Sirküler

6698 SAYILI 24.03.2016 KABUL TARİHLİ KİŞİSEL VERİLERİN KORUNMASI KANUNU

14.04.2016

Kişisel Veri

Kimliği belirli veya belirlenebilir, gerçek kişilere ait her türlü bilgidir. Tüzel kişilere ilişkin bilgiler ile hak ehliyeti sona ermiş (ölüm halinde) gerçek kişilere ilişkin bilgilerde işbu kanun uygulama alanı bulmayacaktır. 

İlgili Kişi ( Hak Süjesi)

Kişisel verisi işlenen gerçek kişidir. Tacir sıfatını haiz gerçek kişilerin de bu kapsamda değerlendirileceği şüphesiz olmakla birlikte, sorumluluk ve koruma hukuku açısından kümülatif bir korumanın gündeme gelebileceği hususu tartışmalıdır.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bir diğer deyişle, veri işleyen, hangi amaçla ve hangi yöntemle, ne kapsamda verinin işleneceğine karar veren veri sorumlusunun adına hareket eden kişidir. Somut durumda, veri sorumlusu ve veri işleyen sıfatının tek kişide toplanabilmesi mümkün olduğu gibi, veri işleyenin de facto olarak verinin işlenme amacına ve/veya yöntemine karar vererek o yönde hareket etmesi halinde, veri sorumlusu sıfatını haiz olması ve bu sıfatla sorumlu olması söz konusu olabilir.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da

kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Kanun koyucu “işleme” fiiline yer vererek, bu kapsamı geniş tutmuştur.  Bu çerçevede, sadece kişisel verilerin kaydedilmesi değil; depolanması, değiştirilmesi, kullanılmasının engellenmesi, devralınması, aktarılması fiilleri de işleme olarak kabul edilecek ve bu kanun kapsamında değerlendirilecektir.

Kişisel Verilerin İşlenmesinde Temel İlkeler

Kişisel verilerin işlenmesi eyleminin;

  • Hukuka ve dürüstlük kurallarına uygun olması
  • Doğru ve gerektiğinde güncel olması
  • Belirli, açık ve meşru amaçlar için işlenmesi.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir.

Söz konusu verilerin saklanma süresi ile ilgili olarak, farklı hususlardaki gereklilikler dikkate alınarak, 6102 sayılı Türk Ticaret Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 213 sayılı Vergi Usul Kanunu sayılabilir.

İşleme Şartları

Kural olarak kişisel veriler hak süjesinin bilgilendirilmiş açık rızasının bulunması halinde işlenebilir. Hak süjesinin bilgilendirilmiş rızanın alınması da, veri sorumlusunun aydınlatma yükümlülüğü çerçevesinde, verinin hangi amaçla, hangi yöntemle ve hangi kapsamda işleneceğini hak süjesine (veri sahibine) açıklamasıyla mümkündür. Kural, hak süjesinin bilgilendirilmiş açık rızasının alınması olmakla birlikte, Kanunda sayılan şu hallerde hak süjesinin açık rızası bulunmasa dahi kişisel verilerin işlenmesi hukuka uygun kabul edilecektir;

  • Kanunlarda açıkça öngörülmüş olması
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.

 Hassas Veri ( Özel Nitelikli Kişisel Veri)

 Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel veridir.

Hassas verilerin işlenmesi, ancak hak süjesinin söz konusu işlemeye açık rızasının bulunması halinde mümkündür.

Ancak,

  • Kanunlarda açıkça öngörülmesi halinde siyasi parti, vakıf, dernek veya sendika gibi kâr amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verileri işlemesi
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması
  • Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi,

hallerinde kişinin açık rızası olmaksızın işlenmesi mümkündür.

Kişisel Verilerin Transferi

Kişisel veriler kural olarak hak süjesinin bilgilendirilmiş açık rızasının alınması ile aktarılabilir. Ancak;

  • Kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin var olması şartıyla, kişisel verinin transferi mümkün olabilecektir.

