Kişisel Veriler Kanunu
6698 Sayılı Kişisel Verilerin Korunması Kanunu, 7.4.2016 tarihli 29677 sayılı Resmi Gazete’de yayınlanarak, bir kısmı yayın tarihinde, bir kısmı ise 7 Ekim 2016’da yürürlüğe girmiştir. Kanun Gereği, Kişisel Verileri Koruma Kurulu oluşturulmuş ve Kurul üyeleri henüz geçen ay yemin ederek göreve başlamışlardır. Şimdilerde Kurul’dan kanunun nasıl uygulanacağına ilişkin yönetmelikler hazırlanması beklenmektedir.
Kanunla bundan sonra hayatımızda neler değişecek?
Kişisel verilerin kanunla korunmuş ve düzenlenmiş olması oldukça önemli. 2005 yılında kişisel verilerin korunmasına ilişkin cezai hükümler ile 2010 yılında değiştirilen Anayasa koruması sağlanmış olmasına rağmen, düzenlemeler yetersiz kalıyordu. Bundan böyle, kişişel veriler belirli ve öngörülebilir amaçlarla işlenecek, süresi geçtiğinde yok edilebilecek, hatta bireyler hukuka aykırı kaydedilmiş kişisel verilerinin düzeltilmesini veya silinmesini talep edebilecek. Veriler, rıza olmadan başka kişi ve kurumlara satılamayacak veya devredilemeyecek.
Kişisel Veriler rıza olmadan işlenmeyecek mi?
Kural olarak kişisel verilerin işlenmesi için ilgili kişinin açık rızası gerekir. Ama bazı koşullarda kişisel veri sahibinin rızasının alınmasına gerek yok. Mesela, polis rıza almaya gerek almaksızın parmak izi alıp işleyebilir, Adli Sicil veya Nüfus Müdürlüğü gibi kurumlar kişiyle ilgili bilgileri işleyebilir. Zira bu yetki bu kurumlara kanun ile verilmiştir.
Diğer bir istisna ise, rızanın açıklanamadığı durumlarda kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesidir. Acil bir tıbbi vaka nedeniyle hastaneye kaldırılan bilinci açık olmayan insanların sağlık durumları ve geçmişi rıza alınmaksızın işlenebilecektir. İnsan kaçırma, kayıp kişi, suçlu takibi konularında da yer tespiti ve delil elde edilmesi için rıza alınmadan veri işlenebilecektir.
Kanunda sayılan diğer bir istisna, bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenebilmesidir. Örneğin, e-ticaret sitesinden yapılan bir alışverişte ürünün/ hizmetin sunulabilmesi için kişinin bilgileri ile adresinin işlenmesi zorunludur ve bu tür kişisel veriler için açık rıza alınmasına gerek bulunmamaktadır. Ancak alışverişle ilgili olmayan bir kişisel veri için tabi ki rıza alınmaya devam edilecektir.
Başka bir istisna ise Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan verileri rıza sormaksızın işleyebilmesi. Bir şirketin çalışanına maaş ödeyebilmesi için, banka hesap numarasını veya bakmakla yükümlü olduğu kişileri işlemesi rıza almanın istisnalarına örnek olabilir.
Eğer veri sahibi, kendisiyle ilgili verileri kendisi alenileştirmişse yani kamuoyuna açıklamış ise bu kişisel veriler rıza olmaksızın işlenebilecektir.
Son istisna ise, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali. Bu istisnai durum çok şekilde örneklenebilir. Örneğin, bir spor kulübü, sporcularının temel hak ve özgürlüklerine zarar vermemek kaydıyla, sporcuların sağlık durumu, fiziksel özellikleri, antreman durumları, spor geçmişini, transfer ücretlerini vs. işleyebilir. Zira, bu veriler spor kulübünün meşru menfaatleri için gereklidir ve zorunludur. Artık bu tür durumlar için sporcuların rızası alınmayacaktır.
Veri Sorumlusu ve Veri İşleyen Kimdir?
Veri İşleyen ve Veri Sorumlusu kavramları çokça karıştırılıyor. Veri sorumlusu, her hangi bir temsilci, sorumlu kişi anlamında değil, doğrudan ilgili gerçek kişi veya tüzel kişi olarak tanımlanmış durumda. Örneğin, bir Anonim Şirket veya Limited Şirketin kendisi bu kanun anlamında tüzel kişi olarak Veri Sorumlusu’dur. Ama bu şirket Veri Sorumlusu olarak bir çalışanını Veri Sorumlusu temsilcisi olarak atayabilecektir.
Kanuna göre Veri işleyen ise, Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Yani kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi de olabilir. Reklam yönetimi, muhasebe hizmeti, mailing hizmeti gibi bir çok 3.parti hizmetlerinde kişisel veriler işlenmesi gerekebilir. Veri işleyen kişiler de, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar.