KİŞİSEL VERİLERİN KORUNMASI KANUN TASARISI BİLGİ NOTU

Bu yazı Stj. Av. Caner Sevim, Av. Serter Öztürk ve Kulüp Kurucu Üyelerinden Stj. Av. Can Musa Varol tarafından Çukur&Yılmaz Hukuk Bürosu için hazırlanmıştır.

Son dönemde AB uyum sürecinin yeniden hız kazanması ile Kişisel Verilerin Korunması Kanun Tasarısı Adalet Komisyonu’ndan geçti ve nihayet yasalaşma yoluna girdi. “Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme”nin 1981 yılında imzalanması ile sonraki süreçte bu kapsamda hazırlanan ve uzun süredir tasarı olarak bekleyen bu önemli kanunun ne kadar değişikliğe uğrayacağı ve onaylanacak son hali merak konusu. Bu yazıda  tasarının getirdiği yenilikler ve istisnaları ile değişiklik yapılacak sair kanun maddeleri, Kişisel Verileri Koruma Kurumu hakkında yapılan düzenlemeler hariç olmak üzere, mümkün olduğunca açıklanmaktadır. Kanun tasarısına buradan ulaşabilirsiniz.

KİŞİSEL VERİ VE İŞLENMESİ KAVRAMLARI

Kişisel veri, kanun tasarısında ‘Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü veri’ olarak tanımlanmıştır. Bu kapsamda kişinin adı, soyadı, doğum yeri ve tarihi gibi bilgilerin yanı sıra fiziksel, sosyal, kültürel, ekonomik, psikolojik bilgileri de kişisel veri kapsamına girmektedir. Bu genel başlıklara ev adresi, taşıt plakası, vergi numarası, kan grubu gibi birçok kişisel verinin de dahil edilmesi mümkündür.
Kişisel verilerin işlenmesi ise oldukça geniş yorumlanarak, kanun tasarısında ‘Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem’ olarak tanımlanmaktadır.

KANUNUN AMACI VE KAPSAMI

Kanun tasarısında amaç, kişisel verilerin işlenmesi sürecinde özel hayatın gizliliğinin, kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri, uymaları gereken usul ve esasların düzenlenmesi olarak belirlenmiştir.
Kanun tasarısı, ‘kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olarak ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler’i kapsamına almaktadır.

KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler, Kanun tasarısının 5. Maddesine göre ilgili kişinin açık rızası olmaksızın işlenemez. Ve fakat maddenin ikinci fıkrasında ilgili kişinin açık rızası aranmaksızın kişisel verinin işlenebilmesine imkan verebilecek 7 şart sayılmıştır. Bu şartlardan en az birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkün olacaktır.

ÖZEL NİTELİKLİ KİŞİSEL VERİ VE İŞLENME ŞARTLARI

Kanun tasarısının 6. maddesine göre, ‘kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri’ özel nitelikli kişisel verilerdir. Biyometrik, kullanıcının fiziksel veya davranışsal özelliklerini tanıyarak kimlik saptamak üzere geliştirilmiş bilgisayar kontrollü, otomatik sistemler için kullanılan genel bir terim şeklinde tanımlanmaktadır.[1] Dolayısıyla biyometrik veri, kişinin fiziksel özelliklerinden olan sağlık bilgilerinin tamamını kapsamaktadır. Maddenin ikinci fıkrasına göre, Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenen yeterli önlemler alınmaksızın hiçbir şekilde işlenemez. Yeterli önlemler Kurul tarafından belirlenecektir. Kural olarak özel nitelikli kişisel verilerin ilgili kişinin açık rızası bulunmaksızın işlenemeyeceği düzenlenmiştir. Ve fakat maddenin dördüncü fıkrasında gösterilen 5 şarttan en az birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın özel nitelikli kişisel verilerin işlenebilmesi mümkün hale getirilmiştir.

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ

Kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması halinde resen veya ilgili kişinin talebi halinde silineceği, yok edileceği veya anonim hale getirileceği tasarıda düzenlenmiştir. Kişisel verileri silmeyen veya anonim hale getirmeyenlerin Türk Ceza Kanunu’nun 138. Maddesine göre cezalandırılması öngörülmüştür.

KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE VEYA YURTDIŞINA AKTARILMASI

Tasarıya göre, kişisel verilerin kural olarak ilgili kişinin açık rızası olmaksızın üçüncü kişilere ya da yurtdışına aktarılamayacağı öngörülmüştür.
Kişisel veriler, tasarının 5. Maddesinin ikinci fıkrasında ve 6. Maddenin 4. Fıkrasında yer verilen şartlardan birinin bulunması halinde ilgilinin açık rızası aranmaksızın üçüncü kişilere aktarılabilecektir.
Kişisel verilerin yurtdışına aktarılabilmesi için üçüncü kişilere aktarılması şartlarına ek olarak kişisel verinin aktarılacağı ülkede yeterli korumanın bulunması gerekmektedir. Ve fakat tasarı, kişisel verilerin korunması hakkında yabancı ülkede yeterli korumanın bulunmaması halinde, Türkiye’deki ve yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması halinde de kişisel verinin yurtdışına aktarılabileceğini düzenlemiştir.

