Kişisel verilerin korunmasına ilişkin mevcut düzenlemeler, Türk Ceza Kanunu ve elektronik haberleşme mevzuatı kapsamında yer almaktadır. 2010 yılında Türkiye Cumhuriyeti Anayasası’nın 20. maddesine eklenen bir fıkra ile, kişisel verilerin korunmasını talep etme hakkı “anayasal hak” statüsü kazanmış ve konuyla ilgili özel bir düzenleme yapılması gereği hasıl olmuştur. Bu kapsamda, 2003 yılında Avrupa Birliği’nin konuya ilişkin çerçeve düzenlemeleri esas alınarak kaleme hazırlanmış olan Kişisel Verilerin Korunması Kanunu Tasarısı’nın (“Tasarı”) yürürlüğe alınması için çalışmalar hız kazanmıştır. Tasarı çerçeve yasa niteliğinde olup, konuyla ilgili detaylı düzenlemeler yönetmelikler kapsamında getirilecektir. Tasarı kapsamında düzenlenen başlıca konular, aşağıda incelenmektedir.
1. Kişisel Veri Tanımı ve İşlemeye İlişkin İlkeler
Mevcut düzenlemelerde, kişisel verilerin ne olduğuna ilişkin herhangi bir tanım bulunmamaktadır. Tasarı’da ise kişisel veri, kimliği belirli veya belirlenebilir bir gerçek veya tüzel kişiye ait her türlü bilgi olarak tanımlanmıştır.
Tasarı kapsamında bu tanıma ek olarak, kişisel verilerin işlenmesine ilişkin temel ilkelere de yer verilmiştir. Bu ilkelerin en önemlisi, işlemeye ilişkin olarak veri sahibinin açık rızasının alınması gerekliliğidir. Tasarı’nın gerekçesinde, neyin “açık rıza” teşkil edeceği ile ilgili olarak konuyla ilgili Avrupa Birliği direktifine[1] atıf yapılmış ve rızanın tereddüde yer bırakmayacak şekilde verilmiş olmasının yeterli olduğu belirtilmiştir. Tasarı kapsamında yalnızca, işlenmesi yasak olan “özel nitelikli verilerin” (ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançlar, dernek, vakıf ve sendika üyelikleri, sağlık, özel yaşam ve mahkûmiyetlere ilişkin veriler) işlenmesi ile ilgili olarak açık rıza yeterli görülmemiş; bu hallerde ilgili kişiden alınacak iznin yazılı olması gerektiği düzenlenmiştir. Tasarı’da ayrıca açık rıza kuralına bir istisna getirilmiş ve anonim hale getirilmesi kaydı ile kişisel verilerin araştırma, planlama ve istatistik gibi amaçlarla işlenebilmesine, üçüncü kişilere açıklanabilmesine ve yayımlanabilmesine imkan tanınmıştır.
2. Veri Kütüğü Sahipleri[2] ve İşleyenlerin Yükümlülükleri
Tasarı kapsamında veri kütüğü sahipleri ve kişisel verileri işleyen taraflara başlıca aşağıdaki yükümlülükler getirilmiştir:
- Yurtdışına veri aktarımına ilişkin yükümlülükler: Tasarı’nın 14. maddesine göre, yurtdışına veri aktarımı dört koşulda söz konusu olabilecektir:
o kişilik haklarının korunması açısından verinin istendiği yabancı ülkede eşdeğer ve etkin koruma bulunması,
o verinin istendiği yabancı ülkede eşdeğer ve etkin koruma bulunmaması durumunda; (i) veri sahibinin açık rızasının bulunması, (ii) aktarımın, veri sahibi ile veri kütüğü sahibi arasında bir sözleşme yapılması, sözleşme öncesi ilişkinin yürütülmesi veya sözleşmenin ifası için gerekli olması, (iii) aktarımın, bir suçun önlenmesi veya hakkın tespiti, icrası veya korunması için gerekli veya kanunen zorunlu olması, (iv) aktarımın, veri sahibinin hayatı veya beden bütünlüğünün idamesi için zorunlu olması, (v) aktarımın, ilgili mevzuatın aradığı şartları yerine getirmek koşuluyla, kamunun veya ilgisini ispat edenlerin erişimine açık siciller aracılığı ile yapılması,
o eşdeğer ve etkin koruma bulunmayan yabancı ülkedeki veri kütüğü sahibinin, eşdeğer ve uygun korumayı yazılı bir şekilde taahhüt etmesi ve Tasarı’da belirtilen doğrultuda yapılan değerlendirmeyi müteakip Kişisel Verileri Koruma Kurulu’nun söz konusu aktarıma izin vermesi,
o gecikmesinde sakınca bulunan hallerde veya telafisi güç ya da imkansız zararların doğması ihtimali bulunması halinde (bu durumda Kişisel Verileri Koruma Kurulu’na 24 saat içerisinde bildirim yapılması gerekmektedir).
