Makale Sahibi: İ.Kudret Elçiboğa

FRAUD VE CHARGEBACK UZMANI

Kişisel Verilerin Korunması Kanunu

Kişisel verilerin Korunması Kanunu 24 Mart 2016 tarihinde Türkiye Büyük Millet Meclisi Genel Kurulu’nda kabul edilerek 7 Nisan 2016 tarihinde Resmi Gazete ’de yayınlandı ve bu tarih itibariyle yürürlüğe girdi. Kanun genel olarak kişisel verileri işleyen tüm gerçek ve tüzel kişileri kapsamına almaktadır. 7 Nisan 2016 tarihi itibariyle veri işlemeye ilişkin kurallar yürürlüğe girdi. 7 Ekim 2016 tarihinde üçüncü kişilere ve yurtdışına aktarım, veri sorumlusuna başvuru, kurula şikâyet, veri sorumluları sicili ve yaptırımlara ilişkin maddeler yürürlüğe girecek. 7 Nisan 2017’ye kadar Kanun’da öngörülen yönetmelikler yayınlanarak yürürlüğe girecek. 7 Nisan 2018’e kadar daha önce işlenen kişisel veriler Tasarı ile uyumlu hale getirilecek.
Kimliği belirli ve ya belirlenebilir gerçek kişilere ilişkin her türlü bilgi kişisel veri olarak adlandırılmaktadır. Kişiyi doğrudan belirli veya belirlenebilir kılan isim-soy isim, TC Kimlik Numarası, Pasaport Numarası, IP adresi, telefon numarası, resim, video ve ses kayıtları, parmak izleri, özgeçmiş, e-posta adresi gibi verilerin yanı sıra hobiler, tercih ve beğeniler, fiziksel özellikler, gezinti alışkanlıkları gibi veriler de kişisel veri olarak kabul edilmektedir. Bu verilerin elde edilmesi, kaydedilmesi, muhafaza edilmesi ve aktarılması kişisel verilerin işlenmesi olarak kabul edilmektedir.

Kullanıcılarının kişisel verilerini toplayan kendisi işleyen web siteleri örneğinden gidersek, burada web sitesi hem veri sorumlusu hem de veri işleyendir. Web sitesi; veri sorumlusu olarak kişisel verilerin işlenmesi amacını belirleyen ve kayıt sisteminden sorumludur. Eğer web sitesi veriyi kendi işlemez ve örneğin bulut bilişim hizmet sağlayıcı aracılığı ile işlerse, o takdirde veri sorumlusu web sitesi ve Veri işleyen ise web sitesinin yetki verdiği bulut bilişim hizmet sağlayıcı olur.

Kişisel verilerin korunması kanununda kişisel verilerin ne zaman işleneceği ve kişisel verilerin işlenmesinde uyulacak kurallar belirlenmiştir. Ayrıca bu kanundaki yükümlülüklere uyulmadığı takdirde ne tür yaptırımlar uygulanacağı, suç veya kabahatin tanımı yapılmıştır. Öngörülen yaptırımlar suç veya kabahatin tanımına göre 5000 TL ile 1.000.000 TL arasında idari para cezası veya 1 yıldan 4 yıla kadar hapis cezası olarak belirlenmiştir.

Kanunda yer alan önemli başlıklar aşağıdaki gibidir.

§  Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamayacak, ancak kanunda belirtilen özel şartlardan birinin bulunması halinde açık rıza aranmadan aktarılabilecek.

§  Herkes, kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenebilecek. Kişisel verileri işlenmişse buna ilişkin bilgi talep edebilecek. Kişisel verilerin aktarıldığı üçüncü kişileri bilebilecek.

§  Kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini, silinmesini veya yok edilmesini talep edebilecek. Bu verilerin ilgili kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini isteyebilecek.

§  Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemekle yükümlü olacak. Veri sorumlusu ayrıca, bu verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alacak.

§  Yasanın veri sorumlusuna başvuru şekline ilişkin maddeye göre, ilgili kişi taleplerini veri sorumlusuna iletecek. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandıracak.

§  Başvurusu reddedilen kişi, cevabı öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde yönetmelik kapsamında oluşturulacak Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilecek. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı olacak. Yasaya göre, altı ay içinde, yasayla belirlenen usul kapsamında Kişisel Verileri Koruma Kurulu üyeleri seçilecek ve Başkanlık teşkilatı oluşturulacak.

§  Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak kurulun izniyle yurt dışına aktarılabilecek.

Şirketler için kişisel verilerden katma değer yaratmanın her gün yeni yöntemleri ve projeleri piyasaya sunulurken, şirketler açısından kişisel verilere temas edileceği öngörülen projelerde bu kanun kapsamında kişisel verilerin hangi kaynaklardan elde edildiği, projede hangi kişisel verilere ihtiyaç olduğu ve bunun dışında ihtiyaç olmayan verilerin elde edilip edilmediği, tüm bu süreçlerde mevcut kurallara uyulup uyulmadığı çok büyük önem kazanmış durumdadır.

Yukarıda detaylarını belirttiğim tüm bu sebeplerle kişisel verilerin korunması konusu şirketler için devamlılık gösteren bir uygunluk süreci haline getirilmelidir.

Yazının orijinal linki:

Fraud and ChargeBack Uzmanı – İ.Kudret ELÇİBOĞA tarafından kaleme alınan“ Kişisel Verilerin Korunması Kanunu” başlıklı makalenin tüm hakları yazarına aittir. Bilirkişi.Net yazardan aldığı özel izinle bu makaleyi yayınlamaktadır. Bu makale 5846 sayılı Fikir ve Sanat Eserleri Yasası kapsamında korunmaktadır.