Soru ve Cevaplarla Kişisel Verilerin Korunması Hukuku

Kişisel Veriler, Veri Tipleri, Bunların İşlenmesi ve Korunması

Kişisel Verilerin Korunması Kanunu Tasarısı, TBMM Genel Kurulu’nda kabul edilerek yasalaştı. Bu kanunun amacı ve kapsamı, tasarının 1. Ve 2. Maddesinden anlaşılmaktadır. Buna göre bu kanunun amacı, kişisel verilerin işlenmesi esnasında şahısların temel hak ve özgürlüklerini korumak ve bu verileri işleyecek olan gerçek ve tüzel kişilere bu verilerin işlenmesi ve korunması hakkında usul ve esaslar belirlemek, kapsamı ise, bu verileri tamamen veya kısmen, otomatik veya olmayan yollarla işleyecek olan gerçek ve tüzel kişiler olarak belirlenmiştir. Kısacası, kanun, bireylerin kişisel verilerinin işlenmesi usul ve esasları ile birlikte bunların korunmasında uyulması gereken usul ve esasları düzenlemektedir. Bu kanunu belirli sorular ışığında incelemek, gündelik kullanıcı ve biz hukukçular için önem arz ettiğinden, aşağıda bu yöntemle detaylarıyla incelenecektir.

Bölüm 1: Kişisel Veriler ve Tipleri

  • Hangi veriler kişisel veri kapsamındadır?

Gündelik hayatlarımızda bilgilerin elektronik veya olmayan ortamlarda hızlıca verildiği ve hızlıca edinildiği, dolayısıyla başkaları tarafından bu bilgilere hızlıca ve kolaylıklar erişildiği bir düzen içerisinde buluruz kendimizi. Bunlarla sınırlı olmamak kaydıyla cüzdanımızda bulunan kimliğimizden tutun bilgisayarlarımızdaki kullandığımız oturumlarımıza kadar neredeyse her platformda kişisel bilgilerimizi bizzat başkalarının erişimine sunmaktayız. Ancak bu bilgilerin hangi birinin kişisel veri olduğunun analiz edilip ona göre mevzuatın uygulanıp uygulanmayacağının belirlenmesi gerekmektedir. Diğer bir deyişle, hangi tarz bilgiler mevzuata göre kişisel veri kapsamında olup korunmaya değer niteliktedir? Bilişim Avukatı, bilişim hukuku, oyun hukuku, oyun avukatı, bilişim suçları, internet hukuku, borsa avukatı, marka avukatı, şirket avukatı, game lawyer, turkish game lawyer, sibr suçlar, hukuki danışmanlık, bilişim hukuku, bilişim suçları avukatı, sözleşme avukatı

Kişisel Verilerin Korunması Kanunu Tasarısı’nın 3. Maddesi tanımları içermektedir. Bu maddeye göre kabaca kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Bunun en basit örneği, facebook hesaplarımızda erişime sunduğumuz isim, soyisim, yaş, yer vb. bilgiler olacaktır. Bunlar şüphesiz ki kişisel veri kapsamında olmakta, ve bu bilgiler mevzuatın kapsamı dahilinde bulunmaktadır. Ancak bunlar haricinde kalan diğer bilgiler de, mesela nerede çalıştığımız bilgisi kişisel veriler kapsamına girecek midir? Bu konuda kanun tasarısı detaylı bir tanımlama yapmış değildir. Eldeki tanımlamaya göre esasında bütün kişisel olan bilgilerin kişisel veri kapsamında olacağının kabulü yanlış olmayacaktır. Bu konuda genişletici yorum yapılması, kanunun amacı ile doğru orantılı olacaktır. Nitekim kanun tasarısının amacı da kişisel veriler aracılığı ile bu verilerin ait olduğu şahısların temel hak ve özgürlüklerini korumak olduğundan bu konuda “kişinin diğerlerinden ayırt edilmesini sağlayan veya bir kişiyle ilişkilendirilebilecek her türlü bilgi kişisel veri niteliğindedir” şeklinde bir tanım, kanunun amacını karşılayacak nitelikte olacak ve bu veriler, mevzuat tarafından korunacaktır.

  • Özel nitelikli kişisel veriler hangileridir?

Kişisel Verilerin Korunması Kanunu Tasarısı, genel bir kişisel veri tanımının yanı sıra “özel nitelikli kişisel veriler” adı altında bir alt kategori oluşturmuştur. Bu alt kategorinin amacı, kişinin birtakım bilgilerini daha sıkı muhafaza edebilmek ve korumaktır. Bu bağlamda incelenmesi gereken bu alt kategorinin unsuları, kanun tasarısının 6. Maddesinin 1. Fıkrasında tanımlanmıştır. Buna göre özel nitelikli kişisel veriler “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini inancı, mezhebi veya diğer inançları, dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili verileri” olarak ayrılmaktadır. Bu ayrıma bakıldığında esasında bunların Anayasa’nın güvence altına aldığı temel hak ve özgürlükler ile doğru orantılı olduğu göze çarpmaktadır. Örneklemek gerekirse, bir şahısın Müslüman veya Hristiyan olduğu bilgisi veya AIDS hastalığı olduğu bilgisi özel nitelikli kişisel veri kapsamına girmektedir. Bu nitelikteki verilerin işlenmesi, tasarının ilgili maddesinde yasaklanmıştır.

Özeli nitelikli kişisel veri ayrımına gidilmesi ise, kanunun amacıyla bağdaşır. Zira kanun, kişisel verilerin temel hak ve özgürlükler çerçevesinde işlenmesi ele almakta, bu bağlamda birtakım kişisel verilerin özel nitelikli sayılarak işlenmesinin belirli şartlar altında ancak mümkün olmasını hüküm altına almakla bu amacı pekiştirmektedir. Bu şartlar, aşağıda incelenecektir. Bilişim Avukatı, bilişim hukuku, oyun hukuku, oyun avukatı, bilişim suçları, internet hukuku, borsa avukatı, marka avukatı, şirket avukatı, game lawyer, turkish game lawyer, sibr suçlar, hukuki danışmanlık, bilişim hukuku, bilişim suçları avukatı, sözleşme avukatı

Bölüm 2: Veri İşleme Faaliyetleri ve Şartları

  • Hangi iş ve faaliyetler veri işleme sayılır?

Veri işleme, kaba tabiriyle bilgilerin elektronik veya olmayan ortamlara kaydedilmek suretiyle muhafaza edilmesi anlamına gelmektedir. İlgili kanunun tanımlar kısmında kişisel verileri işlenmesi faaliyeti şu şekilde ifade edilmiştir:

“kişisel verilerin tamamen veya kısmen, otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, elde edilebilir hale getirilmesi, sınıflandırılması, ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”

Bu tanımdan yola çıkarak veri işleme faaliyetlerinin kısaca kişisel bilgilerin içerikleri değiştirilmeksizin bunlar ile ilgili yapılacak her türlü işlem olduğu söylenebilir. Örneğin bir kişinin adının, soyadının, mesleğinin, yaşının veya doğum yerinin belirli bir websitesi kaydı yapılırken alınıp muhafaza edilmesi bir veri işleme faaliyeti olacaktır. Başka bir örnek de otel rezervasyonu yapıldığında kişinin yine isim, soyisim gibi bilgilerinin kağıt üzerine alınıp deftere kaydedilmesi de veri işleme olacak, otel konaklaması sona erdikten sonra da ilgili kayıt sayfasının üstünün çizilmesi yine veri işleme niteliğinde olacaktır. Bilişim Avukatı, bilişim hukuku, oyun hukuku, oyun avukatı, bilişim suçları, internet hukuku, borsa avukatı, marka avukatı, şirket avukatı, game lawyer, turkish game lawyer, sibr suçlar, hukuki danışmanlık, bilişim hukuku, bilişim suçları avukatı, sözleşme avukatı

  • Veri işleme şartları nelerdir?

Kişisel veriler ancak belirli şartlar gözetilerek işlenebilecek. Mevzuatın amacı da hangi verilerin, kimler tarafından ve ne şartlar altında işlenebileceğini düzenlemek olduğundan bu doğrultuda belirli şartların hüküm altına alınmış olması, amaç kapsamına uygun niteliktedir. Kanunun 4. Maddesi kişisel verilerin işlenmesi esnasında dikkat edilmesi gereken genel ilkeleri hüküm altına alırken 5. Maddesi de verilerin işlenme şartlarını düzenlemektedir.

Mevzuatın 4. Maddesi ilk olarak kişisel verilerin ancak bu kanunda öngörülmüş usul ve esaslara uygun olarak işlenebileceğini hüküm altına almış, sonrasında da kişisel verilerin işlenmesinde gözetilmesi gereken ilkeleri sıralamıştır. Buna göre aşağıdaki ilkeler, kişisel verilerin işlenmesinde dikkat edilmesi gerekli hususlardır:

  • Hukuka ve dürüstlük kuralına uygun olmak
  • Doğru ve gerektiğinde güncel olmak
  • Belirli, açık ve meşru amaçlar için işlemek
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak
  • İşlendikleri amaç için gerekli olan süre kadar muhafaza edilmek

Bu ilkeler, verinin özel nitelikli olup olmadığına bakılmaksızın uyulması zorunlu bulunan ilkelerdir. Bir veriyi işleyen gerçek veya tüzel kişilik, bu ilkelere uygun şekilde işleme faaliyeti yapmak durumunda olduğundan aslında bu ilkeler, veri işleme serbestisinin sınırlarını çizmektedir. Bu sınırlar dahilinde ve diğer şartlara uyularak işlenen veriler, mevzuata uygun nitelik arz edecektir. İlk aşamada her zaman veri işleme eyleminin bu ilkeler çerçevesinde mi gerçekleştirdiğine dikkat edilecek, daha sonrasında her bir verinin niteliğine göre uygun şartların yerine getirilip getirilmediğine bakılacaktır. Bilişim Avukatı, bilişim hukuku, oyun hukuku, oyun avukatı, bilişim suçları, internet hukuku, borsa avukatı, marka avukatı, şirket avukatı, game lawyer, turkish game lawyer, sibr suçlar, hukuki danışmanlık, bilişim hukuku, bilişim suçları avukatı, sözleşme avukatı

Mevzuatın 5. Maddesi ise kişisel verilerin işlenmesinin şartlarını hüküm altına almıştır. İlk fıkrası da zaten ivedilikle, kişisel verinin işlenmesinin ancak ilgilinin açık rızası olması ile mümkün olabileceğini hüküm altına almıştır. Sonrasında ise madde, belirli şartların olması dahilinde kişinin açık rızasının aranmasının gerekli olmadığını, bu şartların da:

  • Kanunlarda açıkça öngörülmesi
  • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

İlk olarak kişinin rızasının olması gerektiğini hüküm altına alan kanun maddesi, yukarıda sayılan durumlarda kişinin rızasının alınmasının gerekli olmadığını, bir nevi veri işleme eyleminin hukuka uygunluk unsurlarını ortaya koymaktadır. Ancak bu düzenleme, kişisel verileri kapsamakla birlikte özel nitelikli kişisel veriler için ayrıca ek şartlar söz konusudur. Bunlar mevzuatın 6. Maddesinde sayılmıştır. İlgili maddenin ilk fıkrası, yukarıda özel nitelikli kişisel veriler ele alınırken incelenmişti. İlgili maddenin ikinci fıkrası ise, ilk fıkra ile işlenmesi yasaklanan özel nitelikli kişisel verilerin işlenebilme şartlarını ele almıştır. Bunlar sırasıyla:

  • İlgili kişinin açık rızasının bulunması
  • Kanunlarda açıkça öngörülmesi
  • Siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verilerin işlenmesi
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması
  • Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenmesi
  • Hangi durumda kişilerin açık rızası alınmalıdır?

Verisi işlenecek kişinin rızası, kanunun birçok yerinde yer almaktadır. Özellikle kişisel verilerin işlenmesinden önce ilgili kişinin rızasının alınması gerektiği, kanunun 5. Maddesinde hüküm altına alınmıştır. Buna göre, kişinin açık rızası olmaksızın kişisel verisi işlenemeyecektir. İstisnaları söz konusu olmasına rağmen genel geçer kural olarak kişinin açık rızasının olması gerektiği söylenebilir. O kadar ki, kişinin özel nitelikli kişisel verilerinin işlenebilmesi yasaktır ancak kişinin açık rızası bulunursa bu veriler de işlenebilir. Madde madde özetlemek gerekirse:

  • Kişisel veriler: mümkün, kişinin açık rızasına tabi
  • Özel nitelikli kişisel veriler: yasak, kişinin açık rızası varsa mümkün

Kişisel verilerin işlenmesinden başka bu veriler ile ilgili yapılacak bazı işlemler, yine ilgili kişileri açık rızasına bağlı tutulmuştur. Bunlardan biri, mevzuatın 8. Maddesinde hüküm altına alınmış bulunan kişisel verilerin aktarılması işlemi ile ilgilidir. İlgili maddede kişisel verilerin, kişinin açık rızası olmaksızın üçüncü kişilere ve yurtdışına aktarılmayacağını hüküm altına almaktadır. Örneklemek gerekirse, bir alışveriş merkezinde üyelik kartı başvurusunda bulunurken verdiğiniz bilgiler, açık rızanız olmadıkça başka müşterilerle, başka ülkelerdeki ve Türkiye’deki başka şirketlerle paylaşılamayacaktır. Elektronik ortamdan bir örnek de yine alışveriş yapılan sitelerde açtığınız üyelik bilgileriniz, açık rıza olmaksızın başka benzer sitelerle paylaşılamayacaktır.

  • Açık rıza nasıl anlaşılmalıdır?

Kanunda açık rızanın arandığı durumlar sayılmıştır. Ancak açık rızanın ne şekillerde olabileceği konusunda herhangi bir açıklama bulunmamaktadır. Bu “Kabul ediyorum” şeklinde bir sözlü beyan olabileceği gibi, yazılı bir beyan da olabilir. Konuyla ilgili yapılan başka bir araştırma yazısına değinmekte fayda olacaktır. Bu araştırma, kanunun gerekçesi ile yapılan atıfa istinaden şu bilgileri vermektedir:

“Tasarı’nın gerekçesinde, neyin “açık rıza” teşkil edeceği ile ilgili olarak konuyla ilgili Avrupa Birliği direktifine atıf yapılmış ve rızanın tereddüde yer bırakmayacak şekilde verilmiş olmasının yeterli olduğu belirtilmiştir. Tasarı kapsamında yalnızca, işlenmesi yasak olan “özel nitelikli verilerin” (ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançlar, dernek, vakıf ve sendika üyelikleri, sağlık, özel yaşam ve mahkûmiyetlere ilişkin veriler) işlenmesi ile ilgili olarak açık rıza yeterli görülmemiş; bu hallerde ilgili kişiden alınacak iznin yazılı olması gerektiği düzenlenmiştir. Tasarı’da ayrıca açık rıza kuralına bir istisna getirilmiş ve anonim hale getirilmesi kaydı ile kişisel verilerin araştırma, planlama ve istatistik gibi amaçlarla işlenebilmesine, üçüncü kişilere açıklanabilmesine ve yayımlanabilmesine imkan tanınmıştır.”[1]

Bu metinden anlaşıldığı üzere açık rıza, özel nitelikli kişisel verilerde farklı anlaşılmalıdır. Özel nitelikli kişisel verilerde verilecek olan rıza, mutlaka yazılı olmalıdır. Bu bir nevi şekil şartıdır. Buna uyulmaması ise şekil şartlarına uyulmamanın etkilerini meydana getirecek, verilen rızanın hükümsüz olması sonucu doğuracaktır.

  • Açık rıza gerekmeyen istisnalar hangileridir?

Bazı hallerde açık rıza aranmaz. Bunlar kanunda açıkça belirtilmiş bulunmaktadır. Bunun en belirgin örneği, kanunun 5. Maddesinin 2. Fıkrasında görülmektedir. İlk fıkra açık rıza aramaktayken ikinci fıkra ise bunun istisnalarını maddeler halinde saymıştır. Bunlara yukarıda zaten değinildiği için tekrar değinilmeyecektir. Bir istisna daha kanunun 6. Maddesinin 3. Fıkrasında belirtilmiştir. Özel nitelikli kişisel veriler ancak ilgili kişinin yazılı ve açık rızası ile birlikte işlenebilecektir ancak sağlık ve cinsel hayat dışındaki veriler kanunlarda öngörülen hallerde rıza olmaksızın ve sağlık ve cinsel hayata ilişkin veriler de kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bununla birlikte kişisel verilerin aktarılmasında da söz konusu bu iki istisna hükmü geçerli olacaktır. Yani kişisel verilerin, özel nitelikli olduğu zaman 6. Maddenin 3. Fıkrasındaki şartlara, normal oldukları halde 5. Maddenin 2. Fıkrasındaki şartlara dayanarak 3. Kişilerle paylaşılması söz konusu olabilecektir. Bu maddenin ne gibi açık kapılar bıraktığı ve ne gibi sonuçlara sebebiyet vereceğini ilerleyen günlerde göreceğiz. Bilişim Avukatı, bilişim hukuku, oyun hukuku, oyun avukatı, bilişim suçları, internet hukuku, borsa avukatı, marka avukatı, şirket avukatı, game lawyer, turkish game lawyer, sibr suçlar, hukuki danışmanlık, bilişim hukuku, bilişim suçları avukatı, sözleşme avukatı

Bu iki istisna hükmü ile birlikte bir de kişisel verilerin yurtdışına aktarılması durumunda ek koruma önlemleri getirilmiştir. 9. Maddenin 2. Fıkrası, verilerin yurtdışına aktarılmasında 5. Maddenin 2. Fıkrası ve 6. Maddenin 3. Fıkrasındaki şartlar ile birlikte verilerin aktarılacağı ülkelerde belirli şartların bulunması gerektiğini hüküm altına almıştır. Bu şartlar:

  • Yeterli koruma bulunması
  • Yeterli koruma bulunmaması durumunda ilgili yetkililerce verilecek olan yazılı koruma taahhütü ve Kurul izninin bulunması

Son olarak kanunun 28. Maddesi, istisnalar başlığı ile birlikte kanunun uygulanmayacağı durumları hüküm altına almıştır. Bu maddeye dayanarak kişisel verilerin işlenmesinin ilgili kategorilere uyması sonucunda, kişisel verilerin işlenmesinde ilgilinin rızasının bulunup bulunmadığına bakılmaz. Genel istisna, özel durumu da kapsayacak niteliktedir. Söz konusu maddede öngörülen şartlar ise şu şekildedir:

a- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

b- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

c- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. Bilişim Avukatı, bilişim hukuku, oyun hukuku, oyun avukatı, bilişim suçları, internet hukuku, borsa avukatı, marka avukatı, şirket avukatı, game lawyer, turkish game lawyer, sibr suçlar, hukuki danışmanlık, bilişim hukuku, bilişim suçları avukatı, sözleşme avukatı

d- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Bölüm 3: Haklar ve Yükümlülükler

  • Veri sorumlularının şirket içindeki görev ve sorumlulukları ne olacaktır?

Veri sorumluları, ilgili şirket bünyesinde veri işleme görevine haiz kişiler olarak anlaşılmaktadır. Bunlara veri işleme yetkilisi de denebilir. Bu kişiler, şahısların kişisel verilerini mevzuata uygun şekilde işlemekle yükümlüdür. Yükümlülükleri sadece bundan ibaret değildir. Veri sorumlusunun kişisel veri sahibine karşı yükümlülükleri olduğu gibi şirkete karşı da aynı şekilde birtakım sorumlulukları olacaktır. Bu sorumluluklar esasında kanunun 12. Maddesinde sayılmıştır. Buna göre iki kategoride incelemek yerinde olur.

  • Veri sorumlularının görevi

Veri sorumlularının görevleri, ilgili maddenin ilk fıkrasında hüküm altına alınmıştır. Buna göre veri sorumlusu öncelikle kişisel verilerin hukuka aykırı işlenmesini engellemek durumundadır. Örneğin kişinin açık rızasının gerektiği hallerde bu açık rızanın varlığını tespit etmek veri sorumlusunun görevidir. Sonra, veri sorumlusu aynı zamanda işlenen kişisel verilerin kanuna aykırı şekilde erişilmesini önlemekten sorumludur. Bu, diğer bir anlatımla uygun fiziksel ve siber güvenlik önlemlerinin alınması anlamını taşır. Kişisel verilere erişim bilgisayar ortamında olabileceği gibi veri tabanının fiziken çalınması veya veri tabanına kaynaktan erişim sağlayarak verilerin hukuka aykırı şekilde elde edilmesi durumlarını kapsar. Bunların oluşmaması için veri sorumlusunun uygun siber ve fiziksel güvenlik önlemlerini alması gerekir. Son olarak da veri sorumlusu, kişisel verilerin muhafazasından sorumludur. Kısaca veri tabanının çalışması, bakımı, onarımı ve bu kişisel verilen bu veri tabanında saklanması hususlarında veri sorumlusu görevlidir. Veri sorumlusu, yukarıda sayılan görevlerin her birini yapmak için gerekli bütün önlemleri almak için her türlü teknik ve idari işlemi yapmak zorunda kılınmıştır.

  • Veri sorumlularının şirkete karşı sorumlulukları

Veri sorumlularının görevlerinin yanında bir de şirkete karşı sorumlulukları vardır. Bunlar ilgili maddenin devamı fıkralarda belirtilmiştir. Öncelikle, veri sorumlusu ile şirket, 12. Maddenin 1. Fıkrasında yer alan önlemleri alma hususunda müşterek olarak sorumludur. Müşterek sorumluluk gereği esasında, veri sorumlusu bu önlemleri almakla görevlendirildiği için şirket, veri sorumlusunun şirkete karşı sorumluluğuna başvurabilecektir. Diğer bir deyişle, şirket, alınan önlemlerde bir eksiklik olması sebebiyle müştereken sorumlu olacağından veri sorumlusuna karşı, onun kusuru orantısında rücu hakkına sahip olacaktır. Bu, hukuk sistemindeki müşterek sorumluluğun bir sonucudur. Nitekim bu uzantı, 3. Fıkrada da pekiştirilmiştir. İlgili fıkrada veri sorumlusunun şirket dahilinde bu önlemleri almak için gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hüküm altına alınmıştır. Buradan yola çıkarak da veri sorumlusunun bu denetimleri yapmaması veya yaptırmaması sonucunda şirketin müşterek sorumluluğu da doğacak, şirket ise, bu yükümlülüğünü yerine getirmeyen veri sorumlusuna karşı kusuru sebebiyle rücu hakkı elde edecektir. Maddenin devamında veri sorumlusunun iş yerinden ayrılmış olması durumunda dahi kişisel verileri açıklamama veya paylaşmama yükümlülüğünün devam edeceği hüküm altına alınmıştır. Bu fıkradaki anlatımdan kaynaklı olarak veri sorumlusunun, şirkete ve bireylere karşı, iş akdinden bağımsız olarak devam eden bir sorumluluğu öngörülmüş bulunmaktadır.

  • Veri sorumlusunun siciline kayıt ve yapılması gereken bildirimler

Kanunun 16. Maddesi, bir veri sorumluları sicili tutulmasını hüküm altına almıştır. Bu maddenin amacı, veri sorumlularının tespiti ve bilgileri hakkında toplu bir kaynak oluşturulmasıdır. Herhangi bir problem çıkması durumunda, ilgililer bu veri sorumluları siciline bakarak ilgili sorumluları tespit edebilecek, şikayetlerini veya taleplerini bu bilgiler doğrultusunda ilgili veri sorumlularına iletebileceklerdir. Veri sorumluları, kişisel verileri işlemeye başlamadan önce veri siciline kayıt yaptırmak zorundadırlar. Ancak buna, Kurul tarafından belirli şartlar altında istisnalar getirilebileceği de hüküm altına alınmıştır.

Veri sorumlusu siciline işlenmesi gereken bazı bilgiler bulunmaktadır. Bu bilgiler kanunun 16. Maddesinin 3. Fıkrasında sayılmıştır. Buna göre:

a- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.

b- Kişisel verilerin hangi amaçla işleneceği.

c- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.

d- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.

e- Yabancı ülkelere aktarımı öngörülen kişisel veriler.

f- Kişisel veri güvenliğine ilişkin alınan tedbirler.

  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Anılan hükümdeki unsurlara dikkat edildiğinde bunlar genel olarak veri sorumlularının sınırlarını ve yapacakları kişisel veri işleme eylemlerinin neye dayanarak yapıldığını belgelemekle birlikte veri sorumlusu tarafından alınması zorunlu kılınmış tedbirlerin denetlenmesi maksadını taşır. Ayrıca bir süre unsuru bulunmaktadır. Bu azami süre, veri sorumlusunun işlediği verilerdeki amaçlarını yerine getirmeleri için gerekli olan azami süreyi temsil eder. Bu süre içinde veri sorumlusunun işlediği kişisel veri ile belirttiği amacı gerçekleştirmesi gereklidir.

  • Şirketlerin uyum ve şirket içi denetim yaptırma mükellefiyeti

Mevzuatla birlikte getirilen denetimler ve kanuna uygunluk hallerine şirketlerin geçiş dönemi içerisinde uygun hale gelmesi gereklidir. Bunun için kişisel veri işleyen şirketler öncelikle Kurul tarafından verilecek süre içinde sicile kayıt yaptırmak durumundadır. Bunun sebebi ise veri sorumlularının mevzuat gereği kontrol edilecek olmasıdır. Ayrıca kanunun yayımlanmasından önce işlenmiş olan kişisel verilerin de kanunun yayımı tarihinden itibaren iki sene içerisinde mevzuata uygun hale getirilmesi gereklidir. Bu tarih 24.03.2018 olacaktır. Halihazırda kişisel veri işlemekte olan şirketler veya şahıslar, bu tarihten önce işlemiş bulundukları kişisel verileri, mevzuatın getirdiği sınırlar ve zorunluluklar kapsamında uygun hale getirmek durumundadırlar. Aksi takdirde ise bu veriler silinecek, yok edilecek veya anonim hale getirilecektir. Fakat kanunun yayım tarihinden önce verilerin işlenmesi için ilgililerden uygun rızalar alınmışsa, bir sene içerisinde ilgili şahıs tarafından aksine bir irade beyanı olmadıkça bu veriler geçerli hale gelmiş sayılacaktır.

Özetle şirketlerin söz konusu mevzuat hükümlerine uyması gerekecektir. Bunun için öncelikle sicile kaydolmaları, daha sonrasında ellerinde işlenmiş kişisel veri varsa bunların mevzuata uygun hale getirilmesi gerekecektir. Böylece uyum süreci tamamlanmış olacaktır.

Şirket ve veri sorumlusunun müşterek sorumluluğundan kaynaklı olarak hem veri sorumlusunun hem de şirketin mevzuata uygunluğu denetlemesi gerekli olacaktır. Bunun için şirketin kendi iç denetim mekanizması bulunması gerekir. Bu, doğrudan kanun tarafından dayatılan bir zorunluluk olmayıp, dolaylı yoldan şirketlerin yapması gereken mükellefiyetler olarak nitelendirilebilir. Kanunun 12. Maddesin öngörülen güvenlik tedbirlerinin alınmaması sonucunun kanunun 18. Maddesinde Kabahat olarak düzenlenmiş olması, bu mükellefiyetin göstergesidir. Zira anılan hükümde sorumluluğunu yerine getirmeyenler hakkında para cezasına hükmedileceği açıkça belirtilmiştir. Bu sorumluluğun yerine getirilmesi için de şirketlerin, barındırdıkları tedbirleri denetlemek adına bir iç denetim mekanizması olması gerekli olacaktır.

  • Veri sorumlusuna hak sahiplerince iletilen başvuru ve şikâyetler ile tazminat taleplerinin yönetilmesi

Veri sorumlusunun hak sahiplerine karşı birtakım yükümlülükleri bulunmaktadır. Bunlar veri sorumlusu tarafından re’sen gözetilmesi gerekli hususlar olmakla birlikte, verileri işlenen kişilerin de veri sorumlularına karşı yöneltebileceği hususlar olabilmektedir. Bunun için mevzuat başvuru sistemini getirmiştir. 13. Maddede hüküm altına alınmış bulunan başvuru, verisi işlenen kişilerce doğrudan veri sorumlusuna yöneltilen talepleri düzenler. Buna göre, kişiler, yazılı olarak veya Kurul’un belirlediği diğer yöntemler ile veri sorumlusuna taleplerini iletebilecektir. Veri sorumlusu da bu talepleri 30 gün içerisinde ücretsiz olarak cevaplandırmak durumundadır. Ancak talebin yerine getirilmesi ek bir masrafı gerektiriyorsa, bu durumda kişilerden, Kurulca belirlenecek olan tarifeler doğrultusunda ücret talep edilebilecektir. Veri sorumlusu, kabulünü veya reddini gerekçeli olarak başvuru sahibine iletmekle yükümlüdür. Eğer kişiden bir ücret alındıysa ve başvurunun yerine getirilmesinden sonra bu durumun veri sorumlusunun kusurundan kaynaklı olduğu anlaşılırsa alınan ücret başvuru sahibine iade edilir. Bu sistem ile birlikte kişilerin kendi verilerinin işlenmesini takip etmeleri, bu veri işleme eylemleri ile ilgili taleplerini doğrudan veri sorumlusuna iletmesi sağlanmaktadır. Bu hususta tutulan veri sorumlusu sicil kaydı da bir veri tabanı oluşturmakta olup, kişilerin veri sorumlularına doğrudan ulaşabilmelerine hizmet etmektedir.

Kişilerin başvurusunun reddedilmesi üzerine ise başvurabilecekleri başka bir sistem daha öngörülmüştür. Bu sistem de şikayet sistemidir. Buna göre veri sorumlusunun verdiği cevabın yetersiz bulunması, süresinde yapılmamış olması veya reddetmiş olması durumunda kişiler cevabı öğrendikten 30 gün içinde ve her halde 60 gün içerisinde Kurula şikayette bulunabilecektir. Ancak kişiler, başvuru yapmaksızın şikayet yoluna gidemeyecektir. Bu, 14. Maddenin 2. Fıkrasından kaynaklanmaktadır. Aynı maddenin son fıkrası ise, başvuru sahiplerinin kişilik haklarının ihlal edilmiş olması durumunda ayrıca tazminat talep edebilmeleri yolunu açık tutmuştur.

Şikayet, şekil şartına tabidir. Yazılı olmalıdır ve 3071 sayılı kanunun 6. Maddesinde belirtilen şartları taşıması gerekir. Buna göre dilekçenin belirli bir konuya hitap etmesi, yetkili mercilere hitaben yazılması, dilekçe sahibinin adı soyadı veya ikametgah adresinin bulunması gereklidir. Bunun haricinde format içerisinde şikayette bulunan serbesttir. Şikayetin usulüne uygun olarak iletilmesi sonrasında Kurul, bu şikayeti 60 gün içerisinde cevap verir, cevap vermemesi ise ret anlamına gelecektir. Şikayet üzerine Kurul, devlet sırrı niteliğindeki bilgi ve belgeler haricindeki belgeleri veri sorumlusundan talep edebilir ve veri sorumlusu, bunları 15 gün içerisinde sağlamak durumundadır. Şikayet sonucunda ihlal tespit edilirse bu karar ilgililere tebliğ edilir ve bu karar en geç 30 gün içerisinde yerine getirilir. İlgili şikayetin yaygın olması durumunda ise Kurul bu konuda ilke kararı alma yetkisine sahiptir. Son olarak Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılığın bulunması halinde verilerin işlenmesini veya yurtdışına aktarılmasının durdurulmasına karar verebilme yetkisine sahiptir. Bu usul ve esaslar, Kurul’un şikayeti değerlendirirken uygulayacağı usuller ve esaslar olmakla birlikte tarafların da uyması gereken usul ve esaslardır.

Tazminat talepler her halde korunmaktadır. Kişilik hakları ihlal edilen kişiler, bu ihlallerden kaynaklı olan tazminat taleplerini her halde mahkeme kanalıyla ilgililere yöneltebilecektir. Bunun için ayrıca bir usul ve esas öngörülmediğinden, tazminat talepleri ilgili kanunlardaki şekliyle yöneltilecektir.

Bölüm 4: Diğer İncelemeler

  • Grup şirketler arası veri paylaşımı ve aktarımı nasıl gerçekleştirilebilir?

Grup şirketler arasındaki veri paylaşımı ve aktarımı Kişisel Verilerin Korunması Kanunu tarafından alenen düzenlenmiş bir husus değildir. Bu konuda bir çıkarıma varmak için öncelikle Türk Ticaret Kanunu nezdinde düzenlenmiş bulunan Grup Şirket kavramı üzerinde durulması gerekecektir.

Grup şirketler kavramı yeni Türk Ticaret Kanunu’nun 2. Kitap ve 1. Kısmında “şirketler topluluğu” başlığı altında madde 195 ve devamında hüküm altına alınmıştır. Bun göre şirketler topluluğu birkaç şekilde kurulabilir ancak bu kuruluş biçimleri konumuzla ilgili olmadığından burada bunlara değinilmeyecektir. Anlamamız gereken tek kavram, grup şirketlerin aralarında iş ilişkileri çerçevesinde bir birlik olduğudur. Uygulamada bu şirketler topluluğu Holding adı altında geçer. Bunların yasal sorumlulukları ise konumuzla bağlantılı olduğundan inceleme konusudur.

Holdingler kabaca birtakım farklı hizmet sınıflarında seyreden şirketlerin toplandığı çatı şirkete verilen isimdir. Holdingler, himayesi altında bulunan şirketlerle TTK nezdinde şirketler topluluğunun oluşabilmesi için öngörülen yollardan biri vasıtasıyla ilişki içerisindedir. Bu organik bağ gereği esasında holding himayesi altında bulunan ve veri işleyen bir şirketin bu verileri holding bünyesinde bulunan diğer şirketlere veya doğrudan holdinge aktarılmasında izlenilmesi gereken yollar değerlendirilmelidir.

  • Bulut çözümü kullanan şirketlerin alması gereken tedbirler nelerdir?

Bu hususun değerlendirilmesi için öncelikle bulut sisteminin açıklanması gerekmektedir. Çağımızın teknolojik gelişmeleri doğrultusunda bilgilerin ve belgelerin tek bir çatı altında toplanması ve yetkili kişilerce gerekli olduğu takdirde erişilebilmesi adına bulut sistemi ortaya çıkmıştır. Bulut sisteminin amacı, depolanması gerekli görülen bilgi ve belgelerin, yetkili kişilerce kolayca ve hızlıca erişilmesini sağlamaktır. Bu sistem genellikle depo olarak kullanılır. Bu sistemin kişisel verilerin işlenmesi konusunda nasıl entegre edileceği ilerleyen günlerde görülecektir ancak elimizdeki yasal düzenlemeler nezdinde bu gibi bir sistemin kişisel verilerin depolanması maksadıyla kullanılmasının yolları ve bu sistemin kullanılması durumunda alınması gereken tedbirler incelenmelidir.

Kişisel verileri işleyen veri sorumlusunun alması gereken tedbirler mevzuatta ele alınmıştır. Buna göre öncelikle veri sorumlusu, kişisel verilerin yetkili olmayan şahıslar tarafından erişilmesini engellemek ile mükelleftir. Bu sorumluluk o denli önemlidir ki bunun cezai yaptırımları mevcuttur. Bu bağlamda, bulut sisteminin kullanılması durumunda veri sorumlusu, öncelikle bu sisteme sadece yetkili kişilerin erişebilmesi için gerekli önlemleri almak durumundadır. Bunun için bulut sistemine giriş yapılacak olan kullanıcı ismi ve şifrenin düzenlenmesi, dağıtılması, silinmesi veya oluşturulması gibi eylemler, veri sorumlusu tarafından yapılmalıdır. Aksi halde gerekli tedbirleri almadığından yola çıkarak veri sorumlusunun cezai sorumluluğu söz konusu olabilecektir. Daha sonra veri sorumlusu, genel erişimin söz konusu olduğu kişisel verilerin de bulunduğu bulut sistemine bu verileri aktarırken aracı bir yazılım kullanarak bu verileri kriptolamak suretiyle sadece yetkili kişilerce açılabilecek şekle sokarak buluta atabilir. Sadece yetkili kişilerin erişebilmesinin güvence altına alındığı diğer yollar da bulut sistemi ile birlikte kullanılabilecektir. Diğer bir çözüm de verilerin anonim hale getirilerek buluta atılması, anonim olmayan hallerinin ise veri sorumlusu tarafından bulut harici depolanması olabilir. Anonim hale getirilen veriler, mevzuatın düzenlemesi gereği yasal sorumluluğa sebebiyet vermeyecektir.

  • Yurt dışına veri aktarımına getirilen sınırlandırmalar nelerdir?

Mevzuatın 9. Maddesi, verilerin yurtdışına aktarılması durumunda değerlendirilmesi gerekli hususları ele almıştır. Burada öncelikle yine ilgili kişinin rızasının aranması gerektiği hüküm altına alınmıştır. Bundan sonra ise kişisel verilerin yurtdışına aktarılması durumunda ilgili yabancı ülkede:

a- Yeterli korumanın bulunması,

b- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Bu durumda dahi ilgili mevzuatın yukarıda değinilmiş bulunan 5. Maddesinin ikinci fıkrası ile 6. Maddenin üçüncü fıkrasında belirtilen hususların bulunması gerekmektedir.

Sonrasında, ilgili ülkenin bu yeterliliklere sahip olduğunun belirlenmesi görevi kurula verilmiştir. Kurul da bu hususu değerlendirirken aşağıdaki kıstasları göz önünde bulunduracaktır:

a- Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b- Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c- Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç- Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d- Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

Bu hükümden sonra da Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda yurtdışına aktarımın ancak ilgili kamu kurum veya kuruluşunun görüşünü alarak Kurulun izni ile mümkün olduğu belirtilmiştir. Burada dikkat edilmesi gereken menfaat unsurunun nasıl anlaşılacağıdır. Henüz herhangi bir uygulama bulunmadığından ötürü menfaatin kapsamının veya sınırlarının ne olduğu hakkında somut bir veri elimizde mevcut değildir.

  • Şirketlerin verilerin toplanması, birleştirilmesi, analiz edilmesi ve kullanılması süreçlerini bekleyen değişiklikler nelerdir?

Kanun, verilerin işlenmesi, depolanması, muhafaza edilmesi gibi eylemleri düzenlemek maksadıyla yürürlüğe girmiştir. Bu bağlamda hali hazırda bu gibi işlemleri gerçekleştirmekte olan şirketler, belirli değişiklikler yapmak suretiyle mevzuata uyum sağlamak durumundadır.

İlk etapta veri işleyecek şirketlerin sicile kayıt yaptırması gerektiğine değinmiştik. Daha sonrasında veri sorumlusu olacak gerçek veya tüzel kişinin, gerçekleştirmesi gerekli birtakım değişiklik mevcuttur. Bunlar “Geçiş Hükümleri” başlığı altında mevzuatta belirlenmiştir. Daha sonra, ilgili kanun hükmüne göre daha önceden hali hazırda veri işleme eylemlerini gerçekleştiren şirketlerin, iki sene içerisinde, bu eylemlerinin ve işlemiş bulundukları verilerin mevzuata uygun hale gelmesinden sorumludur. Bunların mevzuata uygun hale getirilmesinde yukarıda değinilmiş bulunan kıstasların değerlendirilmesi, uygun olmayan kişisel veri işleme yöntemlerinin veya kişisel verilerin bu kıstaslara göre değiştirilmesi ve buna uygun şekilde muhafaza edilmesi gerekli olacaktır. Bu süreçte en önemli değişiklikler verilerin güvenliklerinin sağlanması ve verilerin elde edilmesi hususlarında olacaktır. Veri sorumluları iki sene içerisinde işlenen kişisel verilerin sadece yetkili kişilerce erişilebilir olması için gerekli önlemleri almak durumundadırlar. Verilerin elde edilmesi hususunda ise geçici hükümler bir düzenleme getirmiştir. Buna göre kanunun yayımı tarihinden önce hukuka uygun olmayan şekilde alınmış veriler silinir, yok edilir ancak hukuka uygun olarak alınmış rızaya istinaden işlenmiş kişisel veriler, bir sene içerisinde aksine bir irade beyanı olmadıkça kanuna uygun olarak işlenmiş sayılacaktır. Bu konuda veri sorumlusunun, hukuka uygun şekilde alınmış rızalara istinaden ek bir işlem yapması gerekmeyecektir.

Ayrıca kanunda 6 aylık bir cezasız süre öngörülmüştür. Her ne kadar uyum süreci için iki senelik bir üst sınır olsa da bunun sadece 6 aylık bir süresinde ceza sorumluluğu doğmayacaktır. Bu süreçte yapılması gerekenler şu şekilde sıralanabilir:

  • Uyum sürecinin yönetimi için bir uyum ekibi kurulmasının değerlendirilmesi ve şirketin büyüklüğü dikkate alınarak başta bilişim ve hukuk danışmanları olmak üzere, varsa risk yöneticisi ve iç denetçilerden oluşan bir ekibin oluşturulması,
  • Şirkette veri işleme faaliyetlerine ve uyuma dair bir iç denetim yapılması,
  • Yabancı ortaklı şirketler açısından grup politikaları da dikkate alınarak şirket içi ve dışı veri kullanım politikalarının belirlenmesi,
  • Şirkette veri sorumlusunun temsilcisi olarak bir veri koruması görevlisi ya da uyum görevlisinin istihdamının değerlendirilmesi ve görev tanımı ile yetkilendirmelerinin yapılması
  • Şirket organizasyon şemasının yeniden düzenlenmesi,
  • Şirket adına veri işleyen üçüncü bir kişi var ise, hak ve yükümlülüklere dair sözleşmesel bir altyapının kurulması,
  • Verinin 3. kişilere veya yurtdışına aktarılması durumunun olup olmadığının, varsa aktarım yapılan kişi ve ülkelere dair yükümlülüklerin tespiti,
  • Kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve hukuki alt yapının kurulması,
  • Şirket tarafından kullanılan başvuru formları dahil, tüm sözleşmelerin veri işleme ve aktarımı açısından incelenmesi, uyum programı çerçevesinde tadili,
  • Şirketteki üst düzey yöneticiler ile veri işleyen durumundaki operasyonel birimlerin eğitilmesi.[2]

Bu maddelerdeki hususlar uyum sürecinde uygulandığı takdirde herhangi bir ceza ile karşılaşılmayacaktır.

