Animated LogoGöksu Safi Işık Attorney Partnership Logo First
Göksu Safi Işık Attorney Partnership Logo 2Göksu Safi Işık Attorney Partnership Logo

Insights
GSI Articletter
GSI Brief

6698 Sayılı Kişisel Verilerin Korunması Kanunu’na İlişkin Değerlendirme

2016 - Summer Issue

Download As PDF
Share
Print
Copy Link

6698 Sayılı Kişisel Verilerin Korunması Kanunu’na İlişkin Değerlendirme

Personal Data Protection
2016
GSI Teampublication
00:00
-00:00

ÖZET

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi tarafından elde edilmesi, kaydedilmesi, depolanması, açıklanması, aktarılması ya da sınıflandırılması gibi işlemler, 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”)’da düzenlenen belirli esas ve usuller çerçevesinde hukuka uygun kabul edilecektir. Bu makalede öncelikle, Avrupa Konseyi tarafından kabul edilen 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin Sözleşme’nin Türkiye tarafından imzalanmasından sonra Kanun’un 2016 yılında yürürlüğe girerek onaylanmasına kadarki kanunlaşma çalışmalarına değinilecektir. Sürece ilişkin açıklamalardan sonra, kişisel veri ve özel nitelikli kişisel veri tanımı içerisine nelerin dâhil olduğu, bunların veri sorumlusu tarafından hukuka uygun olarak nasıl işlenebileceği, verileri işlenen ilgili kişinin hakları ve veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerinden bahsedilecektir. Kanun’un uygulanması kapsamında kurulacak olan Kurul’un idari yapısına dair kısaca bilgi verildikten sonra son olarak veri sorumlularının karşılaşabilecekleri suçlar ve kabahatler ile Kanun’un kapsamı dışında kalan alanlar sayılacaktır. 

I. Giriş

Kişisel verilerin işlenmesi, kamu ve özel hukuk tüzel kişilerinin faaliyette bulunabilmeleri için temel ihtiyaç haline gelmiştir. Ülkemizde kişisel verilerin korunmasına yönelik özel bir düzenlemenin yürürlüğe girmesinden önce kişisel veriler, kanuni usul veya esasa bağlı olmadan işlenmekle beraber hukuka aykırı veri işlenmesi durumunda sorumluların muhatap alınabilmesi imkânı da yoktu. Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi ile birlikte kişisel verilerin hukuka uygun işlenmesi koşulları düzenlenmiştir.

Bu çalışmada öncelikle kişisel veri ile özel nitelikli kişisel veri arasındaki fark tahlil edilerek, her iki verinin de kanuna uygun olarak işlenmesi halleri incelenecektir. Daha sonra kişisel verilerin güvenli bir şekilde işlenmesi ve muhafaza edilmesi amacıyla kişisel verileri işleyen veri sorumlusuna getirilen kanuni yükümlülüklere ek olarak veri sahibinin, işlenen veriler üzerinde sahip olduğu haklar üzerinde durulacaktır. Buna mukabil, Kanun’da kişisel verilerin işlenmesine ilişkin hukuka uygunluk halleri, veri sorumlusu sıfatını haiz işverenlere uyarlanarak iş hukuku çerçevesinde bir değerlendirme yapılacaktır. Son olarak ise Kanun ile verilen görevleri yerine getirmek üzere kurulan Kişisel Verileri Koruma Kurumu’nun teşkilat yapısı incelenerek hukuka aykırılıklara karşı cezai yaptırımlar ve ilk defa hükme bağlanan idari yaptırımlar tetkik edilecektir. 

II. TARİHSEL GELİŞİM

Yirminci yüzyılın ikinci yarısından itibaren dünya genelinde teknolojinin gelişimi ve bilgisayar kullanımının günlük hayata girmeye başlaması ile kişisel verilerin dijital ortama aktarılması ve kayıt altına alınması yaygınlaşmaya başlamıştır. Bu yaygınlaşmanın dezavantajı olarak verilerin üçüncü kişilerin eline kolaylıkla geçmesi, amaç dışı kullanılması ve bu verilerden veya bilgilerden hukuka aykırı şekilde yararlanılması sorunu, tüm dünya genelinde artan güvenlik problemlerini gündeme getirmiştir. Dolayısıyla özel sektörde veya kamu sektöründe çalışan ve verileri kayıt altında bulunan kişilerin büyük zararlara uğratılması karşısında insan haklarını korumaya yönelik kurallar yetersiz kalmaya başlamış olup bu alanı kapsayan uluslararası bir sözleşmenin yapılması zorunluluk haline gelmiştir.

1981 yılında 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin Sözleşme”, Avrupa Konseyi tarafından kabul edilerek imzaya açılmıştır. Bu sözleşme, kişisel verilerin korunması konusunda kabul edilmiş olan ilk bağlayıcı sözleşme özelliğini taşımaktadır1. Söz konusu sözleşme sadece Avrupa Konseyi’ne üye devletlere değil, bütün devletlerin katılımına açılmıştır.

A. Türkiye’de Kanunlaşma Süreci

Türkiye, bu sözleşmeyi 28.01.1981 tarihinde diğer üye devletler ile birlikte imzalamıştır; ancak bu sözleşme hükümleri 07.04.2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) Resmi Gazete’de yayınlanıp yürürlüğe girmesi ile onaylanmış bulunmaktadır. 

1. 2010 Anayasa Değişikliği Öncesi

Ülkemizde Kişisel Verilerin Korunması Kanunu’nu oluşturabilmek için ilk çalışma 1989 yılında gerçekleştirilmiştir. Yalnız, bu ilk denemede başarılı olunamamış ve tasarı çalışmaları tamamlanamamıştır. Bir sonraki deneme ise 2000 yılında gerçekleşmiştir; ancak söz konusu dönemde yaşanan hükümet değişikliği ve birtakım ülkesel sorunlar nedeniyle tasarı tamamlanamamıştır. 2001 yılında hazırlanan yeni bir Türk Ceza Kanunu Tasarısı ile kanuna aykırı olan, kişisel verileri toplama, bilişim sistemine yerleştirme, muhafaza için gerekli tedbirleri almama, yetkili olmayanlara verme, imha etme, ifşa etme, özel maksatlarla kullanma, ele geçirme, süresinde yok etmeme fiilleri suç haline getirilmiştir. Hükümet değişikliği sebebiyle tasarı çalışmaları tamamlanamamıştır.

2004 yılında yeniden komisyon oluşturulmuş ve bu komisyonun hazırladığı kanun tasarısı aynı yıl içerisinde gerçekleşen TBMM seçimleri nedeniyle yasalaşamamış ve içtüzüğün 77. maddesi gereğince hükümsüz hale gelmiştir. Ayrıca 2004 yılında Bilgi Teknolojileri İletişim Kurulu (“BTK”) tarafından hazırlanan “Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmelik“ yürürlüğe girmiştir.

2. 2010 Anayasa Değişikliği Sonrası

2010 yılında yapılan Anayasa reformunda, halk oylaması sonucu kabul edilen 5982 sayılı kanunla “Kişisel Verilerin Korunması“ temel bir insan hakkı olarak Anayasa’da güvence altına alınmış olup detayların bir kanunla düzenlenmesi öngörülmüştür2. 2011 yılında Adalet Bakanlığı, Başbakanlığa yazdığı yazı ile tasarının yenilenmesinin uygun olacağını belirtmiştir. Bunun üzerine akademisyenlerden kurulu bir bilim komisyonu kurulmuş ve komisyon tarafından oluşturulan taslak ilgili komisyona gönderilmiştir. Bu çalışmalar Avrupa Birliği’ne uyum fonlarından biri olan ve fasıllarla ilgili teknik yardım için kullanılan Matra Fonu ile Hollandalı danışman bir firmanın teknik desteği alınarak tamamlanmıştır. Söz konusu tasarı 2012 yılında Başbakanlığa gönderilmiştir 3.

2013 yılında Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından hazırlanan ‘’Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik’’ yürürlüğe girmiştir. Bir sonraki yıl Anayasa Mahkemesi, 2010 yılında yapılan Anayasal referandumu işaret ederek, 5809 Sayılı Elektronik Haberleşme Kanunu’nun kişisel verilerin korunması hususunda Telekomünikasyon İletişim Bakanlığı (“TİB”) ve BTK’ya yetki veren 51. maddesini iptal etmiştir. Bunun üzerine 2014 yılında konu ile ilgili yeni bir kanun hazırlanarak TBMM’ye sunulmuştur; ancak bu tasarı da kabul edilmemiştir.

TBMM seçimlerinin ardından 64. Hükümet 2016 Eylem Planı’nda, ilk üç ay içerisinde kişisel verilerin korunmasına ilişkin yasal düzenlemelerin hayata geçirileceği belirtilmiştir. ‘’Kişisel Verilerin Korunması Kanunu Tasarısı’’ Bakanlar Kurulu’nda kabul edilmesinin ardından 6698 sayılı Kanun 18.01.2016 tarihinde TBMM’ye sunulmuş olup 07.04.2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.