VERİ SORUMLUSU

Tasarı, kişisel verilerin korunmasında önemli yükümlülükleri bulunan Veri Sorumlusu kurumunu düzenlemiştir. Tasarıya göre Veri Sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamakla yükümlüdür. Veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişilere kim olduğu, kişisel verinin işlenme amacını, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, yöntemi ve hukuki sebebi ile kanun tasarısının 11. Maddesinde sayılan ilgilinin diğer hakları konusunda bilgi vermekle yükümlü kılınmıştır. İlgili kişi11. Maddede gösterilen kişisel veriler hakkında bilgi alma, kişisel verilerin aktarıldığı kişiler, silinmesi veya yok edilmesini isteme, zarar görülmesi halinde tazminat talep etme gibi haklara sahiptir. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde müştereken sorumlu olacaktır.

VERİ SORUMLUSU’NA BAŞVURU VE KURUL’A ŞİKAYET

Kanunla gelen yeni kavramlar “veri sorumlusu” ve “kurul” (komisyon) olacak. Veri sorumlusu daha çok lokal, kurumlara özgü, şirketlerin dahi seçebileceği yetkili bir kişi iken, Kurul, Başbakanlık’a bağlı Kişisel Verileri Koruma Kurumu’nun karar organı olarak faaliyet gösterecek olan, 4 üyesi Bakanlar Kurulu ve 3 üyesi Cumhurbaşkanı tarafından atanacak 7 üyeli oldukça resmi bir merci olacak. Kişisel verilerinin ihlal edildiğini düşünen ilgili, veri sorumlusuna başvurarak bu duruma son verilmesini isteyebilecek ve veri sorumlusu bu başvuruyu 30 gün içinde sonuçlandıracaktır. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya cevap verilmemesi hallerinde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30, her halde başvurudan itibaren 60 gün içinde Kurul’a şikâyette bulunabilecektir.

İSTİSNALAR

Kişisel Verilerin Korunması Kanun Tasarısı’nın 28. Maddesinin ilk fıkrasında kanunun uygulanmayacağı haller düzenlenmiştir. Buna göre;

  1. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
  2. Kişisel verilerin anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  3. Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  4. Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
  5. Kişisel verilerin soruşturma, kovuşturma, yargılama ve infaz mercileri ile disiplin soruşturma ve kovuşturma makamları tarafından ilgili kanun hükümleri uyarınca işlenmesihallerinde bu kanun hükümleri uygulanmayacaktır.

Tasarının 28. Maddesinin ikinci fıkrasında ise kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Sicile kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin;

  1. Kişisel veri işlemenin suç işlenmesinin önlenmesi için gerekli olması,
  2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi için gerekli olması

hallerinde uygulanmayacağı düzenlenmektedir.

YAPILAN KANUN DEĞİŞİKLİKLERİ

Kanun tasarısıyla, 5237 sayılı Türk Ceza Kanunu’nun Kişisel Verilerin Kaydedilmesi suçunu düzenleyen 135. Maddesindeki suçun nitelikli halini gösteren ikinci fıkrasının, “Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır” şeklinde değiştirilmesine ilişkin düzenleme yapılmıştır.
3359 sayılı Sağlık Hizmetleri Temel Kanunu’nun 3. Maddesinin birinci fıkrasının (f)bendi, “Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir.” şeklinde değiştirilmesine ilişkin düzenleme yapılmıştır.
Ayrıca 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 nci maddesinde yapılan değişiklikle sağlık kuruluşlarının hastaların kişisel verilerini işleyebilmesi mümkün hale getirilecektir.

SONUÇ

Türkiye’de kişisel verilerin korunması ve buna ilişkin hukuki alt yapının tesis edilmesi konusu, Avrupa Birliği Müktesebatına uyum sürecinin gerekliliklerden biri olmasının ötesinde, bireysel ve ticari yaşamın önemli bir koşulu olarak da ihtiyaç duyulan ve düzenlenmesi geniş perspektifte özellikle temel hak ve özgürlükler bakımından büyük önem arz eden bir alandır. Bu aşamada söz konusu kanunla amaçlanan korumanın sağlanıp sağlanamayacağını ise fiiliyatta Kurum’un tavrı ve uygulamaları belirleyecektir.

[1] http://www.ergosis.com.tr/(E.T.05.10.2014)