesini talep etme hakkına sahiptir. İlgili kişi için hak olan bu hususlar, veri sorumlusunun yükümlüsü olarak da görülmektedir.

Veri güvenliğine ilişkin olarak veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenilmesini ve erişilmesini önlemek ve muhafazasını sağlamaya yönelik tedbirleri almak gibi yükümlülükleri vardır. Bu yükümlülükler veri sorumlusunun görevden ayrılması halinde dahi devam etmektedir. Aynı zamanda kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde veri sorumlusu en kısa sürede bu durumu ilgilisine ve Kişisel Verileri Koruma Kurulu’na bilgi vermekle yükümlüdür. Kurul gerekirse bu durumu ilan edecektir.

Aynı zamanda iş bu kanun tasarısında, ilgili kişinin kanun hükümlerinin uygulanmasıyla ilgili taleplerini veri sorumlusuna iletebileceği düzenlenmiştir. Bu taleplerle ilgili usul ve esaslar da kanun tasarısında yer almaktadır. Buna göre; ilgili kişi öncelikle taleplerini veri sorumlusuna iletecektir, başvurunun reddedilmesi veya cevap verilmemesi durumunda, 30 gün içinde Kurula şikâyette bulunulması mümkündür.

Kişisel Verileri Koruma Kurulu

İş bu Kanun tasarısı hükümleri kapsamında şikâyetleri değerlendirmek, usul ve esaslara uyulup uyulmadığını re’sen kontrol etmek yetkisi Kurul’a tanınmıştır. Bu noktada Kurul’un, denetleme yapmak, tedbirler almak, görüş bildirmek, idari yaptırım sağlamak ve araştırma ve incelemeler yaparak eğitim faaliyetlerini sağlamak gibi görevleri düzenlenmiştir.

Kurul’un resen veya şikâyet üzerine başlatacağı inceleme ile ilgili usul ve esaslar kanun tasarısında düzenlenmiştir. Buna göre; ilgili kişinin şikâyeti üzerine Kurul gerekli konularda inceleme başlatacaktır. Bu inceleme kapsamında veri sorumlusu ilgili bilgi ve belgeleri 15 gün içinde Kurul’a göndermekle yükümlüdür. Kurulun yapacağı inceleme iki ay içinde tamamlanır. Yapılan inceleme sonucunda, Kanun hükümlerinin ihlal edildiğinin tespit edilmesi durumunda karar, hukuka aykırılıkların giderilmesine karar verilerek ilgili veri sorumlusuna tebliğ edilir. Kurul’un kanuna aykırı uygulamaların aynı zamanda yaygın olduğunu tespit etmesi halinde, ilke kararı alınır ve bu karar yayımlanır. Aynı zamanda Kurul; telafisi güç veya imkânsız zararların doğması ihtimali ve açıkça hukuka aykırılık halinde veri işlenmesinin veya aktarılmasının durdurulmasına da karar verebilir. İlgililer Kurul kararlarına karşı idare mahkemelerinde dava açabilirler.