Lerzan Nalbantoğlu, Avukat | DL Hukuk

www.dlhukuk.com

Avrupa Birliği’ne uyum kapsamında hazırlanan ve uzun süredir yasalaşması beklenen Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) 24 Mart 2016 tarihinde T.B.M.M tarafından kabul edilmiş olup; Cumhurbaşkanı tarafından onaylandıktan sonra Resmi Gazete’de yayımlanarak yürürlüğe girmesi beklenmektedir. 

KVK Kanunu uyarınca, belirli bir kişi (çalışan, müşteri, bayi, rakip, iş ortağı, vs.) ile ilişkilendirilebilen her türlü veri kişisel veridir. Veri ile ilgili yapılabilecek her türlü işlem “kişisel verilerin işlenmesi” olarak tanımlanmıştır. 

Günümüzde şirketler faaliyet alanlarına göre çeşitli sebeplerle kişisel verileri veya özel nitelikli kişisel verileri (sağlık, biyometrik özellikler, üyelikler, cinsel yaşam, ırk, din, vs.) işlemektedir. 

Kişisel verileri işleyen şirketler veri sorumlusu olarak şirket içinde veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olacaktır. Veri sorumlusu olarak şirketler bir gerçek veya tüzel kişiyi veri işleyen sıfatıyla tayin edecektir. 

KVK Kanunu uyarınca veri sorumlusu olarak şirketler kişisel bilgileri işlemek veya aktarmak için istisnalar hariç açık rıza almak zorundadır. 

KVK Kanunu ile veri sorumlusuna belirli görev ve sorumluluklar getirilmiştir. Bu bağlamda, verinin kanuna uygun işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. İlgili kişiler, kendilerine ait kişisel verilerinin silinmesi veya anonim hale getirilmesini veriyi işleyen ilgili şirketten talep edebilecektir. 

Herhangi bir kişi veri sorumlusuna başvurarak kendisi ile ilgili kişisel veri işlenip işlenmediğine, işlendiyse, işlenen bilginin ne olduğuna, işleme amacına ve bu amaca uygun kullanılıp kullanılmadığına dair bilgileri talep edebilir. Bununla birlikte, kendisine ait kişisel verilerin üçüncü kişilere aktarılıp aktarılmadığını veya yurtdışına transfer edilip edilmediğini hususlarına ilişkin veri sorumlusundan bilgi talep edebilecektir. 

Veri sorumlusunun en önemli yükümlülüklerinden biri kendi kurum veya kuruluşunda KVK Kanunu’nun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmaktır. 

KVK Kanunu ile birlikte Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu kurulacak ve söz konusu Kurul şikâyet halinde ya da ihlal iddiasını öğrenmesi durumunda re’sen ihlali gerçekleştiren şirketin kayıtlarına ilişkin inceleme yapabilecektir. 

KVK Kanunu’ndaki hükümlere aykırılık halinde Kişisel Verileri Koruma Kurumu 1.000.000 TL’ye kadar idari para cezası kesebilecektir. Ayrıca, Türk Ceza Kanunu tahtında aykırılık suç teşkil ediyorsa (kanuna aykırı, işleme, başka kişilere verme, silmesi gerekirken silmeme) 1 yıldan 4,5 yıla kadar hapis cezasına hükmedilebilecektir. Bunlarla birlikte, ilgili kişiler genel hükümlere göre tazminat talebinde bulunabilirler. 

KVK Kanunu’nun 8inci (Kişisel verilerin aktarılması), 9uncu (Kişisel verilerin yurt dışına aktarılması), 11inci (İlgili kişinin hakları), 13üncü (Veri sorumlusuna başvuru), 14üncü (Kurula şikâyet), 15inci (Şikâyet üzerine veya resen incelemenin usul ve esasları), 16ncı (Veri Sorumluları Sicili), 17nci (Suçlar) ve 18inci (Kabahatler) maddeleri Resmi Gazete’de yayımı tarihinden 6 ay sonra yürürlüğe girecektir. Yayım tarihinden önceden işlemiş olan kişisel veriler için ise iki yıllık uyum süresi öngörülmektedir.