YAYINLARIMIZ

Kişisel Verilerin Korunması Kanunu Ve Buna Bağlı Yükümlülükler

 

6698 Sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihli Resmî Gazete de yayımlanarak yürürlüğe girmiştir. Söz konusu kanun ile özel hayatın gizliliği kapsamında kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlenmektir. Kişisel Verilerin Korunması Kanunu’ndaki hükümler, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi akabinde artık kişisel veriler ancak bu Kanun kapsamında ve diğer kanunlar ile öngörülen usul ve esaslara uygun olarak işlenebilir duruma gelmiştir. Kanun tarafından getirilen yükümlülükler ile birlikte kişisel verilerin işlenmesinde, dikkat edilmesi ve uyulması gereken ilkeler de düzenlenmiş olup, bu ilkeler genel olarak;

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklindedir.

Kişisel Verilerin Korunması Kanunu ile öngörülen en önemli husus, artık kişisel verilerin ve bu Kanunu’nun 6. maddesinde tanımlanmış olan özel nitelikli kişisel verilerin (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) ilgili kişinin açık rızası olmadan işlenememesidir.

İlgilinin açık rızasının aranmadığı durumlar ise 6698 Sayılı Kanunu’nun 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında düzenlenmiş olup, bu madde de sayılan istisnalar dışında, ilgilinin açık rızası olmadan kişisel verilerin işlenebilmesi kanunen yasaklanmıştır.

İlgilinin açık rızası ile ya da açık rızasının aranmadığı istisnai hallerde işlenmiş olan kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hususu ise 6698 sayılı Kanunu’nun 7. maddesinde düzenlenmiştir.

7. maddenin 3. fıkrasında kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin usul ve esasların ise yönetmelikle belirleneceği belirtilmiş olup, bu madde ile atıf yapılmış olan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkındaki Yönetmelik 01.01.2018 tarihinde yürürlüğe girmiştir. Bu yönetmelik ile işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.

VERİ SORUMLUSU VE VERİ İŞLEYEN KAVRAMLARI

Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkındaki Yönetmelik ile “veri sorumlusu” ve “veri işleyen” kavramı getirilmiştir.

  • Veri Sorumlusu; veri kayıt sisteminin bir birim, kurum ya da temsilci bünyesinde tutulmasından sorumlu olan gerçek veya tüzel kişidir.
  • Veri İşleyen; Veri Sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri sorumlusu daha çok lokal, kurumlara özgü, şirketlerin dahi seçebileceği yetkili bir kişidir. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olandır.

Veri sorumluları, kişisel verileri silme, yok etme ve anonim hale getirme işlemi için dayanak gösterecekleri Kişisel Veri Saklama Ve İmha Politikasını hazırlamakla yükümlüdür.  

Kişisel veri saklama ve imha politikasında asgari olarak;

  • Kişisel veri saklama ve imha politikasının hazırlanma amacına,
  • Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
  • Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
  • Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
  • Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
  • Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
  • Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
  • Saklama ve imha sürelerini gösteren tabloya,
  • Periyodik imha sürelerine,
  • Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe, ait bilgilerin bulunması gerekir.

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Kişisel Verileri Koruma Kurulu gözetiminde, Başkanlık tarafından kamuya açık olarak tutulmakta olan Veri Sorumluları Siciline kayıt olmak zorundadır.

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.

  • Kişisel verilerin Silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bu durumda veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
  • Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
  • Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, resen kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı seçer. Uyguladığı yöntemi ilgili politika ve prosedürlerinde açıklar. Kişisel verileri silme, yok etme veya anonim hale getirme ile ilgili işlemler yapılırken Kurul kararlarına, kişisel veri saklama ve imha politikasına uygun hareket etme zorundadır. Bu konu hakkında yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlüler hariç olmak üzere en az üç yıl süreyle veri sorumlusu tarafından saklanır.

