Okyay Hukuk Bürosu
Bilindiği üzere Türkiye’de 2016/679/EU sayılı General Data Protection Regulation’ın (“GDPR”) Avrupa Birliğinde kabul edilmesi ile birlikte ülkemizde de 6698 Sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016’da kabul edilmiş ve iki sene uyum süreci tanınarak 2018 senesinde yürürlüğü girmiştir. GDPR ise ülkemizde yürürlükte değildir. GDPR’ın önemli bir kısmını teşkil eden Kişisel Verilerine Korunması bahsi, Türkiye’de Kişisel Verilerin Korunması Kanunu ile yürürlüğe konulmuş, bu Kanun kapsamında kişisel verilerin uygulama düzeni oluşturulmuştur. Bu nedenle veri sorumlusu olarak adlandırılan gerçek ve tüzel kişilerin öncelikle 6698 sayılı Kanun’un öngördüğü yükümlülükleri sağlaması gerekmekte olup bu yükümlülüklerin sağlanması ile GDPR’a da uyum sağlanmış olacaktır.
6698 Saylı Kanun “kişisel veri”yi, ‘gerçek kişiye ilişkin her türlü bilgi’ olarak tanımlamış; kişinin “açık rızası” olmaksızın kişisel verinin toplanamayacağını ve işlenemeyeceğini öngörmüştür; bununla birlikte aşağıda başlıcalarını belirttiğimiz bazı hallerde kişinin rızası olmadan da kişisel verinin işlenebileceği belirtilmiştir:
- bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, veya
- bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
6698 Sayılı Kanun, kişisel verileri toplayan ve işleyen gerçek veya tüzel kişileri “veri sorumlusu” olarak tanımlamış, kişisel verilerin işlenmesine dair işlem ve yükümlülüklerin baş sorumlusu olarak öngörmüştür. Buna göre;
- veriyi almadan önce kişilerin açık rızalarını toplamak,
- kişisel verileri saklamak, işlemek,
- kişisel veri işleme süreç ve yöntemini belirleyen bir şirket envanteri düzenlemek,
- veri toplama ve işleme konusunda üçüncü kişileri bilgilendirmek,
- veri kayıt sistemi kurmak ve yönetmek,
- zamanı geldiğinde kişisel verileri silmek ya da anonim hale getirmek
veri sorumlusunun başlıca yükümlülükleri olarak belirlenmiştir.
6698 Sayılı Kanun’un öngördüğü yükümlülüklerinin sağlanabilmesi için aşağıda bahsi geçen adımların takip edilmesinde fayda görülmektedir. Hukuk büromuz, bu adımları takip etmek sureti ile Türkçe ve İngilizce dillerinde müvekkillerine kişisel verilerin korunması konusunda danışmanlık hizmeti vermektedir
- Kişisel Verilerin Korunması Hakkında Eğitim.
Veri Sorumlularının, veri sorumlularının bünyesinde istihdam edilmekte olan ve veriye erişimi olan personelin öncelikle 6698 sayılı Kanun’un ve Kişisel Verileri Koruma Kurul’unun kararlarının izah edildiği ve örneklendirildiği bir eğitim çalışması ile bilgilendirilmesi ve bilinçlendirilmesi gerekmektedir. Eğitim çalışmasının ardından eğitime katılanların imzasının alındığı eğitim tutanağı tutulmalı ve tutulan bu tutanak veri sorumlusunca hazırlanacak olan fiziksel ve dijital kişisel veriye ilişkin bilgilerin yer aldığı klasörler içerisinde saklanmalıdır.
- Veri Koruma Politikaları ve Aydınlatma Metni
6698 Sayılı Kanun, veri işleyen veri sorumluların veri koruma ve veri saklama ve imha politikaları oluşturmasını öngörmüş ve veri sorumlusu şirketlerin bu politikalar doğrultusunda veri toplamasını, bünyelerinde saklamasını ve gerektiğinde aktarmasını hedeflemiştir. Kişisel verilerin korunması politikası ve saklama ve imha politikası veri sorumlularınca herkesin ulaşabileceği alanlara asılmalı ve internet sitelerinde yayınlanmalıdır.
Politikaların yanı sıra, politikaların özetini oluşturacak şekilde bir aydınlatma metninin de hazırlanması gerekmektedir. Esasen, bilgilendirme metni Kişisel Veri Koruma Politikasının kısa versiyonunu oluşturmakta olup gerek 6698 Sayılı Kanunun gerekse de Kişisel Verileri Koruma Kurumunun aradığı hususları içermelidir.
- Açık Rıza Beyanları
6698 Sayılı Kanun, veri sahibi ilgili kişilerin verilerinin veri sorumlusunca işlenebilmesi için ilgili kişilerden kanunda sayılı istisna hallerin dışında açık rıza beyanı alınmasını öngörmektedir. Alınacak açık rıza beyanlarında veri sahibinin ıslak imzası yer almalı ve metinler hazırlanacak klasörler içerisinde saklanmalıdır.
- Ek Protokoller
6698 Sayılı Kanun’un yürürlük tarihinden önce veri sorumlularının tarafı olduğu, hali hazırda devam eden sözleşmelere eklenebilmesi amacı ile kişisel verilerin korunmasını düzenleyen ek protokol hazırlanmalıdır. Hazırlanan ek protokol aynı zamanda kişisel verilerin korunması hükümlerini içermeyen sözleşmelerin ekine de eklenebilir halde olacağından işbu sözleşmeler ile birlikte imzalanmalıdır.
- Veri Envanteri
6698 Sayılı Kanun, yıllık 50’den fazla çalışanı olan veya yıllık mali bilançosu 25 Milyon Türk Lirası’nı geçen veri sorumlularına veri envanteri hazırlama yükümlülüğü getirmiştir. Hazırlanan veri envanteri işlenen kişisel veri grubunu, ilgili kişileri, kimlere aktarıldığını, verilerin ne kadar süre ile şirket bünyesinde tutulduğunu ve ilgili veriler hakkında hangi koruma tedbirleri alındığını içermelidir.
- Yetkilendirilmiş Personel ile İmzalanacak Sözleşme
Veri sorumlularının bünyesinde kişisel verilere erişimi olan personel ile imzalanmak üzere bir ek protokol hazırlanmalıdır. İlgili ek protokol, veriye erişimi olan personele eriştiği verileri hangi amaçla kullanması gerektiğini ve amacı dışındaki kullanımda karşılaşabileceği cezai müeyyideleri düzenlemeli ve ilgili personel ile imzalanmalıdır.
- Yurtdışına Veri Aktarımı
6698 Sayılı Kanun, ilgili kişinin açık rızasının bulunması halinde yeterli korumanın bulunduğu ülkelere kanunda belirtilen hallerin varlığında verilerin aktarılabileceğini düzenlemektedir. Yeterli korumanın bulunmadığı ülkelerde ise kanunda belirtilen hallerin varlığında yeterli korumanın olduğunun taahhüt edilmesi ve Kişisel Verileri Koruma Kurulu’nun yazılı onayının alınması gerekmektedir.
- Tedbirler
6698 Sayılı Kanun veri sorumlularının bünyelerinde bulundurdukları verileri korumaları için birtakım tedbirler alması gerektiğini öngörmektedir. VERBİS’te yer alan tedbirler doğrultusunda veri sorumluların gerekli önlemleri alması gerekmektedir.
- Verilerin İmhası
6698 Sayılı Kanun’a göre veri sahibinin talebi üzerine ya da kişisel verinin toplanması nedeni ortadan kalktığında verinin silinmesi ya da anonim hale getirilmesi zorunludur; aksi davranış TCK 138. madde kapsamında suç kabul edilecektir. Konu hakkında 28.10.2017 tarihinde “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik” yürürlüğe girmiştir; Yönetmelikle verinin saklanması ve silinmesine hakim olan ilkeler sayılmış, kişisel verinin silinmesi, verinin erişilemez ve tekrar kullanılamaz hale getirilmesi olarak, anonim hale getirme ise verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanmıştır.
İlgili kişinin verinin silinmesini talep etmesi halinde en çok 30 gün içinde veri silinmeli ya da anonimleştirilmelidir; bunun dışındaki silme ya da anonimleştirme işlemi, en çok 6 ayda bir olmak üzere düzenlenecek periyodik imha işlemlerinde yapılacaktır.
- VERBİS Kaydı
6698 Sayılı Kanun ve uygulama Yönetmelikleri uyarınca yıllık 50’den fazla çalışanı olan veya yıllık mali bilançosu 25 Milyon Türk Lirası’nı geçen veri sorumlularının Kişisel Verileri Koruma Kurumu tarafından oluşturulmuş bir sistem olan VERBİS’e kayıtlarının yapılması gerekmektedir.
VERBİS’e kayıt yapılabilmesi için bir öncelikle kaydı oluşturacak bir irtibat kişisinin seçilmesi ve bu kişinin Şirket irtibat personeli olarak kaydı gerekmektedir. İrtibat kişisi tarafından, sisteme veri sorumlusunun bünyesinde işlenen kişisel veri gruplarını, bu verilerin hangi amaçlar doğrultusunda işlendiğini, ne kadar süre ile tutulduklarını, veri sahibi kişi gruplarını, kimlere aktarım yapıldığını, yurtdışına aktarım yapılıp yapılmadığını ve veri güvenliği tedbirlerinin neler olduğunun bildirimi yapılmalıdır. Unutulmaması gerekir ki, irtibat kişisinin veri sahibine karşı doğrudan bir sorumluluğu bulunmamaktadır.
