6698 sayılı Kişisel Verilerin Korunması Kanunu çoktan yürürlüğe girdi, ancak ilgililerin kanundan doğan yükümlülükleri yerine getirme konusunda gerekenleri yaptığını söylemek zor.
Esasen kanun ağır yaptırımlar içeriyor, öyle ki 5.000.TL den 1.000.000.TL ye kadar idari cezalar söz konusu. Hatta Türk Ceza Kanununun 135, 136, 137.maddeleri uyarınca adli ceza ile karşı karşıya kalmak da mümkün. Ancak kamuoyunda 6698 sayılı Kanunun öngördüğü yükümlülüklerin, doğrudan tüketiciye mal ya da hizmet sunan, diğer bir ifadeyle tüketicilerin verilerini paylaşan işletmeleri ilgilendirdiği gibi hatalı bir düşünce oluşmuş durumda.
Hâlbuki hemen hemen her işletme 6698 sayılı Kanunda öngörülen yükümlülükleri yerine getirmekle zorunda.
Kanuna göre, gerçek kişilerin ad, soyad, doğum tarihi, TC Kimlik Numarası, cep telefonu numarası, e-posta adresi gibi veriler genel kişisel veri, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel kişisel veri olarak kabul ediliyor. Dolayısıyla Anonim Şirket, Limited Şirket gibi tüzel kişilere ait veriler kanun kapsamında girmiyor, ancak gerçek kişilerle eşleştirilebilen her bilginin kişisel veri kapsamında olduğunu söyleyebiliriz.
6698 sayılı kanunda veri sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak ifade ediliyor. Kişisel verilerin işlenmesi ise tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak ifade ediliyor. Görüldüğü üzere verilerin saklanması dahi işleme faaliyeti kapsamında tanımlanıyor. Buna göre 1 çalışanı olan işveren dahi, en azından çalışanına ait özlük dosyası muhafaza edeceğinden 6698 sayılı Kanuna tabi olacaktır.
Peki veri sorumlularının neler yapması gerekiyor. Ana hatları ile ifade etmek gerekirse öncelikle herhangi bir kişisel veriyi işleyebilmesi (saklamak dahil yukarıda yer verdiğimiz işlemler) için aşağıdaki hukuki dayanaklardan birisine sahip olmaları gerekiyor;
– İlgili kişinin açık rızasının bulunması
– Kanunlarda açıkça öngörülmesi
– Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
– Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
– Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
– İlgili kişinin kendisi tarafından alenileştirilmiş olması
– Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
– İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Dolayısıyla yukarıda yer alan durumlardan birisi söz konusu değilse kişisel veriler işlenemeyecektir.
Diğer yandan kişisel veriler işlenirken veri sorumlusu aşağıdaki ilkelere uyacaktır;
– Hukuka ve dürüstlük kurallarına uygun olma.
– Doğru ve gerektiğinde güncel olma.
– Belirli, açık ve meşru amaçlar için işlenme.
– İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
– İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Örneğin kanundan doğan yükümlülük nedeniyle muhafaza edilen çalışanın özlük dosyasında yer alan bilgiler ancak insan kaynakları konusunda destek alınan kişi ya da kuruluşlarla ihtiyaç doğrultusunda paylaşılabilecek, satış-pazarlama amacıyla paylaşılamayacaktır. Kişisel Verileri Koruma Kurumu önüne gelen bir olaya ilişkin soruşturmada kişisel verilerin işlenmesine rıza göstermeyen tüketiciye satış yapılmamasını dürüstlük kuralına aykırı bulmuştur. Diğer bir deyişle mal ya da hizmet sunulması kişisel verilerin işlenmesine onay verilmesine bağlı tutulamaz. Verilerin muhafaza edileceği sürenin işlenme amacı ile uyumlu olması gerekir. Örneğin tüketicinin rızasına gerek olmaksızın satış sözleşmesi akdedilen bir kişiye ait veriler, ileride bu sözleşmeden doğabilecek ihtilaflarda veri sorumlusunun hukuki menfaatlerinin korunması için muhafaza edilebilecektir. Ancak bu muhafaza satış sözleşmesinin zaman aşımı süresi ile sınırlı olacaktır. Dolayısıyla veri sorumlusunun verileri belirli sürelerle gözden geçirip işlenme amacına uygun süresi dolmuş olan verileri silmesi gerekir.
Veri sorumlusunun kişisel verilerin işlenmesi, korunması, saklanması, silinmesi ve veri sahiplerinin bilgilendirilmesi, konusunda uygulanacak ilkeleri ve alınacak önlemleri belirlemek amacıyla KİŞİSEL VERİLERİN KORUNMASI, SAKLANMASI VE İMHA POLİTİKASI hazırlaması gerekmektedir. Yine veri sahibi kişileri aydınlatmak, bu bağlamda aydınlatma metni hazırlayarak, uygun yöntemlerle duyurmakla yükümlüdür. Veri sorumlusu Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelikten alınan yukarıda yer verdiğimiz tanımlar ele alındığında kişisel verilerin silinmesi için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi tanımına yer verilirken Kişisel verilerin yok edilmesi için hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi tanımlamasının kullanıldığı görülmektedir. Dolayısıyla kişisel verilerin silinmesi işleminin geri getirilebilir şekilde gerçekleştirilebileceği anlaşılmaktadır.