6698 Sayılı Kişisel Verilerin Korunması Kanunu, 33 Madde olarak 07.04.2016 tarihinde Resmî Gazete ‘de yayınlandı. Bu kanun kapsamında;
1- Bu kanun gerçek kişilerin ve bu kişilere ait bilginin korunması amacıyla çıkarılmıştır. Yani, gerçek kişilere ait her türlü bilgi, fotoğraf, parmak izi, telefon numarası, internet IP adresi vs. kaydedilmesinde/işlenmesinde uyulması gereken esasları içermektedir. Tüzel kişiler bu kanun kapsamında değildir. Ancak tüzel kişinin yöneticileri, şirket yetkilileri vs. şahıslar da bu kanunla korunmaktadır.
2-Kişisel Verilerin İşlenmesi’nin kısa tanımı; tamamen veya kısmen, otomatik olarak ya da otomatik olmayan yollarda verilerin kaydedilmesi, işlenmesi, muhafaza edilmesi veya depo edilmesini ifade eder.
3- Kişisel Verileri kimlerin işleyeceği ise; VERİ SORUMLUSU ve VERİ İŞLEYEN olarak ikiye ayrılır. VERİ SORUMLUSU; verinin işlenmesinde yetkili olan ve geniş kapsamlı sorumluluğu olan gerçek veya tüzel kişilerdir. Neredeyse tüm şirketler veri sorumlusudur. Örneğin X FİRMASI A.Ş. VERİ İŞLEYEN; veri sorumlusu tarafından verilerin işlenmesi için yetkilendirilen ve hukuken sınırlı sorumlu olan kişilerdir. Ör: X FİRMASI A.Ş. de çalışan bir Mil Yönetici vs.
4-Kişisel Verilerin hangi şartlarda işlenebileceği Maddede açıkça düzenlenmiştir.
- Kişinin Rızası ile,
- Kişinin Rızası dışında;
– Kanunda açıkça öngörülen hallerde, Ör: Adli Sicil Kaydı, şüpheli parmak izi vs.
– Fiili imkânsızlık sebebiyle rızası alınamayan acil ve hayati durumlarda, Ör: Kazada ağır yaralanan bir kişinin rızası aranmaz.
– Bir sözleşmenin kurulması veya ifası sebebiyle doğrudan ilişkili olan tarafların ayrıca bir rıza almasına gerek yoktur. Ör: X FİRMASININ yapmış olduğu bir temlik işlemi ile ilgili müşteri bilgilerini sistemine işleyebilir.
– Bilgi, kişinin kendisi tarafından alenileştirilmiş olması durumunda da rıza aranmaz.
– Veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorun olması,
– Kişinin menfaatlerine zarar vermemek kaydıyla, veri sorumlusu kendi menfaatleri için veri işleyebilir. Not: Bu hükmün ucu çok açık. Esnetilerek lehte veya aleyhte kullanılabilir.
5- Özel nitelikli kişisel veriler; Kişilerin IRK, ETNİK KÖKEN, SİYASİ DÜŞÜNCE, FELSEFİ İNANÇ, DİNİ, MEZHEBİ, KILIK KIYAFETİ, DERNEK, VAKIF VEYA SENDİKA ÜYELİĞİ, SAĞLIĞI, CİNSEL HAYATI, CEZA MAHKUMİYETİ vb. verilerdir. Kişinin açık rızası yoksa bu özel nitelikli verilerin işlenmesi yasaktır. Ör: Adam kanser oldu sağlığı çok kötü işlem yapılmasın demek yasak. Ya da bu adam doğudaki bir aşiret reisi durumu çok iyi demek de yasak! Veya bu adam hapse girmiş, adam yaralamış olarak da not işleyemeyeceğiz. Sağlık ile ilgili kişisel veriler ancak kamu yararı için ve sağlık sektöründe işlenebilir. Yani finans sektöründe bir şirket işleyemiyor.
6- Kişisel Verilerin Silinmesi; İşlenme amacı ortadan kalkınca, verilerin de silinmesi gerekiyor. Bu konuda 7. Madde düzenlenmiştir. Ancak çok kapalıdır. İlerleyen süreçte çıkacak yönetmeliğe atıf yapılmış ve yönetmelikte düzenlenecek denilmiştir.
Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması durumunda;
– Silinir
– Yok edilir.
– Anonim Hale gelir.
7- Kişisel Verileri İşlenenin Hakları; Kişisel verileri işlenip işlenmediğini öğrenme, bu konuda bilgi alma, amacına uygun kullanılıp kullanılmadığını öğrenme, kişisel verilerin aktarılıp aktarılmadığı ve kime aktarıldığı hakkında bilgi talep etme hakkı vardır. Veri sorumlusu, bu talepleri ücretsiz olarak (ayrıca bir külfeti yok ise) 30 gün içerisinde yerine getirmek zorundadır. Aksi halde KURUL TARAFINDAN 5.000,00 TL den 1.000.000,00 TL ye kadar idari para cezası hükmedilebilir.
Ayrıca Türk Ceza Kanunu’nun 138. Maddesinde de kanunen belirlenen sürelerin geçmiş olmasına rağmen, verileri yok etmekle görevli kişinin bu görevini ifa etmemesi sebebiyle 1 yıldan 2 yıla kadar hapis cezası öngörülmektedir.
8- Bu kanuna aykırı şekilde işlenmiş olan kişisel verilerin silinmesi veya bu kanuna göre uyarlanması için 2 yıl UYUM SÜRESİ öngörülmüştür. Yani 07.04.2018 tarihi son gündür. Bu kanundan önce hukuka uygun olarak alınan rızalar 1 yıl içerisinde aksine irade beyanı yoksa kanuna uygun kabul edilir.
9- Bu kanuna ilişkin yönetmelik henüz mevcut değildir. Ancak yakın zamanda çıkarılacağı beklenmektedir. Ayrıca kanunda KURUM ve KURUL kavramları mevcuttur. KURUM başbakanlıkla ilişkilidir ve merkezi Ankara’dır. KURUM ’un denetleme yetkisi yoktur. Yani vergi müfettişleri gibi şirketlere gelip inceleme yetkileri yok. Genel kapsamlı bilgi talep etme ve inceleme yetkileri var. KURUM, KURUL VE BAŞKANLIKTAN oluşmaktadır.
10- Yönetmelik henüz mevcut değildir, ancak 1 yıl içerisinde yürürlüğe konulması beklenmektedir. KURUL ve BAŞKANLIK da 6 (ay) içerisinde oluşturulması öngörülmüştür. Özellikle yönetmeliğinde çıkması beklenmekte olup, birçok şirket eksiklerini 2 yıllık uyum süreci içerisinde gelişmeleri takip ederek gidermeyi düşünmektedir.