- Aydınlatma yükümlülüğü: Kişisel verilerin elde edilmesi sırasında, veri kütüğü sahibi tarafından sunulması gereken asgari bilgiler Tasarı’da belirtilmektedir. Bu kapsamda, verinin hangi amaçla işleneceği ve kime aktarılabileceğinin de verilerin toplanması aşamasında veri sahibine bildirilmesi gerekmektedir.
- İlgili kişiye bilgi verme yükümlülüğü: Tasarı kapsamında herkese, veri kütüğü sahibine başvurarak, (i) kendisiyle ilgili olarak kaydedilmiş kişisel veri bulunup bulunmadığını öğrenme; (ii) varolan verileri talep etme; (iii) verinin eksik veya gerçeğe aykırı olması halinde düzeltilmesini, hukuka aykırı olması hâlinde ise silinmesini, yok edilmesini veya aktarımının engellenmesini isteme; ve (iv) durumun verilerin açıklandığı üçüncü kişilere bildirilmesini talep etme hakkı tanınmıştır. Böyle bir talep alan veri kütüğü sahibi, gerekli bildirimleri on beş gün içinde yapmakla yükümlü kılınmıştır.
- Kişisel verilerin işlenmesine ilişkin tedbir alma yükümlülüğü: Veri kütüğü sahibi, kişisel verilerin tedbirsizlikle veya hukuka aykırı amaçlarla yok edilmesini, kaybolmasını, değiştirilmesini, yetkisiz olarak açıklanmasını veya işlenmesini önlemek için uygun teknik ve idarî tedbirleri almakla yükümlü kılınmıştır.
- Veri kütüğü siciline kayıt yaptırma yükümlülüğü.
3. Kişisel Verileri Koruma Kurulu
Tasarı’da, kişisel verilerin korunması ile ilgili düzenlemelerin uygulanmasını temin etmek amacıyla bir Kişisel Verileri Koruma Kurulu (“Kurul”) oluşturulması öngörülmüştür. Bu Kurul’un başlıca görevleri aşağıdaki gibidir:
- kişilik hakları ihlal edilenlerce iletilen başvuruları değerlendirmek ve telafisi güç zararlar doğması ihtimaline karşı geçici önlemler (işlemeyi ya da yurt dışına aktarımı geçici olarak durdurma, vs.) almak yahut re’sen incelemeler başlatmak,
- kişisel verilerin işlenmesine ilişkin düzenleyici işlemleri hazırlamak, ve
- Tasarı kapsamında düzenlenen aşağıdaki sicillerin tutulmasını sağlamak:
o veri kütüğü sicili: kişisel veri işleyen tüm gerçek ve tüzel kişilerin kayıtlı bulunduğu sicil.
o bağımsız denetim kuruluşu sicili: veri kütüğü sahiplerinin kendilerine yüklenen sorumlulukları yerine getirmek üzere görevlendirdikleri bağımsız denetim kuruluşlarının kayıtlı bulunduğu sicil.
4. Sonuç
Tasarı; kişisel verileri işleyen kişilere ve veri kütüğü sahiplerine getirdiği kapsamlı yükümlülüklerle, kişisel verilerin Avrupa Birliği standartlarında korunmasını temin etme yönünde önemli bir adım teşkil etmektedir. Tasarı’da yer alan düzenlemeler veri sahiplerini korumanın yanı sıra; Avrupa Birliği direktifleri ile uyum halinde olduğundan, Avrupa Birliği ülkelerinden Türkiye’ye doğru yapılan veri aktarımını kolaylaştıracak niteliktedir.
Bununla birlikte, Tasarı 1995 tarihli Direktif’e dayanılarak kaleme alınmış olduğundan, günün şartları ile birebir örtüşmeyen düzenlemeler de içermektedir. Keza bahsi geçen Direktif; bulut bilişim gibi yeni teknolojilerle uyumlu olmayışı başta olmak üzere, üye devletler düzeyinde yeterli ölçüde uygulanmadığı ve üye devletler arasındaki veri transferinin zor olduğu gibi gerekçelerle eleştirilmektedir. Bu aşamada izlenmesi gereken yol, Tasarı metnini Avrupa Birliği’nde görüşülmekte olan hususlar doğrultusunda revize ederek, yürürlüğe girecek kanunun Avrupa standartlarına ve günümüz gereklerine uygunluğunu sağlamak olacaktır.
[1] 95/46/EC sayılı Avrupa Birliği Direktifi
[2] Tasarı’da veri kütüğü sahibi “…Kişisel verilerin işlenmesinin amaç ve metodlarını tek başına veya başkaları ile birlikte belirleyen gerçek ve tüzel kişiler…” olarak tanımlanmıştır.
Hiç yorum yok:
Yorum Gönder