Kişisel Verilerin Korunması Kanunu’na Genel Bakış

Bu yazı ÇukurYılmaz Hukuk Bürosu tarafından Stj. Av. Safa Soydan, Stj. Av. Caner Sevim. Av. Serter Öztürk ve Kulüp Kurucu Üyelerinden Stj. Av. Can Musa Varol‘un katkılarıyla hazırlanmıştır.

Son dönemde AB uyum sürecinin yeniden hız kazanması ile Kişisel Verilerin Korunması Kanunu,  7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayınlanarak; 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra, diğer maddeleri ise yayımı tarihinde olmak üzere yürürlüğe girdi.

“Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme”nin 1981 yılında imzalanması ile sonraki süreçte bu kapsamda hazırlanan ve uzun süredir tasarı olarak bekleyen bu önemli kanunun ne kadar değişikliğe uğrayacağı ve onaylanacak son hali merak konusuydu.

Bu yazıda Kanunun getirdiği yenilikler ve istisnaları ile değişiklik yapılacak sair kanun maddeleri, Kişisel Verileri Koruma Kurumu hakkında yapılan düzenlemeler hariç olmak üzere, mümkün olduğunca açıklanmaktadır. Kanun metnine buradan ulaşabilirsiniz.

KİŞİSEL VERİ VE İŞLENMESİ KAVRAMLARI

Kişisel veri, Kanun metninde ‘Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü veri’ olarak tanımlanmıştır. Bu kapsamda kişinin adı, soyadı, doğum yeri ve tarihi gibi bilgilerin yanı sıra fiziksel, sosyal, kültürel, ekonomik, psikolojik bilgileri de kişisel veri kapsamına girmektedir. Bu genel başlıklara ev adresi, taşıt plakası, vergi numarası, kan grubu gibi birçok kişisel verinin de dahil edilmesi mümkündür.

Kişisel verilerin işlenmesi ise oldukça geniş yorumlanarak, Kanun metninde ‘Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem’ olarak tanımlanmaktadır.

KANUNUN AMACI VE KAPSAMI

Kanun metninde amaç, kişisel verilerin işlenmesi sürecinde özel hayatın gizliliğinin, kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri, uymaları gereken usul ve esasların düzenlenmesi olarak belirlenmiştir.
Kanun, ‘kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olarak ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler’i kapsamına almaktadır.

KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler, Kanunun 5. Maddesine göre ilgili kişinin açık rızası olmaksızın işlenemez. Ve fakat maddenin ikinci fıkrasında ilgili kişinin açık rızası aranmaksızın kişisel verinin işlenebilmesine imkan verebilecek 7 şart sayılmıştır. Bu şartlardan en az birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkün olacaktır.

ÖZEL NİTELİKLİ KİŞİSEL VERİ VE İŞLENME ŞARTLARI

Kanunun 6. maddesine göre, ‘kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri’ özel nitelikli kişisel verilerdir. Biyometrik, kullanıcının fiziksel veya davranışsal özelliklerini tanıyarak kimlik saptamak üzere geliştirilmiş bilgisayar kontrollü, otomatik sistemler için kullanılan genel bir terim şeklinde tanımlanmaktadır. Dolayısıyla biyometrik veri, kişinin fiziksel özelliklerinden olan sağlık bilgilerinin tamamını kapsamaktadır. Tasarıdan farklı olarak genetik verilerin de kişisel veri olarak sayılacağı 6. maddenin 1. fıkrasında belirtilmiştir. Maddenin ikinci fıkrasına göre, özel nitelikli kişisel veriler, ilgilinin açık rızası olmaksızın hiçbir şekilde işlenemez. Özel nitelikli kişisel verilerin işlenmesinde yeterli önlemler Kurul tarafından belirlenecektir. Kural olarak özel nitelikli kişisel verilerin ilgili kişinin açık rızası bulunmaksızın işlenemeyeceği düzenlenmiştir. Ve fakat maddenin üçüncü fıkrasında belirtilen kişisel verilerin, Kanunda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilmesi mümkün hale getirilmiştir.

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ

Kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması halinde resen veya ilgili kişinin talebi halinde silineceği, yok edileceği veya anonim hale getirileceği Kanunda düzenlenmiştir. Kişisel verileri silmeyen veya anonim hale getirmeyenlerin Türk Ceza Kanunu’nun 138. Maddesine göre cezalandırılması öngörülmüştür.

KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE VEYA YURTDIŞINA AKTARILMASI

Kanuna göre, kişisel verilerin kural olarak ilgili kişinin açık rızası olmaksızın üçüncü kişilere ya da yurtdışına aktarılamayacağı öngörülmüştür.
Ancak kişisel veriler, Kanunun 5. Maddesinin ikinci fıkrasında ve 6. Maddenin 3. Fıkrasında yer verilen şartlardan birinin bulunması halinde ilgilinin açık rızası aranmaksızın aktarılabilecektir.
Kişisel verilerin yurtdışına aktarılabilmesi için üçüncü kişilere aktarılması şartlarına ek olarak kişisel verinin aktarılacağı ülkede yeterli korumanın bulunması gerekmektedir. Ve fakat Kanun, kişisel verilerin korunması hakkında yabancı ülkede yeterli korumanın bulunmaması halinde, Türkiye’deki ve yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması halinde de kişisel verinin yurtdışına aktarılabileceğini düzenlemiştir. Bunun yanında, kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilecektir. Burada kişisel verilerin yurtdışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı tutulmuştur.

