Kişisel Verilerin Korunması
Bilgi sistemlerinin vazgeçilmez ögesi bilgidir. Bu bilgilerin büyük bir çoğunluğu da kişilerle ilgilidir. Çünkü bilgiyi değerli kılan kişilerle olan ilgisidir. Şirketlerin ya da kurumların amaç ve ihtiyaçlarına göre bilgileri analiz etmesi, raporlaması ve sonuçlar çıkartması vazgeçilemez işlerdendir.
Teknik kurallara göre gerçekleştirilen bu işlemlerde bazen gözden kaçırılan bazı kurallar vardır. Hukuk kuralları. Bu kurallar elbette bilgisayarları bağlamaz ama kullanıcısını ve yazılımcısını bağlar. Bilgilerin yani bilgisayarcıların yaygın deyimi ile verilerin işlenmesinin teknolojik olarak sınırı olmasa da kullananları bağlayan hukuki sınırlamalar vardır. Ve bu sınırlara uymayanlara ise gerek hürriyeti bağlayıcı ceza yani hapis cezası ya da adli para cezası verilebilmektedir.
Kişisel Verilerin Korunması Kanunu
Kişilere ait verilerin işlenmesi için konulan sınırlamalar mevzuatımızda uzun süredir var. 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile düzenleme daha önceden yapılmış düzenlemelerde kalan boşluklar tamamlanmış ve bir yapı inşa edilmiştir. Öncelikle tanımlar yapılarak yargı kararlarında ortaya çıkan ve çıkabilecek tutarsızlıkların önüne geçilmiştir.
Kişisel Verilerin Korunması Kanunu
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak; işlenmesi, verilerle ilgili yapılan tüm işlemler, ilgili kişi de kişisel verisi işlenen gerçek kişi; kişisel verilerin toplanmasına karar veren ve yöneten de veri sorumlusu olarak tanımlanmıştır. Şirketlere ya da kurumlara ait veriler bu kanun kapsamı dışında bırakılmıştır.
Kişisel Verileri Koruma Kurulu ve Kurumu
KVKK ile kişisel verileri işleyenler için bir denetim mekanizması getirildi. Buna göre Kişisel Verileri Koruma Kurulu kuruldu ve kurulun çıkartacağı yönetmeliklerle kişisel verilerin işlenmesi konusunda uyulacak kurallar belirlenecek. Kurul ve Başkanlığın eklenmesi ile Kişisel Verileri Koruma Kurumu kuruldu. Kurul üyelerin seçilmesi süreci tamamlanarak Prof. Dr. Faruk Bilir Kurul ve Kurum başkanlığına seçildi. Kurul tarafından yönetmelik taslakları yayınlandı ve kamuoyu görüşü toplandı. 28 Ekim 2017 tarihinde Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkındaki Yönetmelik Resmi Gazete’de yayınlandı. Yönetmelik 1 Ocak 2018 tarihinde yürürlüğe girecek.
Veri Sorumlusu – İlgili Kişi
Kişisel Verilerin Korunması Kanunu, veri sorumlusu ve ilgili kişi olarak tanımladığı taraflar arasındaki hukuki ilişkiyi düzenlemektedir. Veri sorumlusu kişisel verileri işleyen,işlenen kişisel verilerin ilgili olduğu kişi de ilgili kişi olarak tanımlanmıştır.
Veri Sorumluları Sicili
Kanunun öngördüğü işleyişe göre kişisel verileri işleyenler kişisel verileri toplamaya başlamadan Veri Sorumluları Sicili (VERBİS)’ne kayıt olmak zorundalar. Ancak kayıt olduktan sonra veri toplama aşamasına geçilebilir. Verisi toplanacak kişinin izin verdiği kapsam ve hakları konusunda yeterli düzeyde bilgilendirilmesi gerekir. Bilgilendirmede içeriğinde verinin toplanmasının hukuki dayanağı, ne tür işlemler yapılacağı ve kimlerle paylaşılacağı yer almalıdır. İlgili kişinin verdiği onayın kapsamının değişmesi durumunda onayın tekrar alınması gerekir. Verilen onayın ispat yükü veri toplayana aittir.
Geçiş Süreci
Kanunun yürürlüğe girmesinden önce sistemlerde saklanan verilerin durumu için bir geçiş süreci öngörülmüştür. Buna göre 7 Nisan 2016’dan önce toplanan verilerin kanuna uygun hale getirilmesi için iki yıllık bir süre öngörülmüştür. Yalnız unutulmaması gereken bu süre hukuka aykırı elde edilmiş veriler için geçerli değildir. Yani kişinin haberi olmadan toplanan veya başkalarından elde edilen veriler Türk Ceza Kanunu’ndaki 135-138 maddeleri açısından suçtur ve bu veriler için geçiş süreci yoktur.
7 Nisan 2016’dan önce alınan onayları kanundaki şartlara uymayan veriler için ise ilgili kişi bir yıl içinde onayını geri almazsa kanuna göre onaylanmış sayılacaklar. 7 Nisan ile 6 Ekim arasında toplanan verilerin kanuna uygun şekilde toplanmış olması gerekir. Her ne kadar bu veriler için kurulca bir ceza verilemeyecek olsa da ilgili kişilerin hakları saklıdır.
Kişisel Verilerin Aktarılması (Paylaşılması)
Veri sorumlusunun kişisel verileri başkaları ile paylaşması durumunda müşterek sorumluluk devreye girmektedir. Bu durumda verileri işlemesi için verilenin yaptıklarından kusuru olmasa bile sorumludur. Ayrıca kendi bünyesinde verilerin korunmasına göstermesi gereken özenin aynısının verileri paylaştığı tarafça da gösterilmesinden sorumludur.
Yurt dışına yapılan veri transferleri de ayrıca düzenlenmiştir. Bu transferlerin yapılabilmesi için transfer yapılacak ülkenin Kurul’un izin verdiği ülkelerden olması gerekir.
İlgili Kişinin Hak Araması
Kişilerin haklarını araması da bir prosedüre bağlanmıştır. Buna göre ilgili kişi haklarını kullanmak için öncelikle veri sorumlusuna başvurmalıdır. Veri sorumlusunun en geç 30 gün içinde cevap vermemesi ya da verilen cevabın tatminkâr olmaması durumunda Kurul’a başvurabilir.
Cezalar
Kurul incelemesinin ardından veri sorumlusunu haksız bulması durumunda olay başına 5.000 – 100.000 TL arası idari para cezası verebilir. Ayrıca veri sorumlusunun yükümlülüklerini yerine getirmemesi durumunda da 1.000.000 TL’ye kadar para cezası verilebilir.
Kurul’un uygulayacağı adli para cezalarının dışında kanuna uymamanın hapis cezası öngören TCK maddeleri de uygulanabilir. Ayrıca kişiler uğradıkları maddi ve manevi zararın tazminini talep edebilirler.
KVKK en çok bilgi teknolojileri departmanlarını ilgilendirecektir. Kişisel verilerin elde edilme yöntemlerinden ve onay işleminden başlayarak silinmesine kadar kimlerle hangi verilerin paylaşıldığı, paylaşılan şirketlerin güvenliğe verdiği önem gibi bilgiler gibi detaylar tüm süreç boyunca kayıt altına alınmak zorunda.
Kişisel Verilerin Silinmesi
En önemli sorunlardan biri de kişisel verinin işlenme şartlarının ortadan kalktığının tespiti ve bu verilerin silinmesi ya da anonimleştirilmesi. Tüm süreçlerin silinen verilerin yol açabileceği sorunlara karşı dayanıklı olması gerekecektir.
Farkındalık
Kurumların kişisel verilerle ilgili işleri olan her birimin kanunun getirdikleri konusunda bir farkındalığa sahip olmaları gerekecektir. Bundan sonra yapılacak yeni projelerin yeni durumu göz önüne alınarak planlanması gerekecek. Mağazalarda ya da şubelerde müşteri ile doğrudan muhatap olan çalışanların söylediklerine ve taahhütlerine daha çok dikkat etmeleri gerekecek. Aynı şekilde kurumun kendi çalışanlarının da kişisel verilerine aynı ihtimamı göstermesi gerekecek. Performansa bağlı hesaplamaların çalışanlara anlatılması ve itirazlarının dinlenilmesi gerekecek.
Kanunun getirdiği değişiklikler bir anlamda yeni bir veri işleme düzenidir. Bu düzene uymamanın cezası da çok ağır olabilir. İlk yapılması gereken şey de kanunu iyi bilmek ve doğru şekilde uyum sağlamaktır.