Kişisel Verilerin Korunması Kanunu Nedir?
7 Nisan 2016 tarihli, 6698 sayılı kanun ülkemizde, kişisel verilerin korunması özelinde yürürlüğe giren ilk resmi kanun olma özelliğini taşımaktadır. Kişisel Verilerin Korunması Kanunu kapsamında, özellikle firmalar için yeni yasal sorumluluklar ortaya çıkmıştır. Genel hatlarıyla Avrupa Birliği’nde uygulanan kişisel verilerin korunmasına ilişkin yasalarla örtüşen 6698 sayılı kanun, AB yasalarına benzese bile, tam bir kopyası değildir. Daha ziyade, AB yasaları ile Türkiye yasalarının birbirleriyle uyumu korunmak suretiyle, kişisel verileri koruma üzerine geliştirilmiş ulusal veri koruma yasası olarak tanımlanabilir. Zira Kişisel Verilerin Korunması Kanunu, Türk Ceza Kanunu ve T.C. Anayasası’nda yer alan hükümler doğrultusunda son şeklini almıştır. Bu noktada, Türk hukuk sisteminde, ileri teknoloji ve bilgi iletişim araçlarıyla ilgili, eksikliği bariz olarak hissedilen bir boşluğu doldurmuştur.
KVKK ‘yi daha iyi anlayabilmek için kanunda da belirtilen bazı kavramları açıklamakta fayda vardır. Bunların en önemlisi elbette kişisel verinin tanımıdır. Gerçek kişilere ait olan her türlü bilgi kanuna göre kişisel veri statüsündedir. Bahsi geçen gerçek kişinin kimliği belirli veya belirlenebilir olabilir. Kişisel verisi işlenen gerçek kişi de kanunda ilgili kişi olarak tanımlanmıştır.
KVKK ‘de tanımı yapılan; görev ve sorumlulukları detaylı olarak açıklanan bir diğer kavram ise veri sorumlusudur. Kişisel verileri işleyen, bunun için de kişisel veri kayıt sistemi kuran ve yöneten gerçek ya da tüzel kişiler veri sorumlusu olarak tanımlanmaktadır. Veri sorumlusunun verilerin işlenmesi için yetki verdiği gerçek ya da tüzel kişiler de veri işleyen olarak açıklanmıştır.
Kişisel Verilerin İşlenme Şartları
KVKK ‘nın üzerinde en fazla durduğu konulardan biri şüphesiz kişisel verilerin işlenmesi sırasında uyulması gereken kural ve esaslardır. Kanuna göre veri sorumluları kişisel verileri belirli şartlar altında işleyebilmektedir. Bu şartların başında ilgili kişinin açık rıza göstermesi gelmektedir. İlgili kişinin açık rızası olmadan hiçbir kişisel veri işlenemez. Bazı özel durumlarda ise kişisel veriler ilgili kişinin rızasına bakılmaksızın işlenebilir. Bunlardan bazıları şunlardır:
• Kanunlarda açıkça belirtilmesi.
• Açık rıza vermeye fiili olarak imkan bulunmaması.
• Bir sözleşme gereği tarafların kişisel verilerin işlenme zorunluluğu bulunması.
• Hukuki yükümlülükleri yerine getirmek açısından kişisel verilerin işlenmesi zorunluluğu.
• İlgili kişinin hak ve özgürlüklerinin gözetilmesi şartıyla veri sorumlusunun meşru menfaatlerinin söz konusu olması.
KVKK ‘de tanımı yapılan bazı özel nitelikli kişisel veriler, ilgili kişinin açık rızası olmadan asla işlenemez. Bunlar, din, dil, ırk, siyasi görüş, inanç, cinsel hayat vb gibi bilgilerdir.
Kişisel verilerin;
• elde edilmesi,
• kaydedilmesi,
• depolanması,
• muhafaza edilmesi,
• değiştirilmesi,
• yeniden düzenlenmesi,
• açıklanması,
• aktarılması,
• devralınması,
• elde edilebilir hâle getirilmesi,
• sınıflandırılması,
• kullanılmasının engellenmesi,
o verinin işlenmesi anlamına gelmektedir. Bu bağlamda, kişisel veriler işlenirken kanunda belirtilen şartların ortaya çıkması gerekmektedir. Hangi amaçla işleniyorsa, o amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Verilerin işlenmesini zorunlu hale getiren sebepler hukuka ve dürüstlük kurallarına uygun olmalıdır.
Kişisel Verileri Koruma Kurumu
KVKK ile verilen görevleri yerine getirmesi için kamu tüzel kişiliği bulunan Kişisel Verileri Koruma Kurumu kurulmuştur. Bu kurum, idari ve mali özerkliğe sahip olup cumhurbaşkanının görevlendirdiği bakan ile ilişkilidir. Kurumun ana görevleri şunlardır:
• KVKK ile doğrudan veya dolaylı olarak ilişkili olan uygulamaları takip etmek, değerlendirmek, araştırma yapmak ve bu konularla ilgili öneriler hazırlamak.
• Kişisel verilerle ilgili diğer kamu kurumları, meslek odaları, üniversiteler, sivil toplum kuruluşları ile iş birliği yapmak.
• Kişisel verilerle ilgili uluslararası gelişmeleri takip etmek ve değerlendirmek; gerekli durumlarda uluslararası iş birlikleri geliştirmek.
• Yıllık faaliyet raporları hazırlamak ve bu raporu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna sunmak.
VERBİS
KVKK ile ilgili bir diğer önemli konu ise Veri Sorumluları Sicil Bilgi Sistemi, yani VERBİS’tir. Kanunun 16. maddesine göre gerçek veya tüzel kişiliği bulunan veri sorumluları, kişisel verileri işlemeye başlamadan önce Veri Sorumluları Siciline kayıt yaptırmak zorundadır. VERBİS de bu kayıt işlemleri ve işlenecek kişisel verilerle ilgili kategorik bilgiler girilmesi için hazırlanan bir platformdur. Veri sorumluları, Kişisel Verileri Koruma Kurumu’nun internet sayfasından VERBİS’e üye olabilmektedir.
VERBİS’e girişi yapılması gereken bilgiler şunlardır:
• Veri sorumlusu bilgileri; veri sorumlusunun (varsa) atadığı temsilci veya irtibat kişisi bilgileri.
• Söz konusu kişisel verilerin işlenme amacı.
• Kişisel verilerin ait olduğu kişi grupları ile bu kişilere ait veri kategorileriyle ilgili açıklamalar.
• Kişisel verilerin KVKK ‘ye göre başka bir yere transferi söz konusu ise, verilerin aktarılacağı alıcılar.
• Yurt dışına aktarımı yapılacak kişisel veriler.
• Kişisel verilerin korunması ile ilgili alınan güvenlik önlemleri
• Kişisel verilerin ne kadar süre ile muhafaza edileceği.
