Kişisel Verilerin Korunması Kanunu uzun yıllar süren bekleyişten sonra nihayet 7 Nisan 2016’da yürürlüğe girdi. Avrupa Birliği’nin 95/46/EC Direktifi’ne uygun şekilde kişisel verilere dair çerçeve bir düzenleme getirmeyi amaçlayan Kanun hem özel sektör, hem de belirli sınırlamalara tabi olarak kamu sektörü için kişisel verilerin korunması ve işlenmesine dair süreçler ile yükümlülükleri düzenliyor.

Özbek Avukatlık Ortaklığı tarafından 12.04.2016 tarihinde Kişisel Verilerin Korunması Kanunu ile ilgili hazırlanan ve ilk incelemede çok önem arz eden konu başlıklarını kapsayan bilgi notunun özetini okuyucularımızla paylaşmak isteriz.

Kimler Kanun kapsamına giriyor?

Kısaca aşağıdaki iki soruya “evet” cevabı veren şirketlerden iseniz  Kanun kapsamına giriyor olacaksınız.
– Şirketiniz, kişisel verileri tamamen veya kısmen otomatik olan yollarla işliyor mu?
– Şirketiniz kişisel verileri herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işliyor mu?

Birinci soru açısından örneğin şirketiniz, bilgisayar, telefon, hesap makinesi, saat, vs. gibi işlemci sahibi (processor) cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden veri işliyorsa, o zaman  “tamamen ya da kısmen otomatik yollarla kişisel veri işliyor” olarak kabul edileceksiniz.

İkinci soru açısından ise, şirketinizde insan tarafından elle hazırlansa da erişimi ve anlamlandırmayı kolaylaştıran bir veri sistemi kullanılarak veri işleniyorsa, bu durumda da Kanun kapsamında veri işliyor kabul edileceksiniz.

Hep şirketiniz diyoruz ama, aslında veri işleyen gerçek kişiler de Kanun kapsamına giriyor. Ancak şimdilik şirketlere odaklanalım.

Bu şekilde veri işliyorsanız Kanun sizi veri sorumlusu olarak kabul ediyor.

Peki “kişisel veri”den kastedilen nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bunlar çalışanlarınıza, müşterilerinize veya iş ortaklarınıza ait bilgiler olabilir. Kanun sadece gerçek kişilere ait kişisel verileri koruma altına aldığından, tüzel kişilere ait veriler Kanun kapsamında değildir.

Örneğin, bir kişinin adı, soyadı, taşıt plakası, TC kimlik numarası, SGK numarası, pasaport numarası, özgeçmişi, e-posta adresi veya resmi hep kişisel bilgidir. Daha geniş bir ifadeyle,  bir gerçek kişinin kimliği ile eşleşebilen her türlü veri kişisel veridir.

Şirketiniz tarafından tutulan IP adresleri, ya da kullanılan kapalı devre kamera görüntüleri, tutulan ses kayıtları veya alınan parmak izleri de hep kişisel veri olarak kabul edilir.

Kanun’da tanımlanan “özel nitelikli kişisel veriler” ise; bir kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği,  sağlığı veya cinsel hayatıyla ilgili verileri, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili bilgileri ile biyometrik verilerini de içeren hassas verilerdir.

Kişisel verilerin ve özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır ve ancak Kanun’da sayılan çok sınırlı haller ile ve yeterli önlemlerin alınması şartıyla bu kurala istisna getirilmiştir.

Kişisel verileri nasıl işliyor olabilirsiniz?

Şirketinizde iş başvurusundan müşteri mennuniyet programına kadar kayıt almak için kullandığınız her çeşit maktu formlar, müşteri kayıt sistemleriniz, internet uygulamalarınız, insan kaynakları sistemleriniz, e-posta sistemleri üzerindeki kayıtlarınız, analitik ve raporlama uygulamalarınız, satış ve operasyon sistemleriniz gibi pek çok farklı yöntemle veri işliyor olabilirsiniz.

Bir uyum süreci öngörülmüş mü?

Burada belirtmekte yarar var. “Veri işlemek” Kanun’da açıkça tanımlanmış teknik bir terim ve verilerin “elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”i ifade etmek için kullanılıyor.

Kanun, uyum açısından sadece, 7.04.2016 tarihinden önce işlenmiş olan kişisel veriler için bir istisna getirmiş durumda ve bu verilerin işlenme prosedürlerinin de 7.04.2018’e kadar sürecek bir uyum dönemi içinde Kanun hükümlerine uygun hâle getirilmesi gerekiyor. Hal böyle olmakla birlikte, Kanun’da 7.10.2016’ya kadar 6 aylık cezasız bir dönem öngörülmekte olduğundan, veri sorumlusu şirketler 7.10.2016’ya kadar Kanun’da öngörülen şartlara ve veri işlemeye dair kurallara uyum çalışmalarını tamamlamış olurlarsa Kanun’daki cezai yaptırımlara konu olmayabilirler. Aksi takdirde, şirketler ve yöneticileri 1 ilâ 4 yıl arasında değişen hapis cezaları ile ihlal başına 1 milyon TL’ye kadar varabilen idari para cezaları gibi ağır yaptırımlarla karşı karşıya kalabilirler.

Verinin hukuka uygun işlendiğinin kabulü için hangi şartlara uymak gerekli?

Verinin hukuka uygun işlenmesi için özetle aşağıdaki tüm şartların birlikte sağlanması gerekli:

(1) Verinin işlenmesi için açık rıza alınmış veya Kanun’da sayılan istisnalardan biri uygulanıyor olmalıdır;
(2) veri sorumlusu aydınlatma yükümlülüğünü yerine getirmiş/getiriyor olmalıdır;
(3) veri amaç ve süre ile sınırlı olarak işlenmiş olmalıdır ve
(4) verilerin işlenmesine dair genel ilkelere uyulması gereklidir.

Veri sorumluları için getirilen bazı esaslı yükümlülükler nelerdir?

(1) Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

(2) Aydınlatma
Veri sorumlusu veya yetkilendirdiği kişinin, (1) veri sorumlusunun ve varsa temsilcisinin kimliği, (2)  kişisel verilerin hangi amaçla işleneceği, (3) işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, (4) kişisel veri toplamanın yöntemi ve hukuki sebebi ile (5) Kanun’un 11. maddesinde ilgili kişiye sağlanan haklara dair, kişileri bilgilendirmesi ve aydınlatması gereklidir.

(3) Veri güvenliğinin sağlanması
Veri sorumlusu şirketler; (a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve (c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(4) Veri Sorumluları Sicili’ne kayıt
Verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Kurul tarafından belirlenecek sürede kurulacak Veri Sorumluları Siciline kaydolmak zorundadır. Veri Sorumluları Sicili, Kurul’un gözetiminde kamuya açık olarak tutulur.

Yurtdışına veri aktarımı

Dikkat edilmesi gereken bir başka husus da Kanun uyarınca kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına verilerin aktarılmamasıdır. Kişisel veriler, ancak Kanun’da sayılan sınırlı hallerde ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması ya da yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Burada şirketlerin, kullandıkları altyapı hizmetleri ya da imzalamış oldukları sözleşmeler dolayısıyla ya da çok farklı şekillerde verilerini yurtdışına  aktarıyor olmaları ihtimaline dikkat edilmelidir. Artık ancak Avrupa Birliği ülkelerine ve Avrupa Birliği dışında veri transferlerinde yeterli seviyede koruma şartını sağlayan ülkere veri aktarımı yapılması mümkün olacaktır.

Peki şimdi ne yapacağız?

Kanun’un 7.04.2016’da yürürlüğe girdiğini dikkate alınarak, 7.10.2016’ya kadarki cezasız dönemde ivedilikle mevcut veri işleme faaliyetlerine dair bazı aksiyonların öncelikli olarak alınmasını öneriyoruz:

– Uyum sürecinin yönetimi için bir uyum ekibi kurulmasının değerlendirilmesi ve şirketin büyüklüğü dikkate alınarak başta bilişim ve hukuk danışmanları olmak üzere, varsa risk yöneticisi ve iç denetçilerden oluşan bir ekibin oluşturulması,
– Şirkette veri işleme faaliyetlerine ve uyuma dair bir iç denetim yapılması,
– Yabancı ortaklı şirketler açısından grup politikaları da dikkate alınarak şirket içi ve dışı veri kullanım politikalarının belirlenmesi,
– Şirkette veri sorumlusunun temsilcisi olarak bir veri koruması görevlisi ya da uyum görevlisinin istihdamının değerlendirilmesi ve görev tanımı ile yetkilendirmelerinin yapılması
– Şirket organizasyon şemasının yeniden düzenlenmesi,
– Şirket adına veri işleyen üçüncü bir kişi var ise, hak ve yükümlülüklere dair sözleşmesel bir altyapının kurulması,
– Verinin 3. kişilere veya yurtdışına aktarılması durumunun olup olmadığının, varsa aktarım yapılan kişi ve ülkelere dair yükümlülüklerin tespiti,
– Kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve hukuki alt yapının kurulması,
– Şirket tarafından kullanılan başvuru formları dahil, tüm sözleşmelerin veri işleme ve aktarımı açısından incelenmesi, uyum programı çerçevesinde tadili,
– Şirketteki üst düzey yöneticiler ile veri işleyen durumundaki operasyonel birimlerin eğitilmesi.