PERİYODİK İMHA

Periyodik İmha, kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir. Kişisel Veri Saklama ve İmha Projesini hazırlayacak olan veri sorumlusu tarafından Periyodik imhanın gerçekleştirileceği zaman aralığı belirlenir. Bu süre her halde altı ayı geçemez.

Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.

İLGİLİNİN TALEP ETMESİ DURUMUNDA SİLME VE YOK ETME SÜRELERİ

İlgili, taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

UYGULAMADA YAPILMASI GEREKENLER

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, artık işverenlerin, personellerinden kişisel verilerinin kullanılmasına ilişkin açık rızalarını içeren muvafakatname almaları ya da yeni işe başlayacak olan personeller için ise kişisel verilerinin kullanılmasına ve işlenmesine ilişkin muvafakat verilmiş olduğuna dair madde olan iş sözleşmelerini imzalatmaları gerekmektedir.

Ancak, tabi ki ticari yaşam içerisinde her şirketin iç işleyişi ve yapısı birbirinden farklı olduğundan, biz aşağıda genel hatları ile yapılması gerekenleri ve mevcut mevzuat hükümlerini bilgilendirme amacı ile paylaşıyoruz, fakat her şirketin yapısına ve işleyişine göre aşağıda mevcut açıklamaları ve bilgilendirme kısımlarını değerlendirmesi ve buna göre çalışanlar ile yöneticilerin yönlendirilmesi ve bilgilendirilmesi uygun olacaktır.

Kişisel Verilerin Korunması Kanununda, kişisel veriler “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Kişisel veriler, kişinin “adı, soyadı, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt plakası, pasaport numarası, özgeçmiş, resim, görüntü ve ses yatıları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri” gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerdir.  

Şirketler açısından düşünüldüğümde şirket nezdinde çalışan personellerden temin edilmiş olan yukarıda sayılmış nitelikteki tüm veriler ile mal ve hizmet sunulması dolayısıyla şirketin müşterilerinden elde edilmiş yukarıda sayılan nitelikteki tüm veriler kişisel veri olarak tanımlanır.

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI HAKKINDA KANUN KAPSAMINDA TEMEL OLARAK YAPILMASI BEKLENEN HUSUSLAR

  1. Şirketler açısından öncelikle yapılması gerekli olan bir veri sorumlusunun belirlenmesi ve bu kişinin görev tanımı net bir şekilde ifade edilmesidir.
  2. Veri sorumlusunun yanı sıra, organizasyon içerisinde işlenen kişisel veriler üzerinde erişimi bulunan her çalışanın verinin korunmasındaki rolleri ve sorumlulukları şirket tarafından dağıtılmalı, kontrol mekanizmaları arttırılarak verinin yasal yollardan işlendiğine emin olunmalıdır. Örneğin, insan kaynakları departmanında çalışan her personelin sistem yetkisinin olmaması gerekmektedir. Buna göre mesela İnsan Kaynakları Departmanında görevli her çalışanın diğer çalışanların maaş bilgilerini görememesi gerekir.
  3. Aynı zamanda yetkili kişilerin, bazı işleri yaptırmak adına yetkisiz kişiler ile şifrelerini paylaşmalarının önüne geçilmesi ve kişisel veri mahiyetindeki bilgilere erişimin kısıtlanarak bu bilgilerin Kişisel Verilerin Korunması Kanunu kapsamında korunması gerekir. Dolayısıyla, kişisel verileri işleyecek sınırlı sayıda çalışana görev ve sorumluluklarının net olarak açıklanması elzemdir.
  4. Şirketlerin veri kayıt sistemlerinin Kişisel Verilerin Korunması Kanunu gereksinimlerine göre yeniden tasarlanması da bu sürecin bir parçası olup, bu alanın güvenliğinin sağlanması ve bu bilgilere erişimin kısıtlanması, içerisinde barındırdığı veriler sebebiyle büyük önem taşımaktadır.

Şirketlerin arşivinde geçmişten bu yana bir şekilde toplanmış, işlenmiş ve saklanmış bir takım kişisel verilerin mevcut olması doğaldır. Ancak yukarıda mevcut güncel mevzuat uyarınca günümüzden geçmişe doğru bir yol izlenerek, bu süreçlerin incelenmesi ile kişisel verilerin toplanması, işlenmesi, saklanması ve varsa transferi ile ilgili olan sözleşmeler yeniden ele alınmalı, sözleşmelerin yasaya aykırı düşen uygulamaları tespit edilmelidir. Yasaya aykırı düşen durumların varlığı halinde, kişisel verilerin imhasının mümkün olduğu durumlarda imha yoluna gidilmesi; yasaya aykırı düşen durumların düzeltilmesinin mümkün olması halinde ise bu düzeltmelerin ek sözleşme vb. çeşitli uygulamalar ile sağlanması gerekmektedir.

1-Veri Güvenliği Bağlamında Yapılması Gerekenler;

  • Kişisel verilerin diğer verilerden ayrıştırılması ve niteliklerinin belirlenmesi,
  • Kişisel verilerin hangi amaçla, hangi kapsamda, hangi yöntemlerle işleneceğinin belirlenmesi,
  • Kişisel Verilerin Korunması Kanunu kapsamında Veri Sorumlusunun belirlenip Veri Sorumluları Siciline tescil edilmesi,
  • Veri İşleyicilerin veri sorumlusu tarafından yetkilendirilmesi,
  • Şirket “Gizlilik, Siber Güvenlik ve Çerez Politikalarının oluşturulması veya mevzuata uygun olacak şekilde revize edilmesi,
  • İşleme amacının ortadan kalkması ve mevzuatta öngörülen saklama sürelerinin sona ermesiyle kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi konusunda oluşturulacak politikaya uygun hareket edilmesi,
  • Ağ güvenliğinin/bilgisayar güvenliğinin ve kullanıcı güvenliğinin [verilerin] sağlanması,
  • Bilgi güvenliği sertifikasyonlarının alınması.

2-İş Hukuku Bağlamında Yapılması Gerekenler;

  • Kişisel verilerinin hangi amaçla, hangi kapsamda, hangi yöntemlerle işleneceğine ilişkin olarak çalışanların bilgilendirilmesi,
  • İş sözleşmelerinde kişisel veriler ile açık rıza verilmiş olduğuna dair madde bulunmayan çalışanların yazılı olarak açık rızalarının alınması,
  • Çalışanlarla akdedilecek iş sözleşmelerinin revize edilmesi,
  • İşe yeni başlayacak olan personellere imzalatılacak olan iş sözleşmeleri kişisel verilerin korunması hususunda revize edilmiş olduğundan, iş sözleşmelerinin revize edilmiş yeni versiyonlarının imzalatılması.

3-Sözleşmeler Hukuku Bağlamında Yapılması Gerekenler;

  • Mevcut sözleşmelerin revize edilmesi ve sözleşme tarafları arasında bu hususların müzakere edilmesi,
  • Sözleşmelere, kişisel verilerden kaynaklanan sorumluluk paylaşımı vb. hususlara ilişkin hükümler eklenmesi,
  • Kişisel verilerin ticari ilişkiler vs. sebebiyle yurtdışına aktarılması gerektiğinde hukuka uygunluk değerlendirmesinin yapılması ve yapılacak sözleşmelerin bu çerçevede oluşturulması,
  • Verilerin işlenmesi hususunda dışarıdan hizmet alınması durumunda, “veri işleyen” sıfatını haiz olacak kişi ile “veri sorumlusu” arasındaki sözleşme ve yetkilendirme prosedürünün yerine getirilmesi.

 

Yukarıda mevcut tüm bu açıklamalar ışığında, her şirket ve kurum kendi iç işleyişi, yapısı ve dinamiklerine uygun şekilde, mevcut mevzuat hükümleri doğrultusunda kendi düzenini, işleyişini ve kurallarını bir an evvel oluşturmalıdır.  

                                                                                                              Av. Senem ATALAY   / Av. Erdal KARDAŞ

 

 

 

Diğer Makaleler