III. KİŞİSEL VERİLERİN İŞLENMESİNE DAİR USUL VE ESASLAR

A. Tanım

Kanunun “Tanımlar” başlıklı 3. Maddesi’nde, kişisel veri kavramı için: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlama yapılmıştır. Anayasa Mahkemesi kararlarında ise “Belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgiler”i ifade etmektedir. Bu bağlamda “adı, soyadı, doğum tarihi ve doğum yeri” gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; “telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler” kişisel veri olarak ifade edilmiştir4.

B. Genel İlkeler

Kanun’un 4. maddesi uyarınca kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı sözleşmeye ve 95/46/EC yönergesine paralel şekilde düzenlenmiştir. Buna göre; kişisel veriler ancak hukuka ve dürüstlük kurallarına uygun şekilde belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı olma ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilme koşullarına uygun işlenebilecektir. Örneğin, kişinin sağlık kontrolleri nedeniyle işlenen verilerinin, medikal ticaret yapan bir şirket tarafından ele geçirilmesi sonucu ilgili kişinin hasta statüsünden potansiyel müşteri statüsüne geçirilmesine sebebiyet veren bu işlem hukuka aykırı olacaktır. Böylece, kişisel verilerin işlenmesinde söz konusu ilkelere uyulması zorunlu hale getirilmiştir.

Kanun’da açık rıza, belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür irade ile açıklanan rıza olarak tanımlanmıştır. Bu ifade şekli ile yeterli kalınarak hangi somut hallerin açık rızayı kapsadığı sınırlı bir şekilde sayılmamıştır. Öyle ki uygulamada meydana gelebilecek uyuşmazlıklar sonucunda Yargıtay’ın yapacağı yorumlar çerçevesinde detaylı bir tanım, süreç içerisinde oluşacaktır.

Kişisel verilerin işlenmesi ile Kanun: Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemin ifade edildiğini düzenlemektedir. Kişisel veriler, ilgili kişinin (verileri işlenen gerçek kişi) açık rızası olmaksızın işlenemeyecektir; ancak Kanun’un 5. maddesindeki şartlardan en az birinin varlığı halinde ilgili kişinin açık rızası aranmayacaktır:

i. Kanunlarda açıkça öngörülmüş olması.

ii. Rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

iii. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

iv. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

v. İlgili kişinin kendisi tarafından alenileştirilmiş olması.

vi. Bir hakkın tesisi, kullanılması veya korunması için veri işleminin zorunlu olması.

vii. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

C. Özel Nitelikli Kişisel Verilerin İşlenmesi

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Kanun’da, özel nitelikli kişisel veri olarak düzenlenmiştir5.

İlgili kişinin açık rızası bulunmaksızın özel nitelikli kişisel verilerin işlenmesi yasaklanmıştır; ancak Kanun 6. maddesinde istisnai koşullar düzenlenmiştir: Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmüş olması halinde işlenebilecek iken sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesinde ilgili kişinin açık rızası aranmamıştır. Özel nitelikli kişisel verilerin işlenmesinde ayrıca Kişisel Verileri Koruma Kurulu tarafından belirlenen gerekli önlemlerin alınması şartı getirilmiştir.

D. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi

Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceği ilgili hükme bağlanmıştır6. Bu hükmün dayanağının, amaca bağlılık ilkesi olduğunu kabul etmek gerekmektedir7. Amaç ortadan kalktığında, bir verinin saklanmasının dayanağı da ortadan kalkacağından o noktadan sonra işlem hukuka aykırı hale gelecektir. Maddenin amacını AB uygulamasında kabul edilen bir hak olan ‘unutulma hakkı’ kapsamında değerlendirecek olursak; ‘unutulma hakkı’ ile kişisel verilerin korunması hakkı arasındaki ortak nokta; ‘‘her iki hakkın özünde, bireyin onurlu yaşaması, kişiliğini serbestçe geliştirmesi ve kişisel verileri üzerinde özgürce tasarruf etmesi yatmaktadır8." Bir örnekle detaylandırmak gerekir ise; 20 yaşında herhangi bir derneğe üye olan kişinin 40’lı yaşlarda, düşünce ve ideolojilerinin tam tersi yönde değişmesi halinde dernek üye kayıtlarının yok edilmemiş ve ulaşılabilir olması, kişinin mahremiyet alanına müdahale olarak kabul edilebilecektir. Bireyler hakkında internet ortamında yapılacak araştırma ile o kişi hakkında birçok veriye ulaşılabilmesi, kişiye karşı başkaları nezdinde kaçınılmak istenen yargılar oluşturabilmekte ve bireylerin kişiliklerini serbestçe geliştirebilmesinin önüne set çekebilmektedir.

