bg-img.jpg

HABERLER & ETKINLIKLER

Home News and Events

BİLGİ ALMAK İÇİN

KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA - Dr. Av. Çiğdem Ayözger

Kişisel Verilerin Korunması Kanunu Hakkında – Dr. Av. Çiğdem Ayözger Anlatıyor.

Kişisel Verilerin Korunması Kanunu'na uyumlu musunuz? Peki, risklerinizi biliyor musunuz? Uyum için pratik çözümleriniz var mı?

Düzenlemenin Getirdikleri

«Veri/Data» ham gerçek enformasyon parçacığına verilen addır.

«Kişisel Veri» ise kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. Kanun 7 Nisan 2016’da yürürlüğe girmiş olup geçtiğimiz haftalarda Kurul’un tamamen belirlenmesiyle pratikte de Kurumun düzenlemeleri ve denetimleri ile de karşılaşılmaya başlanacaktır.

Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması gerekmektedir:

  • Hukuka dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuattaki veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,

Kişisel Veriler düşünüldüğünde ilk akla “müşteri verileri” gelmektedir. Ancak sadece müşteri verileri değil, çalışanlarınızın verileri yani HR verileri, out-source ettiğiniz ya da size out-source edilen hizmetlerde kullanılan kişisel veriler ile yurt içine ya da dışına transfer edilen her türlü kişisel veriler bu kanuna tabidir. Yani aslında Kanuna uyum için sanıldığından çok daha fazla veri grubu için uyum politikası uygulanmalıdır.

Kişisel Verilerin İşlenme Şartları

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak rıza aranan hallerin aşağıdaki istisnaları bulunmaktadır:

  • Kanunlarda açıkça öngörülmesi,
  • Kişinin rızasını açıklayamayacak durumda bulunması veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin yerine getirilmesi için sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, örn: araç kiralama hizmetinin verilmesi için kişisel verinin işlenmesi halinde rıza gerekmez
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, örn: araç için sigortanın müşteri adına yapılmasının gerekmesi durumunda,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın kullanılması veya korunması için veri işlemenin zorunlu olması,

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Kişisel Verilerin Transferi

Kişisel veriler, ilgili kişinin açık rızası olmaksızın transfer edilemez. Ancak yukarıda sayılan istisnalar transfer için de geçerlidir. Transfere holding veya ana şirketten iştirake yapılan transferler yani grup içi olarak adlandırılan transferler de dâhildir.

Kişisel verilerin yurtdışına transfer edilmesi durumunda ise transfer edileceği yabancı ülkede; yeterli korumanın bulunması veya veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Yeterli korumanın bulunduğu ülkeler Kurulca ayrıca belirlenecektir.

Düzenlemenin Getirdikleri

Her şirkete “Veri Sorumlusu” atama yükümlülüğü, “Veri Siciline Kayıt” yükümlülüğü getirilmektedir.

İdari Para ve Hapis Cezaları

Kanun her türlü idari ve teknik tedbirin alınmasını emretmekte olup kişisel verilere ilişkin;

  • Kanunun ihlali bakımından 1 Milyon TL’ye kadar idari para cezası,

Suçlar bakımından Türk Ceza Kanununa göre 4 yıla kadar hapis cezası uygulanacaktır. 

Uyum için Yapılması Gerekenler

Öncelikle Şirketinizde hangi tür kişisel veri olduğu tespit edilmeli, 

Verilerin saklanması, işlenmesi, saklanması, transferi ve silinmesi koşulları belirlenmeli,

Şirket çalışanlarına uyum için eğitim verilmeli,

Kişisel verilere ulaşan çalışanlar için her türlü idari ve teknik tedbirler belirlenmeli,

İdari tedbirlerin başında Yönetim Kurulu karar almalı,

Tüm iç ve dış süreçler Kanunu uyumlu olarak yeniden dizayn edilmelidir.


Av. Dr. ÇİĞDEM AYÖZGER

KURUCU/YÖNETİCİ AVUKAT

cigdem@srp-legal.com

S +90 212 401 4 401

M +90 532 210 2470

20 yıla yakın iş tecrübesi süresince toplamda 10 yıl boyunca Turkcell ve Superonline’da sırasıyla Regülasyon Statejisi Başkanı ve Hukuk ve Regülasyon Stratejilerinden Sorumlu Genel Müdür Yardımcısı görevlerini yürütürken Kişisel Verilerin Korunması Hukuku konusunda pratikte de çalışmıştır. Kişisel Veilerin Korunması Kanunu Taslak aşamasında iken sırasıyla Adalet Bakanlığında ve TBMM’de Turkcell Grubun Sözcülüğü görevini yürütmüştür.

Ayrıca AB ve Türk Özel Hukukunda Kişisel Verilerin Korunması Konusunda karşılaştırmalı Doktorası ve bu konuda yayınlanmış kitabı bulunmaktadır.

Ayözger kurucusu olduğu SRP-Legal ile müşterilerine “Eşsiz Müşteri Deneyimi” sağlamayı hedeflemektedir. SRP-Legal Ticaret/E-Ticaret, Rekabet, Kurumsal, Veri Koruması, Finans, Teknoloji, Medya, Komünikasyon Hukuku konularında hukuk ve regülasyon danışmanlık hizmeti vermektedir. Ayrıca yüksek seviyede regüle edilen pazarlarda Ankara’daki “kamu politikası” konularında da danışmanlık vermektedir.

Topics: News