Dünya çapında küresel bir ağın oluşması, kullanılan ve üretilen bilgilerle birlikte kişisel verilerin başka kişilerin eline geçmesi riskini arttırmıştır. Özellikle internetin hayatımızın her alanında yer alması sebebiyle banka bilgileri, iş bilgileri gibi gerçek kişiye ilişkin her türlü bilgiler anlık olarak depolanmakta ve kötü niyetli üçüncü kişilerin kolayca erişmesine sebep olmaktadır bu yüzden  kişisel verilerin dijital ortamdan gelen tehditlere ve saldırılara karşı korunması için bilgi güvenliği oldukça önemlidir.

Bir çok uluslararası anlaşmalarda temel hak olarak düzenlenen kişisel verilerin korunması kavramı bizim mevzuatımıza 24 Mart 2016 tarihinde Kişisel Verilerin Korunması Kanun’u (Kanun) ile girmiştir.

Kanun, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi kişisel veri sayarken bir takım kişisel verileri de özel nitelikli kişisel veri olarak tanımlamıştır. Bu kapsamda kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri sayarken, bu verilerin kişilerin açıkça rızası olmadan işlenmesini yasaklayıp belirli şartlara bağlamıştır.

Kişisel veriler;

  • Hukuka ve dürüstlük kurallarına uygun,
  • Doğru ve güncel,
  • Belirli, açık ve meşru bir amaca yönelik,
  • Sınırlı ve ölçülü olarak işlenmekle beraber gerekli süre kadar işlenip muhafaza edilebilir.

Gerçek bir kişinin, kişisel veri sınıfına giren bilgilerinin kısmen elde edilmesi veya tamamen elde edilmesi, otomatik olarak veya otomatik olmayan yollarla elde edilmesi, bu bilgilerin/verilerin toplanması, kaydedilmesi, saklanması, herhangi bir yolla değiştirilmesi, yurtiçi veya yurtdışında başka bir yere aktarılması, ifşa edilmesi ve benzeri şekilde yapılan tüm işlemler kişisel verilerin işlenmesi tanımına girmektedir.

Kanun uyarınca, kişisel veriler, yalnızca Kanun’da sınırlı olarak belirtilen istisnai hallerde ilgili kişinin açık rızası olmadan işlenebilmektedir. Bu haller; Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına  hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarını kapsamaktadır. Eğer bu sebepler ortadan kalkarsa, söz konusu kişisel verilerin yok edilmesi gerekmektedir. Bu haller haricinde açık rıza olmaksızın işlenmesine imkan bulunmamaktadır.

Açık rıza, bilgilendirmeye dayanan, Kanun’un 10.maddesinde veri sorumlusuna yüklenen aydınlatma yükümlülüğü ile bağdaşmaktadır. Bu kapsamda veri sorumlusu, ilgili kişiyi verilerinin ne amaçla kullanılacağı, ne kadar süre muhafaza edileceği ve yapılacak diğer tüm işlemler (değiştirme, aktarma, verilere ulaşımı engelleme vs.) ile ilgili bilgilendirmelidir. Bu bilgilendirmenin sonunda ilgili kişinin vereceği rıza, açık rıza kapsamına girecektir.

Ayrıca açık rızanın özgür iradeyle verilmesi, yani herhangi bir aldatma, hile, baskı ve hukuken kişinin verdiği rızayı geçersiz kılacak herhangi bir haksız eylem sonucunda vermemiş olması gerekmektedir. Kişisel veriler kapsamında bakıldığında açık rızayı, kişinin hiçbir sosyal, finansal vs. baskı altında kalmadan rıza göstermesi gerektiği şeklinde yorumlanabilmektedir.

Bu kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hale getirilmelidir, getirilmediği takdirde derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kanun’un 16. maddesinde (‘’Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur‘’ ) yer alan Veri Sorumluları Sicili Nedir?

Madde’de söz edilen sistem VERBİS adıyla Kişisel Verileri Koruma Kurumu Başkanlığı tarafından hazırlanmaktadır ve önümüzdeki aylarda kamu hizmetine açılacaktır. Kişisel verileri işleyen gerçek veya tüzel kişilerin, yukarıda da bahsettiğimiz hangi kişisel verilerin işlendiği, kimlerin kişisel verilerin işlendiği, nereye aktarıldığı, ne kadar muhafaza edildiği, kişisel veri işlenmesindeki hukuki sebebi belirttiği, internet üzerinden doldurabilen form şeklinde bir sistem olacağı bilinmektedir. VERBİS sistemine şuana kadar kişisel verileri işlemiş ve işlemekte olan gerçek ve tüzel kişiler kaydolmakla yükümlüdür ve eğer kişisel verilerin işlenmesinde Kanun’a uygun olmayan bir işlem yapılıyor ise değiştirilmekle yükümlü olacaklardır.

Kanunun 16. maddesine göre; kişisel veri işleyen gerçek ve tüzel kişiler, kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda olacaktır.

VERBİS’e kayıtta istisnalar mevcuttur…

Kanun uyarınca istisna sınıfına giren veri sorumlularının kişisel veri işlenmesi halinde VERBİS sistemine kayıt zorunluluğu yoktur. Bu istisnalara örnek olarak;  işlenen kişisel verinin işlemesinin kanundan kaynaklanması, kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi durumu, kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi, kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi, Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini koruma amaçlı faaliyetler kapsamında işlenmesi, kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları tarafından işlenmesi, kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması yüzünden işlenmesi gibi hallerde Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilmektedir.

Kanun’a uyulmazsa cezalar…

Kanun uyarınca kişisel verilere ilişkin işlenmiş suçlar Türk Ceza Kanunu (“TCK”)  135 ila 140. maddeleri hükümlerine bağlanmıştır. Kanunun kişisel verilerin silinmesini veya anonim hale getirilmesini hüküm kıldığı hallerde bunlara uymayan veri sorumluları veya işleyicileri yine TCK Madde 138’e göre cezalandırılır.

Kişisel verilerin işlenmesinde, kabahatler kapsamında bakıldığında Veri sorumlusunun veya veri işleyenlerin;

  1. Aydınlatma yükümlülüğüne uymadığı hallerde 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  2. Veri güvenliğine ilişkin yükümlülüklerini yerine getirmedikleri hallerde hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  3. Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar ve
  4. Veri Sorumluları Sicili’ne (VERBİS) kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.