E. Kişisel Verilerin Aktarılması

Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacaktır9. Kişisel veriler ancak; kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması şartıyla yurt dışına aktarılabilecektir. Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına aktarılabilecektir.

F. Haklar ve Yükümlülükler

Kanun’da kişisel verileri işlenen kişiye belirli haklar tanımlanırken veri sorumlusuna da bazı yükümlülükler getirilmiştir 10.

1. Kişisel Veri Sahibinin Hakları

Kanun’un 11. maddesi, kişisel verileri işlenen kişilerin haklarını hüküm altına almaktadır. İlgili kişinin bilgi edinme hakkı kapsamında kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse bu işleme ilişkin bilgi talep etme, işlemin amacını, gerekçesini ve hukuka uygun olarak gerçekleşip gerçekleşmediğini öğrenme ve söz konusu olabilecek aktarma işlemi halinde işlemin tarafı olan yurtiçi veya yurtdışındaki üçüncü kişileri öğrenme hakkı da yine ilgili kişinin hakları başlığı altında düzenlenmektedir.

Kanun koyucu ilgili kişiye, işlenen kişisel veriler üzerinde yapılacak elde etme, işleme ve aktarma işlemlerini de denetleme ve müdahale etme hakkı tanımaktadır. Buna göre, ilgili kişi kişisel verilerinin eksik veya yanlış işlenmesi halinde işlemlerin düzeltilmesini isteme, işlemenin otomatik yollarla yapılması halinde kendisi aleyhine doğabilecek menfi sonuçlara itiraz etme ve kişisel verilerin amacına veya kanuna aykırı bir şekilde işlenmesi sebebi ile zararı doğmuş ise bu zararlarının tazminini talep etme hakkına sahiptir.

2. Veri Sorumlusunun Aydınlatma Yükümlülüğü

Kanun koyucu kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hangi hukuki gerekçelere dayanarak işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu veya veri sorumlusu tarafından yetkilendirilen kimselerin veri elde etme, işleme ve aktarma işlemini gerçekleştiren kimselerin kimlik bilgileri, işlenen kişisel verilerin hangi yollarla elde edildiği, hangi amaç ve hukuki gerekçelere dayanılarak işlendiği ve aktarıldığına ek olarak Kanun’da tanınan diğer haklar kapsamında ilgili kişiyi bilgilendirme yükümlülüğü bulunmaktadır 11.

3. Veri Güvenliğine İlişkin Yükümlülükler

Tüm bu açıklamalar doğrultusunda kanun koyucu veri sorumlusuna kişisel verilerin hukuka aykırı olarak işlenmesini önleme, bu verilere hukuka aykırı olarak erişilmesini önleme ve bunların hukuka uygun olarak muhafazasını sağlama yükümlülüklerinin tamamını kapsayan veri güvenliğini sağlama ödevi yüklemektedir.

Veri sorumlusu, Kanun’daki tanımlamaya göre: ‘Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi’yi ifade etmektedir. Öyle ki veri sorumlusu, “Niçin” kişisel veri işliyoruz ve kişisel verileri “Nasıl” işleyeceğiz sorularını cevaplamakla yetkili olan süjedir. Dolayısıyla veri sorumlusu, kişisel veri üzerinde kontrol yetkisine sahiptir 12.

Veri sorumlusu, kişisel verilerin kendisi adına bir gerçek veya tüzel kişi eliyle işlenmesi halinde, bu kişilerle müştereken sorumlu olduğu gibi kanun metninden doğan hükümlerin kendi kurum ve kuruluşunda eksiksiz olarak uygulanması için gerekli denetimleri yapmak ve yaptırmak zorundadır.

4. İş Hukukunda İşçinin Kişisel Verilerinin Korunması

Tarafların eşitliği prensibinin söz konusu olmadığı iş sözleşmelerinde, işçinin sözleşmenin zayıf tarafını temsil ediyor oluşu, geniş anlamda işçi haklarının işveren tarafından zedelenmesi sonucunu doğurmaktadır. Menfaatlerin denkleştirilmesi prensibinin bir gereği olarak işçi üzerinde denetim ve gözetim üstünlüğü bulunan işverene karşı işçinin kişisel verilerinin işlenmesi hususu, ilgili mevzuat hükümlerince sınırlandırılmıştır. Kanun’un yürürlüğe girmesinden önce işçilere ait kişisel veriler, yalnızca Türk Borçlar Kanunu’nun 419. maddesi ile işverene karşı korunmakta iken Kanun’un hükme bağladığı düzenlemeler de dikkate alındığında işveren, işçinin kişisel verilerini ancak aşağıdaki sebepler uyarınca hukuka uygun olarak işleyebilme imkânına sahip olacaktır:

i. İşverenin, işçinin kişisel verilerini kanunen işlemekle yükümlü olması durumunda hukuka uygunluk söz konusudur. Bu kapsamda, işçinin SGK bilgilerinin düzenlenmesi ya da özlük dosyasının oluşturulması çerçevesinde bir takım verilerin işlenmesi örnek gösterilebilir.

ii. İş sözleşmesinden doğan borçların ifa edilmesi durumunda hukuka uygunluk söz konusudur. İş sağlığı ve güvenliğinin sağlanmasına ilişkin giyilecek koruyucu kıyafet nedeniyle işçinin bedenin ölçülerinin öğrenilmesinden hastalık kayıtlarının incelenmesine kadar yapılabilecek işlemeler bu çerçevede örnek olabilecektir.

iii. İşyeri/İşletme menfaatinin söz konusu olduğu “üstün özel yarar” durumunda hukuka uygunluk söz konusudur. Salt ekonomik menfaat, işçinin kişilik haklarına gereğinden fazla müdahale için yeterli değildir. Ölçülülük açısından kurulacak olan denge önemlidir.

iv. İşçinin rızasının bulunması durumunda hukuka uygunluk söz konusudur. Hukuka aykırı işlemlerin, başka bir hukuki sebebe dayanmaksızın sadece işçinin rızasına dayanarak hukuka uygun hale getirilmesinin genel bir uygulama haline getirilmemesi gereklidir. Zira işçinin işverene karşı rahatlıkla karşı çakabileceği düşünülemez; böylelikle işçinin açığa çıkmış bir serbest rızasından bahsedilemeyecektir.

v. İş sözleşmesinin kurulması durumunda hukuka uygunluk söz konusudur. İşçi adayının işe yatkınlığı, uygunluğu ve işin ifası için zorunlu konularda işçinin gerekli bilgileri talep edilebilecektir; aksi konular ise işin niteliğini yansıtmadığı için istenemeyecektir. 

İşçinin sağlık durumu ile ilgili, özel nitelikli veriler,13 işin niteliğini ilgilendiriyorsa işlenebilecektir. Örneğin işçinin alkol alıp almadığı ile ilgili işverenin veri işlemesi hukuka aykırı olabilecek iken şoförlük mesleğini icra eden işçilerin her gün işe başlarken alkol kullanımının tespit edilerek veri halinde işlenmesi işin niteliği gereği hukuka aykırılık teşkil etmeyecektir.

İşyerinde bir takım izleme ve denetleme yöntemlerinin kullanıldığı durumlar da işçilerle ilgili veri işlenmesi kapsamında değerlendirilmektedir. İşçilerin internet kullanımları, telefonlarının dinlenmesi, kamera ile sürekli izlenmeleri vs. iş sağlığı ve güvenliğinin gerektirdiği koşullar hariç olmak üzere işin niteliğinin gerektirdiği amaç dışında kaldığı ve gerekli düzeyi aşması halinde hukuka aykırı olacaktır. 

G. Veri Sorumluları Sicili

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Kurul’un gözetiminde, Başkanlık tarafından kamuya açık olarak tutulan Veri Sorumluları Siciline kaydolmak zorundadır 14. Kurul üyelerinin seçimi ve Başkanlık teşkilatının oluşturulması, Kanun’un yayımı tarihinden itibaren altı ay içinde gerçekleştirilir. Netice itibariyle veri sorumlularının Sicil’e kayıt yükümlülüğü, 7 Ekim 2016 tarihi itibariyle kurulacak olan Kurul’un belirleyeceği ve ilan edeceği süre içerisinde doğacaktır.

