1. YAZARLAR

  2. Hakan Tuncay

  3. KİŞİSEL VERİLERİN KORUNMASI
Hakan Tuncay

Hakan Tuncay

Yazarın Tüm Yazıları >

KİŞİSEL VERİLERİN KORUNMASI

A+A-

Bilindiği veya tahmin edilebileceği üzere, gerek kamu gerekse de özel kuruluşlar binlerce kişinin kişisel verilerine erişim sağlayabilmekte ve bu bilgileri saklayıp, işleyebilmektedir. Teknolojik gelişmelerin artışı bu işleme, saklama ve aktarma faaliyetlerini kolaylaştırmış olup bu veri işleme ve teknolojik gelişime atışla paralel olarak, Kişisel Verilerin Korunması kavramı da gündeme gelmiştir. 1970’te Almanya’nın Hessen Eyaletinde kabul edilen Veri Koruma Kanunu, bu alanda yapılmış ilk yasal düzenleme olarak ortaya çıkmakla birlikte, 1973’te İsveç, 1978’de ise Fransa veri koruma kanunu yayınlamıştır. Kişisel verilerin korunmasına ilişkin geniş kapsamlı ilk uluslararası sözleşme ise, Avrupa Konseyi bünyesinde kabul edilen 1981 tarih ve 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme” olmuştur. Ayrıca Avrupa Konseyi Bakanlar Komitesi 108 sayılı Sözleşmenin uygulanmasına yönelik usul ve esasları belirleyen toplam 13 tavsiye kararı çıkarmıştır. Türkiye, 28 Ocak 1981 tarihinde bu sözleşmeyi imzalayan ilk ülkelerden birisi olmuş; bu Sözleşme, 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete’de yayımlanarak iç hukuka dâhil edilmiştir. Bugün 108 sayılı Sözleşme olarak da bilinen Sözleşmenin temel amacı; her üye ülkede, uyruğu veya ikametgâhı ne olursa olsun gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik yollarla işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktır. Yine , 181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol uyarınca taraf devletler ülkelerinde uygulanmak üzere kişisel verilerin korunması alanında görevlerini tam bağımsızlıkla yerine getirecek denetleyici makam kurmayı taahhüt etmiştir. Türkiye, bu protokolü 8 Kasım 2001 tarihinde imzalamıştır. Protokol, 5 Mayıs 2016 tarihli 29703 sayılı Resmi Gazete’de yayımlanarak iç hukuka dâhil edilmiştir. Bu da kamu hayatında yeni bir kurumla tanışmamıza sebep olmuştur : Kişisel Verilerin Korunması Kurumu Başkanlığı.

Özellikle AB ve BM’in sürekli yayınladıkları ve güncelledikleri mevzuatların kapsamlı bir sonucu olarak ;Avrupa Birliği, kişisel verilerin korunması alanında ortaya çıkan ihtiyaçları karşılamak üzere 2012 yılında yeni bir tüzük çalışması başlatmıştır. Avrupa Parlamentosu, Avrupa Konseyi ve Avrupa Komisyonu tarafından yapılan tüzük 2016 yılında kabul edilmiş olup, 25 Mayıs 2018 tarihinde 95/46/EC sayılı Direktif’i ilga ederek yürürlüğe giren 2016/679 Sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) doğmuştur. Bu Tüzüğün, Avrupa Birliği’nde yaşayan nüfusu temsil eden Avrupa Parlamento’sunda kabul edilmiş olması, sadece AB ülkeleri ve vatandaşlarını kapsam altına aldığı yanılgısına düşülmemesi gerekmektedir. Şöyle ki ; Avrupa Birliği, işbu tüzüğün kapsamını üye ülkelerden daha geniş tutmaktadır. AB’de ikamet eden, ürün, hizmet veya denetim gibi herhangi bir nedenle Birliğe üye ülkelerden geçen kişisel verilerin Birlik’e üye olmayan ülkelerle temas içerisinde olması halinde; Tüzük, o ülkeler için de bağlayıcı nitelikte olacaktır. Örneğin; Fransa ile ekonomik veya ticari iş ilişkisi içerisinde olan ve Türkiye merkezli tüzel kişiler de kişisel verilerin korunması kapsamında Tüzük kapsamında sayılacaktır.  GDPR ile son bir not olarak ta tüzüğe aykırı hareketlerin cezai yaptırımlarından bahsetmek gerekir. GDPR tarafından getirilen yükümlülükleri ihlal etmek ciddi yaptırımlara bağlanmıştır. Buna göre ihlali gerçekleştiren kuruluşlara üst sınırı, kuruluşun yıllık cirosunun %4ü veya 20 Milyon Euro olmak üzere para cezası verilecektir. Örneğin; Fransa’da Google’a açık rıza alırken koşullara uymadığı için 50 Milyon Euro para cezası uygulanmıştır. Yine Avusturya’da bir kafeye hukuka aykırı video kaydı alınması nedeniyle 5000 Euro para cezası uygulanmıştır. Avrupa ülkelerinin çeşitli evrelerle geçtiği kişisel verilerin koruma düzenlemesine açık konuşmak gerekirse Türkiye bir anda , kimsenin tam olarak ne olduğunu anlayamadığı 6698 sayılı Kişisel Verilerin Korunması Kanunu ile geçmiştir. Türkiye’de kişisel verilerin korunmasına ilişkin özel bir kanun çıkarmak için ilk kez 1989 yılında bir komisyon oluşturulmuştur. Bu komisyon henüz çalışmalarını tamamlayamadan dağılmıştır. 2000 yılında yeni bir komisyon oluşturulmuş ve bu komisyon üç yıllık bir çalışmasının neticesinde bir kanun tasarısı hazırlamıştır. Fakat hazırlanan tasarı çeşitli nedenlerle kanunlaşamamıştır. 2008 ve 2014 yıllarında, Adalet Bakanlığı öncülüğünde yeni bir tasarı hazırlanıp Türkiye Büyük Millet Meclisi’ne (TBMM) sunulmuşsa da yasama dönemi sona erdiği için ilgili kanun teklifleri kadük hale gelmiştir. Anayasada da, kişisel verilerin korunmasıyla ilgili detaylı düzenlemelerin kanunla yapılacağı belirtilmektedir. Bu kapsamda 26 Aralık 2014 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM Başkanlığına sunulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Bu Kanun, hayatımıza yeni kavramlar, yeni kurumlar ve hatta yeni bir ceza sistemi katmıştır. İleriki yazıların konusu olacak, kişisel veri kavramı, açık rıza, veri sorumlusu, veri işleyen, aydınlatma yükümlüğü, VERBİS gibi kavramlar KVKK kapsamında gündem yaratan terimler olarak karşımıza çıkmakta olup yukarıda bahsedildiği üzere Kişisel Verilerin Korunması Kurumu Başkanlığı’da yeni bir teşkilat olarak doğmuştur.  Tıpkı GDPR’da olduğu üzere, 6698 Sayılı Kanunda sorumlu denetmen kuruluşa , ihlallerde büyük çapta idari para cezası verme yetkisi tanımıştır. Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar Kişisel Verilerin Korunması Kanunu 18. maddede düzenlenmiştir. Bu kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır. İdari yaptırımlara Kurul tarafından karar verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açıktır.  Yine kanun bu ihlallerde verilecek idari para cezalarını ; aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, olarak belirlemiş olup uygulamada Kurum tarafından verilen son idari para cezasının 1.800.000 Türk Lirası olduğunu da belirtmekte fayda bulunmaktadır. Son olarak gözden kaçan bir diğer husus ise kanunun kimleri kapsadığıdır. Kişisel Verileri Koruma Kurulu (KVKK) kararlarıyla kayıt yükümlülüğünden istisna tutulanlar hariç olmak üzere yıllık çalışan sayısı veya yıllık mali bilanço toplamı Kurulca belirlenmiş olan rakamların üstünde olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları için kayıt yükümlülüğü 01.10.2018 tarihinde başlamış olup bu çerçevede kayıtlar devam etmektedir. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Sicil Bilgi Sistemine kayıt yükümlülüğü 01.10.2018 tarihinde başlamış olup 30.06.2020 tarihinde sona erecektir. Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için ise Veri Sorumluları Sicil Bilgi Sistemine kayıt yükümlülüğü başlangıç tarihi 01.01.2019 olarak uygulanacak ve sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2020 tarihine kadar süre verilecektir. Bahse konu bu kriterler kanunun sadece VERBİS kaydı kriterleri olup, bu kriterleri sağlamayan ve kişisel veri toplayan, saklayan, kaydeden tüm tüzel kişiler de kanunun diğer maddelerinde yer alan yükümlülükleri yerine getirmekle mükelleftir.

Bu yazı toplam 15737 defa okunmuştur.
Önceki ve Sonraki Yazılar

YAZIYA YORUM KAT

UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.