VERİ SORUMLUSU

Kanun, kişisel verilerin korunmasında önemli yükümlülükleri bulunan Veri Sorumlusu kurumunu düzenlemiştir. Buna göre Veri Sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamakla yükümlüdür. Veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişilere kim olduğu, kişisel verinin işlenme amacını, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, yöntemi ve hukuki sebebi ile Kanunun 11. Maddesinde sayılan ilgilinin diğer hakları konusunda bilgi vermekle yükümlü kılınmıştır. İlgili kişi 11. Maddede gösterilen kişisel veriler hakkında bilgi alma, kişisel verilerin aktarıldığı kişiler, silinmesi veya yok edilmesini isteme, zarar görülmesi halinde tazminat talep etme gibi haklara sahiptir. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde müştereken sorumlu olacaktır.

VERİ SORUMLUSU’NA BAŞVURU VE KURUL’A ŞİKAYET

Kanunla gelen yeni kavramlar “veri sorumlusu” ve “kurul” (komisyon) olacak. Veri sorumlusu daha çok lokal, kurumlara özgü, şirketlerin dahi seçebileceği yetkili bir kişi iken; Kurul, Başbakanlık’a bağlı Kişisel Verileri Koruma Kurumu’nun karar organı olarak faaliyet gösterecek olan, 5 üyesi TBMM, 2 üyesi Bakanlar Kurulu ve 2 üyesi Cumhurbaşkanı tarafından atanacak 9 üyeli oldukça resmi bir merci olacak. Bunun yanında Kurul üyeleri, özel bir kanuna dayanmadıkça, Kuruldaki resmi görevlerinin yürütülmesi dışında resmi veya özel hiçbir görev alamayacak; dernek, vakıf, kooperatif ve benzeri yerlerde yöneticilik yapamayacak; ticaretle uğraşamayacak ve serbest meslek faaliyetinde bulunamayacak. Kişisel verilerinin ihlal edildiğini düşünen ilgili, veri sorumlusuna başvurarak bu duruma son verilmesini isteyebilecek ve veri sorumlusu bu başvuruyu 30 gün içinde ücretsiz olarak sonuçlandıracaktır. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya cevap verilmemesi hallerinde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30, her halde başvurudan itibaren 60 gün içinde Kurul’a şikâyette bulunabilecektir.

İSTİSNALAR

Kişisel Verilerin Korunması Kanununun 28. Maddesinin ilk fıkrasında kanunun uygulanmayacağı haller düzenlenmiştir. Buna göre;
1- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
2- Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
3- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
4- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
5- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesihallerinde bu kanun hükümleri uygulanmayacaktır.

Kanunun 28. Maddesinin ikinci fıkrasında ise kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin;
1- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
2- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
3- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma ve kovuşturması için gerekli olması,
4- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,

hallerinde uygulanmayacağı düzenlenmektedir. Ayrıca Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar dahilinde işlenen kişisel veriler, bir yıl içinde aksi bir irade beyanında bulunulmaması halinde, bu Kanuna uygun kabul edilecektir.

YAPILAN KANUN DEĞİŞİKLİKLERİ

Kanun ile, 5237 sayılı Türk Ceza Kanunu’nun Kişisel Verilerin Kaydedilmesi suçunu düzenleyen 135. Maddesindeki suçun nitelikli halini gösteren ikinci fıkrasının, “Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır” şeklinde değiştirilmesine ilişkin düzenleme yapılmıştır. Aynı Kanunun “Müstehcenlik” başlıklı 226. maddesinin üçüncü fıkrasının ilk cümlesi, “Müstehcen görüntü, yazı veya sözleri içeren ürünlerin üretiminde çocukları, temsili çocuk görüntülerini veya çocuk gibi görünen kişileri kullanan kişi, beş yıldan on yıla kadar hapis ve beşbin güne kadar adlî para cezası ile cezalandırılır.” şeklinde değiştirilmiştir. Yine TCK’nın ” Bilişim sistemine girme” başlıklı 243. maddesine 4. fıkra olarak, “Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.” hükmü düzenlenmiştir. Son olarak 5247 sayılı Kanunun “Bilişim Alanında Suçlar” bölümüne 245/A maddesi aşağıdaki şekilde eklenmiştir:

MADDE 245/A – (1) Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır.

3359 sayılı Sağlık Hizmetleri Temel Kanunu’nun 3. Maddesinin birinci fıkrasının (f)bendi, “Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir.” şeklinde değiştirilmesine ilişkin düzenleme yapılmıştır.
Ayrıca 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47nci maddesinde yapılan değişiklikle, sağlık kuruluşlarının hastaların “sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin verilen” kişisel verilerini işleyebilmesi mümkün hale getirilmiştir.

SONUÇ

Türkiye’de kişisel verilerin korunması ve buna ilişkin hukuki alt yapının tesis edilmesi konusu, Avrupa Birliği Müktesebatına uyum sürecinin gerekliliklerden biri olmasının ötesinde, bireysel ve ticari yaşamın önemli bir koşulu olarak da ihtiyaç duyulan ve düzenlenmesi geniş perspektifte özellikle temel hak ve özgürlükler bakımından büyük önem arz eden bir alandır.

Kanun, AB düzenlemeleri temel alınarak hazırlanmış olmasına rağmen, Avrupa Birliği orijinal metninden farklı olarak içerdiği “cinsel hayat, kılık-kıyafet” gibi bazı ek hüküm ve tanımlamalar nedeniyle eleştirilere hedef olmaktadır. Dolayısıyla, uzun süredir heyecanla beklenen ve tasarı haline küçük ilavelerle onaylanan bu metnin, kişisel verilerin devlet kurumları tarafından ihlal edilmesi ihtimalinde bu ihlallere engel olamayacağı ve bu gibi ihlallerle mücadele etmenin oldukça zorlaşacak olması bir risk olarak görülmektedir.

Bu aşamada söz konusu kanunla amaçlanan korumanın sağlanıp sağlanamayacağını ise fiiliyatta Kurum’un tavrı ve uygulamaları belirleyecektir.