Veri Sorumluları Siciline kayıt başvurusunda bulunacak bildirimde: Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgilerine, kişisel verilerin hangi amaçla işleneceğine, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalara, kişisel verilerin aktarılabileceği alıcı veya alıcı gruplarına, yabancı ülkelere aktarımı öngörülen kişisel verilere, kişisel veri güvenliğine ilişkin alınan tedbirlere ve kişisel verilerin işlendikleri amaç için gerekli olan azami süreye ilişkin hususlara yer verilmelidir. Bu bilgilere yönelik meydana gelebilecek değişiklikler derhal Başkanlığa (bkz. 3.8) bildirilmelidir.

H. Suçlar ve Kabahatler

Kanun’un yürürlüğe girmesinden önce hukuka aykırı olarak kaydedilen, ele geçirilen ve yok edilen kişisel verilere dair Türk Ceza Kanunu15 uygulanmakta iken, kişisel verilere ilişkin suçlar bakımından yeni bir hüküm düzenlenmemektedir. Oysa hukuka aykırı veri işlenmesinin yaptırımı olarak hürriyet bağlayıcı yaptırıma ek olarak ilk defa idari para cezaları öngörülmektedir 16.

Kanun ile getirilen çeşitli yükümlülüklere aykırı hareket eden veri sorumlusu gerçek kişi ile özel hukuk tüzel kişilerinin, her bir aykırılık için farklı miktarlarda cezaya tabi tutulabilecekleri 18. Madde ile hüküm altına alınmıştır. Bu kapsamda;

i. Aydınlatma yükümlülüğünün yerine getirilmemesi halinde 5.000 TL’den 100.000 TL’ye kadar,

ii. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 15.000 TL’den 1.000.000 TL’ye kadar,

iii. Kurul tarafından verilen kararların yerine getirilmemesi halinde 25.000 TL’den 1.000.000 TL’ye kadar,

iv. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi halinde 20.000 TL’den 1.000.000 TL’ye kadar,

idari para cezası verilecektir.

I. Kanun’un Kapsamı Dışında Tutulan Hususlar

Kişisel verilerin aynı konutta yaşayan aile fertleri arasında işlenmesi, resmi istatistik ile anonim hale getirilmesi suretiyle araştırma ve istatistik gibi amaçlarla işlenmesi bu kanun kapsamında değildir. Aynı zamanda kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi ile soruşturma, kovuşturma, yargılama işlemlerine ilişkin olarak yargı makamları tarafından yapılan veri işlemelerinde bu kanun hükümleri usul ve esas açısından uygulama alanı bulmaz. 

J. Kanun Kapsamında Oluşturulan İdari Yapı

Bu kanunla verilen görevleri yerine getirmek üzere idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur. Bu kurum, karar organı olan Kurul ve Başkanlık’tan oluşmakta olup doğrudan Başbakanlık’la ilişkilidir ve merkezi Ankara’dadır. Kurum’un karar organı olarak görev yapan Kurul, bu kanunla ve diğer mevzuatla verilen görevleri kendi sorumluluğu altında, bağımsız olarak yerine getirir. Yetkilerini de yine aynı şekilde kendi sorumluluğunda bağımsız olarak kullanmaktadır. Görev alanına giren konularda hiçbir organ, makam, merci veya kişi, Kurul’a emir ve talimat veremez, tavsiye veya telkinde bulunamaz 17.

Kurul dokuz üyeden oluşur. Bu üyelerin beşi Türkiye Büyük Millet Meclisi, ikisi Bakanlar Kurulu ve diğer ikisi de Cumhurbaşkanı tarafından seçilir. Kurul’a üye olabilmek için gerekli şartlar kanunla belirlenmiştir. Kurul Başkanı ve İkinci Başkanı, üyeler arasından Bakanlar Kurulu tarafından seçilir. Kurul’un Başkanı, Kurum’un da başkanıdır. Kurul üyelerinin görev süresi dört yıldır ve tekrar seçilme hakları vardır. Kanun’un verdiği bu süre dolmadan herhangi bir sebep ile Kurul üyelerinin görevine son verilememektedir. Bu kuralın istisna halleri 21. maddenin 11. fıkrasında belirtilmiştir. Kurum başkanı, Kurul ve Kurum’un başkanı sıfatıyla Kurum’un en üst amiri konumundadır. Kurum hizmetlerini mevzuata, Kurum’un amaç ve politikalarına, stratejik planına, performans ölçütlerine ve hizmet kalite standartlarına uygun olarak düzenler, yürütür ve hizmet birimleri arasında koordinasyonu sağlar. Başkanlık; Başkan Yardımcısı (Başkan tarafından atanır) ve hizmet birimlerinden müteşekkil olup daire başkanlıkları şeklinde teşkilatlanan bir yapıya sahiptir. Daire başkanlarının sayısı yediyi geçemez.