Kişisel verilerin yurt dışına aktarılması halinde, yukarıda sayılan şartların yanında dikkate alınması gereken diğer kriterler şu şekildedir;

  • Verinin transfer edileceği ülkede yeterli korumanın bulunması,
  • Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılabilirbulunmasıdır.

Veri Sorumlusunun Yükümlülükleri

İşbu kanun çerçevesinde veri sorumlusunun aydınlatma yükümlülüğü ve veri güvenliğini sağlama olmak üzere iki temel yükümlülüğü bulunmaktadır.

(a) Aydınlatma Yükümlülüğünün Kapsamı

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve hak süjesinin diğer hakları, konusunda bilgi vermekle yükümlüdür.

(b) Veri Güvenliğini Sağlama Yükümlülüğünün Kapsamı

Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır

Veri Süjesinin Hakları

Veri süjesi, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verisinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir.

Sorumluluk

(a) Hukuki Sorumluluk

Kişisel verilerin işlenmesinde veri sorumlusu ile veri işleyen bu faaliyetleri çerçevesinde ortaya çıkacak zararlardan müteselsilen sorumludurlar. Bu durumda 6098 sayılı Türk Borçlar Kanunu’nun kusura dayalı haksız fiil sorumluluğu hükümleri uygulama alanı bulacak olup, veri sorumlusu Türk Borçlar Kanunu’nun “Adam çalıştıranın sorumluluğu” na ilişkin 66. Maddesi çerçevesinde kusuru bulunmasa da (kurtuluş beyyinesi hali bundan müstesna olmak üzere) sorumlu olabilecektir.

Bunun yanında Türk Medeni Kanunu’nun 25. maddesinden hareketle bu kişilere karşı önleme davası ve saldırıya son verme davası açılabilmesi de mümkündür. Açılabilmesi mümkün olan bir diğer dava da vekaletsiz iş görme hükümlerince mümkün olabilir.

Gerçek kişi tacirlere ilişkin olarak, somut durumun özelliğine ilişkin olarak, 6102 sayılı Türk Ticaret Kanunu’nun m.54 ve devamında düzenlenen haksız rekabet hükümlerine dayanılabilmesi de gündeme gelebilecektir.

(b) Cezai ve İdari Sorumluluk

Kişisel verilere ilişkin suçlar bakımından işbu kanun ile yeni bir suç tipolojisi ortaya konmamış olup, 5237 sayılı Türk Ceza Kanunu’nun 135 ile 140’ıncı maddelerine atıf yapılmış; işbu kanunun 7. maddesine aykırı olarak kişisel verileri silmeyen veya anonim hale getirmeyenler hakkında da Türk Ceza Kanunu’nun 138. maddesine göre ceza uygulanacağı öngörülmüştür.

Aydınlatma yükümlülüğünü yerine getirmeyenler, veri güvenliğine ilişkin yükümlülüğünü yerine getirmeyenler, Kurul tarafından verilen kararları yerine getirmeyenler ve veri sorumluları siciline kayıt ve bildirim yükümlülüğünü yerine getirmeyenler için muhtelif idari para cezalarının uygulanacağı hükme bağlanmıştır.

Kanun Kapsamı Dışında Kalan Haller

Bu Kanun hükümleri aşağıdaki hallerde uygulanmaz:

  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama ve infaz mercileri ile disiplin soruşturma ve kovuşturma makamları tarafından ilgili kanun hükümleri uyarınca işlenmesi
  • Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Sicile kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hallerde uygulanmaz:
  1. a) Kişisel veri işlemenin suç işlenmesinin önlenmesi için gerekli olması,
  2. b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  3. c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi için gerekli olması.

Yürürlük

İşbu kanun Resmi Gazete ’de yayımlanma tarihi olan 06.04.2016 tarihinde yürürlüğe girmiş olup, bazı maddeleri bakımından yürürlük tarihi Kanunun yayımı tarihinden itibaren 6 ay sonrası (07.10.2016 tarihinde) olarak kararlaştırılmıştır.

İlgili Resmi Gazete Linki: http://www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf