KİŞİSEL VERİLERİN KORUNMASI KANUNU

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde ifade edilen “Kişisel verilerin” korunmasına ilişkin alanı bütüncül olarak düzenleyen bir kanun, öncesinde bulunmamaktaydı ve bu nedenle bu konuya ilişkin hükümler, başta Anayasa ve Türk Ceza Kanunu olmak üzere farklı mevzuatlarda yer almaktaydı.  Ülkemizde uzun yıllardır beklenen Kişisel Verilerin Korunması Kanunu (“Kanun”) nihayetinde 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak kanunlaşmıştır. Kanun ile farklı mevzuatlarda yer alan hükümler tek bir çatı altında toplanmış olup, esas itibarıyla “kişisel verilerin” istismar edilmemesini amaçlayan Kanun ile birlikte hukuk düzenimize birçok önemli yenilik getirilmiştir.

Gerçekten de, kişisel verilerin işlenebilmesi hususunda özel bir kanun ve etkin bir denetim mekanizmasının daha önceden bulunmaması kamuoyunda olumsuz bir algının oluşmasına sebebiyet vermiş, bu sebeple bu Kanun ile birlikte kişisel verilerin belli şartlar dâhilinde işlenmesine, muhafaza edilmesine ve kontrolüne ilişkin esaslar belirlenmiştir.

Kanun ile birlikte, kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek olan Kişisel Verileri Koruma Kurumu’nun oluşturulması öngörülmüştür. Bu çerçevede, Kişisel Verileri Koruma Kurulu ve Başkanlığı oluşturulacaktır.

EUROPOL, EURO JUST sistemleri üzerindeki veri alışverişi bu Kanun ile birlikte layıkıyla gerçekleştirilebilecektir. Aynı şekilde, sağlık kuruluşlarında hastalara ilişkin çok sayıda özel nitelikli verinin işlenmesi ve korunması yine bu Kanun sayesinde olacaktır.

Bu Kanun, ekonomik açıdan da yabancı yatırımcıların Türkiye’deki yatırımlarının etkin bir şekilde yönetilebilmesi için de gereklidir. Şöyle ki, yabancı sermayenin ihtiyaç duyduğu veri aktarımı, bu Kanun ile birlikte gerçekleşebilecek ve yatırımcıların ihtiyaç duydukları veri aktarımında sorunlar artık yaşanmayacaktır.

Bu Kanun ile birlikte kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecektir. Ancak, Kanun’un 5. maddesinde ilgili kişinin açık rızası aranmaksızın kişisel verinin işlenebilmesine olanak sağlayabilecek koşullar öngörülmüştür. Bu koşullar aşağıda sıralanmıştır:

  • Kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Bu koşullardan en az birinin varlığı halinde ilgili kişinin açık rızası aranmayacak ve kişisel verileri işlenebilecektir.

Öte yandan, Kanun’da açık rızanın aranmadığı haller için Kanun’un 28. Maddesinde bazı istisnalar sayılmıştır. Bu istisnalar aşağıda belirtilmiştir:

  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Bu Kanun’un yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir, Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.

Ayrıca, her ne kadar hâlihazırda bir Kanun mevcut olsa da, bu Kanun’un uygulanması ancak yönetmeliklerle birlikte ortaya konulacağından ve bunun için de Kişisel Verileri Koruma Kurumu’nun oluşturulması gerektiğinden uygulama açısından ilgili yönetmelik veya yönetmeliklerin çıkarılması gerekmektedir. Zira uygulama, Kurumun vereceği kararlar ve bunun neticesinde de veri sorumluluğu sicil mekanizmasının kurulması ile ortaya çıkacaktır. Bu mevzuat ile birlikte “veri sorumlusu” olarak yeni bir iş alanı doğacaktır.