Kurumda bu kişiler dışında ayrıca Kişisel Verileri Koruma Uzmanı ve Uzman Yardımcıları istihdam edilebilecektir.

K. Kanun’un Yürürlük ve Geçiş Sürecine İlişkin Esaslar

Kişisel verilerin üçüncü kişilere veya yurtdışına aktarılması, kişisel veri sahibinin hakları, suçlar ve idari para cezalarına ilişkin hükümler, Kanun’un yayımı tarihinden itibaren 6 ay sonra yürürlüğe girecektir. Bu hükümlerin dışında kalan diğer hükümler ise Kanun’un yayım tarihi itibariyle yürürlüğe girecektir 18.

Kanun’un getirdiği usul ve esaslara aykırı olarak işlenen kişisel verilerin hukuka uygun hale getirilmesi için Kanun’un Resmi Gazete’de yayımlanmasından itibaren 2 yıllık geçiş süresi tanınmıştır. Kanun’un yayım tarihinden önce hukuka uygun olarak alınan rızalar ise 1 yıl içinde aksine bir beyanda bulunulmadığı takdirde Kanun’a uygun kabul edilecektir 19.

IV. SONUÇ

Geçtiğimiz günlere kadar, Avrupa’da güvenlik birimleri arasında operasyonel işbirliğini tanzim eden EUROPOL ile ülkemiz güvenlik birimleri arasında operasyonel işbirliği anlaşmasının yapılamaması ve elektronik bilgi değişiminin gerçekleştirilememesindeki temel neden, kişisel verilerin korunmasına ilişkin bir düzenlemenin henüz ülkemizde yürürlükte olmamasıdır. Benzer şekilde, sınır aşan suçlara ilişkin farklı ülkelerin yargı mercilerinin ortak hareket edebilmesi amacıyla oluşturulan EUROJUST ile çok sayıda sınır aşan suçun güzergâhında bulunan ülkemiz ve diğer ülkeler arasında bu suçlarla mücadeleye yönelik işbirliği yapılamaması ilgili düzenlemenin yürürlükte olmamasından kaynaklanıyordu. Kişisel verilerin korunmasının ekonomi ile olan ciddi ilişkisi de ülkemiz için önem arz etmektedir. Zira Türkiye’de yatırım yapması beklenen yabancı sermayenin başka ülkelerdeki yatırımları ile ülkemizdeki yatırımlarını etkin bir şekilde idare edebilmesi için ihtiyaç duyduğu veri aktarımı, ülkemizde gerekli kanuni düzenleme olmaması sebebiyle gerçekleştirilememekte ve bu durum yabancı sermayenin ülkemizde yatırım yapması açısından caydırıcı bir etken olarak değerlendirilirken, aynı nedenlere dayalı olarak işadamlarımızın yabancı ülkelerdeki yatırımları ve ortaklıklarına ilişkin veri aktarımında da sorunlar yaşanması gündeme gelebilmekteydi 20.

Tüm bu açıklamalara ek olarak şu ifade edilebilecektir ki, Türkiye’nin Avrupa Birliği tam üyelik sürecinde müzakere fasıllarından dördü, doğrudan kişisel verilerle ilgilidir. İlerleme raporlarında da Türkiye’de veri koruma alanındaki kanuni boşluğa işaret edilmekte olduğundan, Kanun’un yürürlüğe girmesi ile bu fasıllarla ilgili süreçte ciddi yol alınabilmesi fırsatı değerlendirilmiştir 21.

Dolayısıyla Kanun’un yürürlüğe girmesiyle ülkemizin küresel ölçekte diğer ülkelerle yürüttüğü bilgi ve istihbarat paylaşımının sosyal, ekonomik, güvenlik ve adalet gibi çeşitli alanlara ilişkin ciddi anlamda katkısı olması beklenmektedir.

KAYNAKÇA

Aydın Akgül, Danıştay ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin Korunması Hakkı, İstanbul 2014.

Aydın Akgül,‘’Kişisel Verilerin Korunmasında Yeni Bir Hak: ‘‘Unutulma Hakkı’’ ve AB Adalet Divanı’nın ‘‘Google Kararı’’’ Türkiye Barolar Birliği Dergisi, Ocak-Şubat 2015, Sayı 1116 http://tbbdergisi.barobirlik.org.tr/m2015-116-1440 (Erişim: 31.05.2016).

Füsun Nebil, “Kişisel Verilerin Korunması Kanununun Tarihçesi ve Analizi - II” http:// turk-internet.com/portal/yazigoster.php?yaziid=52052 (Erişim: 27.05.2016).

Leyla Keser, “Avrupa Birliği Hukuku ve Güncel Gelişmeler” 10.04.2016 tarihli Bilişim Hukuku Zirvesi’nde yapılan konuşma.

DİPNOT

1 Aydın Akgül, Danıştay ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin Korunması Hakkı, İstanbul 2014, s.189. 

2 Akgün, s. 222.

3 Füsun Nebil, “Kişisel Verilerin Korunması Kanununun Tarihçesi ve Analizi - II” http://turkinternet.com/portal/yazigoster.php?yaziid=52052 (Erişim: 27.05.20

4 Anayasa Mahkemesi Kararları T. 09.04.2014, E.2013/122, K.2014/74; T. 02.10.2014, E.2014/149, K.2014/151; T. 04.12.2014, E.2013/84, K.2014/183; T. 25.12.2014, E.2014/74, K.2014/201; T. 19.03.2015, E.2014/180, K.2015/30.

5 Kişisel Verilerin Korunması Kanunu (KVKK) m. 6.

6 KVKK m. 7.

7 KVKK m. 4.

8 Aydın Akgül,‘’Kişisel Verilerin Korunmasında Yeni Bir Hak: ‘‘Unutulma Hakkı’’ ve AB Adalet Divanı’nın ‘‘Google Kararı’’’ Türkiye Barolar Birliği Dergisi, Ocak-Şubat 2015, Sayı1116, s.14. http://tbbdergisi. barobirlik.org.tr/m2015-116-1440 (Erişim: 31.05.2016).

9 KVKK m. 9.

10 KVKK m. 10-12.

11 A KVKK m. 10.

12 Leyla Keser, “Avrupa Birliği Hukuku ve Güncel Gelişmeler” 10.04.2016 tarihinde İstanbul’da gerçekleştirilen Bilişim Hukuku Zirvesi’nde yapılan konuşmadan alıntılanmıştır.

13 KVKK m 6.

14 KVKK m. 16.

15 26.09.2004 tarihli Türk Ceza Kanunu, m. 135-140.

16 KVKK m. 18.

17 KVKK m. 28.

18 KVKK m. 32.

19 KVKK Geçici m. 1.

20 18.01.2016 Tarihli Kişisel Verilerin Korunması Kanun Tasarısı, Genel Gerekçe.

21 26.12.2014 Tarihli Kişisel Verilerin Korunması Kanun Tasarısı, Genel Gerekçe.

  • Özet yapım aşamasında
Keywords
Veri, Veri Koruma, Kişisel Verilerin Korunması Kanunu
Capabilities
Personal Data Protection

Contents

0%
More Insights

Articletter / GSI Brief

GSI Brief & Legal Brief

GSI Brief 204

Gsi Brief 204

Brief
Read more
GSI Brief 205

Gsi Brief 205

Brief
Read more
GSI Brief 206

Gsi Brief 206

Brief
Read more
GSI Brief 189

Gsi Brief 189

Brief
Read more

Articletter - Summer Issue

Altyapı Gayrimenkul Yatırım Ortaklıkları

Altyapı Gayrimenkul Yatırım Ortaklıkları

2016
Read more
Sermaye Şirketlerinde Birleşmeler, Devralmalar ve Kolaylaştırılmış Birleşme

Sermaye Şirketlerinde Birleşmeler, Devralmalar Ve Kolaylaştırılmış Birleşme

2016
Read more
Şirket Bölünmeleri Sonucu Bölünen Şirkete Ait İhale Yeterlilik Kriterlerinin Kullanılması

Şirket Bölünmeleri Sonucu Bölünen Şirkete Ait İhale Yeterlilik Kriterlerinin Kullanılması

2016
Read more
Türk Borçlar Kanunu Uyarınca Alacak Devrinde Alacağını Devredenin Garanti Sorumluluğu

Türk Borçlar Kanunu Uyarınca Alacak Devrinde Alacağını Devredenin Garanti Sorumluluğu

2016
Read more
6698 Sayılı Kişisel Verilerin Korunması Kanunu’na İlişkin Değerlendirme