  • Hali hazırda AB üyesi şirketlerle ticari işbirliği yapmak isteyen şirketlerin uyması gereken standartlar nelerdir (Binding Corporate Rules)?

Mevzuat, AB direktifleri ile uygun şekilde kişisel verilerin korunmasını sağlamak adına oluşturulmuştur. Binding Corporat Rules (BRC) ise çok milletli şirketlerin kendi içerisinde uygulanmak üzerine oluşturdukları ve onların, uluslararası veri transferi hususunda belirledikleri kurallar bütününe verilen isimdir. Bizim konumuzla ilişkili olarak ise AB üyesi şirketlerle ticari işbirliği yapmak isteyen şirketlerin, mevzuat çerçevesinde bu tarz bir kurallar bütününe dahil olabilmesi için gerekli standartlar incelenecektir.

Öncelikle mevzuat, kişisel verilerin işlenmesi hususlarında direktifler doğrultusunda belirli bir düzeyde güvenliğin sağlanması amacını taşır. Bu bağlamda belirlenen çerçeve koruma önlemlerine uyum sağlanması, AB standartlarına uyum aşamasında ilk adım olarak görülmelidir. Yani öncelikle mevzuata uygun hale getirilmelidir kişisel veriler ve bunların işlenmesi. Sonrasında ise, BCR gereği öngörülmüş diğer hususlar, mevzuat ile uygun oldukları ölçüde uygulanabilir nitelikte olacaktır. BCR’lerin bulundurması gereken üç unsur vardır. Bunlar, gizlilik hükümleri, kuralların uygulanabilir kılınması için gerekli araçlar ve BCR’nin bağlayıcı olduğunu beyan eden unsurlar şeklinde üç maddeden oluşmaktadır. Bunların bulunduğu BCR’ler geçerli olacak ve mevzuat ile uygun olduğu ölçüde uygulanabilir olacaktır. Bu bağlamda öncelikle bu ticari işbirliğini gerçekleştirmek isteyen şirketin, mevzuata uygun hale gelmesi, daha sonrasında da BCR’lerle öngörülen standartları gerçekleştirmesi gerekecektir. Mevzuata uygunluk açısından öngörülen standartlar yukarıda belirtilmiştir.

Bölüm 5: İdari ve Cezai Yaptırımlar

  • Kanun ile öngörülen idari ve cezai yaptırımlar nelerdir?

Kanunun beşinci bölümü, suçlar ve kabahatler başlığı altında idari ve cezai yaptırımları düzenlemiştir. 17. Maddede öncelikle suçlar ele alınmıştır. Buna göre kişisel verilere ilişkin suçlarda 5237 sayılı Türk Ceza Kanunu’nun 135. İle 140. Maddeleri arası maddeler uygulanacaktır. Bunlar genel olarak kişisel verilerin kaydedilmesi, bunların hukuka aykırı şekilde elde edilmesi hususlarını düzenleyen maddelerdir. Daha sonra mevzuat, 17. Maddesinin ikinci fıkrasında yine bu kanunun 7. Maddesine aykırı şekilde kişisel verileri silmeyen veya anonim hale getirmeyenler hakkında TCK’nın 138. Maddesinin uygulanacağını hüküm altına almıştır.

Mevzuat aynı zamanda 18. Maddesinde de kabahatler hüküm altına alınmıştır. Bu maddenin ilk fıkrasında yukarıda belirttiğimiz yükümlülüklere uyulması halinde belirtilen idari para cezalarına hükmedileceği düzenlenmiştir. Bunlar sırasıyla:

a- 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirası

b- 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirası

c- 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirası

d- 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirası

şeklinde düzenlenmiştir.

  • Kişisel Verilerin Korunması Kurumu’nun şirketler nezdinde gerçekleştirebileceği, denetim, soruşturma ve idari yaptırım uygulama işlemleri nelerdir?

Kanunun 19. Maddesi, Kişisel Verilerin Korunması Kurumu’nun kuruluşunu hüküm altına almıştır. Bu kurumun görevi maddede belirtildiği üzere kanunla verilen görevleri yerine getirmektir. Kurumun görevlerini düzenleyen 20. Maddede ise kurumun sırasıyla:

a- Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak.

b- İhtiyaç duyulması hâlinde, görev alanına giren konularda kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle iş birliği yapmak.

c- Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve değerlendirmek, görev alanına giren konularda uluslararası kuruluşlarla iş birliği yapmak, toplantılara katılmak.

d- Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna ve Başbakanlığa sunmak.

e- Kanunlarla verilen diğer görevleri yerine getirmek.

Olarak düzenlenmiştir. Bu bağlamda kurumun görevleri genel olarak işleyişi sağlamak amacıyla gerekli önlemleri almak, gerekli örgütlenmeleri gerçekleştirmek, gerekli işbirliklerii yapmak, gerektiği zaman Cumhurbaşkanlığına, TBMM İnsan Hakları İnceleme Komisyonuna ve Başbakanlığa raporlar sunmak ve kanunla verilen diğer görevleri yapmak olarak sadeleştirilebilir. Bilişim Avukatı, bilişim hukuku, oyun hukuku, oyun avukatı, bilişim suçları, internet hukuku, borsa avukatı, marka avukatı, şirket avukatı, game lawyer, turkish game lawyer, sibr suçlar, hukuki danışmanlık, bilişim hukuku, bilişim suçları avukatı, sözleşme avukatı