Kişisel Verilerin Korunması Kanun Tasarısı 24 Mart 2014’te TBMM’de görüşülüp yasalaşmasının ardından 7 Nisan 2016’da Cumhurbaşkanı’nın onayıyla 6698 sayılı kanun olarak Resmi Gazetede yayınlanmasıyla yürürlüğe girdi. Bu kanunun çıkmasından önce kişisel verilerin korunması başta Anayasa olmak üzere Türk Medeni Kanunu, Türk Ceza Kanunu, Elektronik Haberleşme Kanunu, Elektronik Ticaret Kanunu, Türk Ticaret Kanunu, Bankacılık Kanununun ilgili maddelerinde de yer almaktaydı.
‍
Otoritelerin on yılı aşkın süredir gündemde olduğunu bildirdiği kişisel verilerin korunması kanunu, Türkiye Cumhuriyeti’nin Avrupa Birliği müktesebatına uyumluluk kapsamında atması gereken adımlardan biri olarak görülmektedir. Avrupa Birliği vize serbestisi sürecinde AB’nin Veri Koruma Yönergesi olan Data Protection Directive 95/46/EC’ye uyum sağlanması beklentisi bulunurken, kanun AB yönergesine uyum konusunda büyük adımlar atsa da hala düzenlenmesi gereken maddeler olduğu belirtilmektedir.
‍
Kanunda kişisel verilerin işlenmesi koşullarıyla birlikte kanunu uygulamakla sorumlu merkezi Ankara olan Kişisel Verilerin Korunması Kurumunun kurulması, kadrosu, görev ve sorumlulukları, çalışma koşulları tanımlanmıştır. Ayrıca, kuruluşların kişisel verilerin korunması ilgili süreçlerini yönetebilmesi için her kuruluşun bir veri sorumlusu ataması yapması ve veri kayıt sistemi kurması talep edilmektedir. Kişisel verilerin korunması kanunun yayım tarihinden (7 Nisan 2016) önce işlenen kişisel verilerin, bu tarihten itibaren 2 yıl içinde kanunun hükümlerine uygun hale getirilmesi istenmektedir. Kişisel verilerin korunması kanunun yayın tarihinden sonra işlenen veriler için ise herhangi erteleme bulunmamasıyla birlikte, kanunun 32. maddesinde hükümler ve haklara ilişkin tanımlanan maddelerin yayım tarihinden 6 ay sonra yürürlüğe girmesinin belirtilmesiyle kanunun uygulanabilirliğin 7 Ekim 2016’dan itibaren olacağını aktarabiliriz.

Kişisel verilerin korunması kanunu veri işleyen gerçek ve tüzel kişilerin (kamu kurum ve kuruluşları kapsam dışındadır) yükümlülüklerini belirlemenin yanı sıra verilerin işlenmesine yönelik düzenlemeler getirmektedir. Kanunun amacı ise kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak olarak açıklanmaktadır.

Kişisel veri; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Örneğin T.C. kimlik numarası, cinsiyet, elektronik posta adresi, fotoğraf, özgeçmiş, adres vb.
‍Özel nitelikli kişisel veri; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık veya kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler olarak belirtilmektedir.
‍Kişisel verilerin işlenmesi; Yukarıda bahsedilen verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi tanımlamaktadır.

Bir örnek verecek olursak; personellerinizden işe giriş sürecinde adli sicil kaydı istemeniz ve bunları muhafaza etmeniz özel nitelikli kişisel verinin işlenmesidir diyebiliriz. Hem kişisel veriler hem de özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Yani siz personelinizin size açık bir rızası olmaksızın onun verilerini işleyemezsiniz. Bu duruma ek olarak bazı istisnalar bulunmaktadır. Kişisel verilerin açık rıza olmadan işlenmesine olanak sağlayan koşullardan bazıları;    
• Kanunlarda açıkça öngörülmesi    
• Fiili imkansızlık nedeniyle kişinin rızasını açıklayamayacak olması    
• İlgili kişinin kendisi tarafından alenileştirilmesi (Örnek: kendisi tarafından sosyal medyada paylaşılması    
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olma

Yukarıda bahsettiğimiz örneğimize tekrar dönecek olursak kuruluşların özel nitelikli kişisel veri olan adli sicil kaydını (ceza mahkumiyeti) personelin açık rızası olmaksızın işleyebilmesi mümkündür. Çünkü 4857 sayılı İş Kanunu 75. Maddesinde “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler.” demektedir. Adli sicil kaydı da özlük dosyası kapsamındadır. Özel nitelikli kişisel veriler için ise sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

Kişisel Verileri Koruma Kurumu; Kişisel verilerin korunması kanununda verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip olarak kamu tüzel kişiliğinde bir kurum olarak kurulmuştur. Kurumun kanunla belirlenen kadrosu 195 kişiden oluşmaktadır. Bu çalışanlar arasında Kişisel Verileri Koruma Uzmanı ve Uzman Yardımcıları bulunacağı bu kişilerin Bilgisayar Mühendislerinden oluşarak gerekli hallerde kuruluşları yerinde denetleme faaliyetlerine katılmaları beklenmektedir. Kurumun karar organı Kişisel Verileri Koruma Kuruludur. Kurul 9 üyeden oluşmakta ve bunların beş üyesi TBMM, iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu tarafından seçilmiştir. Kurul üyelerinin görev süresi dört yıldır ve süresi biten üye yeniden seçilebilmektedir. Kurul üyeleri özel bir kanuna dayanmadıkça, Kuruldaki resmi görevlerinin yürütülmesi dışında resmi veya özel hiçbir görev alamazlar. Ancak, Kurul üyeleri asli görevlerini aksatmayacak şekilde bilimsel amaçlı yayın yapabilir, ders ve konferans verebilir ve bunlardan doğan ücret ve hakları alabilirler. Kurulun görev ve yetkilerinden bazıları şunlardır;    
• Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikayetlerini karara bağlamak.    
• Kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.    
• Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.    
• Veri Sorumluları sicilinin tutulmasını sağlamak.    
• Bu kanunda öngörülen idari yaptırımlara karar vermek.

Veri sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade etmektedir. Veri sorumlusu;    
• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek.    
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek.    
• Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Kişisel Verilerin Korunması kanunu gereğince, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi beklenmektedir.

Kişisel veriler kişinin açık rızası olmaksızın aktarılamaz, yurt dışına çıkarılamazlar. Belirtilen bu duruma yukarıda saydığımız kişisel verilerin açık rıza olmadan işlenmesine olanak tanıyan bazı koşullar istisna oluşturmaktadır. İlaveten yurt dışına çıkarılmasına ilişkin istisnalar arasında;    
• Kişisel verinin aktarılacağı ülkede yeterli korumanın bulunması    
• Yeterli korumanın bulunmaması durumunda veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulunun izninin bulunması bulunmaktadır.

Yeterli korumanın bulunduğu ülkelerin Kişisel Verileri Koruma Kurulu tarafında ilan edileceği belirtilmiştir.

İlgili kişiler kişisel verilerinin işlendiğini düşündükleri kuruluşun veri sorumlusuna yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle başvurma hakkına sahiptir. Veri sorumlusu başvuruda yer alan talepleri 30 gün içinde ücretsiz şekilde sonuçlandırmakla yükümlüdür. Ayrıca işlemin bir maliyet gerektirmesi durumunda, Kurulca belirlenen ücret alınabilir. Veri sorumlusu bu başvuruyu kabul veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı veya elektronik ortamda bildirebilir. Başvurunun reddi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi halinde, ilgili kişi veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilir. Kurula şikayette bulunmadan önce başvuru yolunun tüketilmesi istenmektedir. Kişilik hakları ihlal edenlerin, genel hükümlere göre tazminat hakkı saklıdır.

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar ve talebi inceleyerek ilgililere cevap verir. şikâyet tarihinden itibaren 60 gün içinde cevap verilmezse talep reddedilmiş sayılır. Kurul yapılan inceleme neticesinde ihlalin varlığını tespit ederse, aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek tebliğ eder.

Kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunun 135 ila 140. Madde hükümleri uygulanır. İlgili kanunun 135. maddesi kişisel verilerin kaydedilmesine aykırı durumlarda kişilere 6 aydan 3 yıla kadar hapis cezası, 136. maddesi verileri hukuka aykırı olarak verme veya ele geçirme hükümlerine aykırı durumlarda 1 yıldan 4 yıla kadar hapis cezası öngörmektedir. 138. madde verileri yok edilmemesine ilişkin ihlallerde ilgili kişinin 6 aydan 1 yıla kadar hapis cezasına çarptırılmasını istemektedir. 137. madde ise suçun nitelikli olarak işlenmesi durumunda verilecek cezanın yarı oranda artırılmasını belirtmektedir.

Kişisel Verilerin Korunması Kanununun;
• 10. maddesinde belirtilen veri sorumlusu veya yetkilendirdiği kişinin ilgili kişilere aydınlatma yükümlülüğünü yerine getirmemesi durumunda 5.000 Türk Lirasından 100.000 Türk Lirasına kadar,    
• 12. maddesinde aktarılan veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,    
• 15. maddesinde Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,    
• 16. maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verilir.

Kişisel Verilerin Korunması Kanunu hükümleri aşağıdaki hallerde uygulanmaz;    
• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi    
• Kişisel verilerin anonim hale getirilerek araştırma, planlama ve istatistik gibi amaçlarla işlenmesi    
• Kişisel verilerin milli savunmayı, kamu düzenini, özel hayatın gizliliğini ve kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi    
• Kişisel verilerin milli savunmayı, kamu düzenini sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi    
• Kişisel verilerin soruşturma, kovuşturma, yargılama ve infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi

7 Nisan 2016’da yürürlüğe girerek hayatımızda yerini alan 6698 sayılı Kişisel Verileri Koruma kanunu var olan diğer ilgili yasal düzenlemeleri tamamlayan, Avrupa Birliği uyum sürecinin bir parçası olan düzenlemedir. Kanun; ilgili tanımları, kişisel verilerin işlenme şartlarını ve istisnalarını, bu kanunun uygulanmasını sağlayacak organları ile görevlerini, cezaları tanımlamıştır. Kişisel Verileri Koruma Kurumunun kurulmasının ardından yayınlanıp uygulamaya konulacak tebliğ, talimat ve yönetmelikler ile kişisel verilerin korunması konusunda hem sektörel hem daha detaylı gereksinimlerin tanımlanacağı beklenmektedir.