6698 Sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde resmi gazetede yayımlanmıştı. Kanun, gerçek kişilerin kişisel verilerinin korunması amacıyla çıkarılmış ve Kanun’un yayımı tarihinden önce işlenmiş olan kişisel verilerin Kanun hükümlerine uygun hale getirilmesi için kişisel verileri işleyen gerçek ve tüzel kişilere 7 Nisan 2018 tarihine kadar süre verilmişti. Bu bağlamda Kanun’un ilgili maddeleri, yaptırımları ve bu yaptırımlarla karşılaşmamak için yapılabilecekleri ele alacağız.
Kanun’un başlıca düzenlemeleri nelerdir?
Kanun’un 10. Maddesinde veri sorumlusunun aydınlatma yükümlülüğü düzenlenmiştir. Buna göre; kişisel verilerin elde edilmesi sırasında veri sorumlusu, kişisel veri sahibine; kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi hususlarında bilgi vermekle yükümlüdür.
Kanun’un 5. ve 8. Maddesine göre; kişisel verilerin işlenmesi ve aktarılabilmesi için kişisel veri sahibinin açık rızası gerekmektedir. Kişisel verileri işleyen gerçek/tüzel kişilerin, bu verilerin korunması için yeterli önlemleri alma yükümlülüğü mevcuttur. Veri sorumlusu, Kanun hükümlerinin uygulanması amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
7. maddeye göre ise; kişisel bilgilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir yok edilir veya anonim hale getirilir. (Anonim hale getirme: kişisel verilerin başka verilerle eşleştirilerek dahi belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi)
Kişisel veri sahibi, istediği zaman, verilerinin işlenmesi, aktarılması, kullanılması ve silinmesi ile ilgili taleplerini veri sorumlusuna iletebilir. Veri sorumlusu, başvurudaki talepleri en kısa sürede ve en geç 30 gün içerisinde ücretsiz olarak sonuçlandırmak zorundadır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde Kurul tarafından belirlenen tarifeye göre ücret alınabilir. Başvurunun veri sorumlusunun hatasından kaynaklanması halinde, alınan ücret ilgiliye iade edilir.
Bu hükümlere uymamanın yaptırımları nelerdir?
Kanun’un 17. maddesine göre; kişisel verilerine ilişkin suçlar bakımından Türk Ceza Kanunu’nun kişisel verilerin kaydedilmesine dair suçlara ilişkin hükümleri uygulanır TCK hükümlerine göre kişisel verilerin kaydedilmesine dair suçlar şikayete bağlıdır.
TCK 135. maddesinde; hukuka aykırı olarak kişisel verileri kaydeden kimse için bir yıldan üç yıla kadar hapis cezası verileceği ve kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda ise bu cezanın yarı oranında arttırılacağı düzenlenmiştir.
TCK 136. Maddeye göre; Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
TCK 138. maddede ise; Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde “bir yıldan iki yıla kadar hapis cezası verileceği, suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek cezanın bir kat arttırılacağı düzenlenmiştir.
Kişisel Verilerin Korunması Kanunu’nun 18. Maddesinde “Kabahatler” sayılmış ve aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmedileceği belirtilmiştir.
Yaptırımlarla karşılaşmamak için neler yapılabilir?
Öncelikle, kişisel verileri kaydeden ve işleyen her gerçek/tüzel kişinin, kişisel bilgilerinin korunması ve saklanması için düzenli bir denetim yapması ve kişilerin kişisel bilgilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde verileri kendiliğinden silmesi gerekmektedir. Bunun yanında, müşterinin, bilgilerin kaydedilmesi, işlenmesi ve aktarılması hususunda aydınlatıldığı ve açık rızasının alındığı bir beyan/onay yazısı gerekmektedir.
Perakende satışlarda; müşteriye gerekli bilgileri (adı, soy adı, doğum tarihi, cep numarası, e-posta adresi , adresi v.s.) yer alan ve altında ” ……………… tarafından kişisel verilerimin işlenmesi, saklanması, kullanılması, aktarılması, bunların hangi amaçla yapılacağı ve sonuçları hakkında bilgilendirilmiş bulunmaktayım. …………………….. tarafından, yukarıda yer alan iletişim bilgilerimin ve kişisel verilerimin saklanmasını , işlenmesini, gerekli hallerde aktarılmasını, iletişim bilgilerime reklam, promosyon, tanıtım , bilgilendirme gibi amaçlarla ileti gönderilmesini, bilgilerimin bu amaçlarla kullanılmasını ve üçüncü kişilerle paylaşılmasını, mevzuat kapsamındaki haklarım saklı kalmak kaydı ile kabul ediyorum” ibaresinin bulunduğu bir form doldurtarak imzalatılabilir.Bu formda müşterinin kişisel verilerinin nasıl ve neden kullanılacağı ve aktarılabileceği hakkında mutlaka bilgilendirme yazısı olmalıdır.
İnternet sitesi veya uygulama üzerinden yapılan üyeliklerde kişisel bilgileri alırken; “Üye Kayıt/Düzenleme” kısmına “Kişisel verilerimin işlenmesi, saklanması, kullanılması, aktarılması, bunların hangi amaçla yapılacağı ve sonuçları hakkında bilgilendirilmiş bulunmaktayım. ……….. tarafından, yukarıda yer alan iletişim bilgilerimin ve kişisel verilerimin saklanmasını , işlenmesini, gerekli hallerde aktarılmasını, iletişim bilgilerime reklam, promosyon, tanıtım , bilgilendirme gibi amaçlarla ileti gönderilmesini, bilgilerimin bu amaçlarla kullanılmasını ve üçüncü kişilerle paylaşılmasını, mevzuat kapsamındaki haklarım saklı kalmak kaydı ile kabul ediyorum” şeklinde yanına müşteri tarafından onaylanabilecek (tik işareti konulabilecek) bir bölüm oluşturulabilir.
Altı çizili , mevzuat kapsamındaki haklarım kısma tıklandığında ise ; ” Bu İzin Beyanı’nda belirtilen taraflarca kişisel bilgilerinizin işlenip işlenmediğini, işlenmişse buna ilişkin bilgileri, işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını, yurtiçinde veya yurtdışında verilerin aktarıldığı üçüncü kişileri bilme, eksik veya yanlış olması hâlinde verilerin düzeltilmesini, ilgili mevzuatta öngörülen koşullar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini, düzeltme/silme/yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme; işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme ve verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini, ayrıca sizinle iletişime geçilmesine engel olunmasını ………………. adresinden ve …………………….. telefon numarasından talep etme hakkınız bulunmaktadır.” şeklinde bir bilgilendirme ibaresi bulunabilir.
Daha önce üye olmuş veya bilgileri kaydedilmiş ancak açık rızaları alınmamış kişiler için; “Kişisel Verilerin Korunması Kanunu gereğince kişisel bilgilerinizin saklanması, kullanılması, işlenmesi ve aktarılmasına dair izninizi güncellemeniz gerekmektedir. Güncelleme yapmamanız halinde kişisel bilgileriniz silinecek ve avantajlı alışveriş fırsatlarından yararlanma hakkınız ortadan kalkabilecektir. Aşağıdaki linke tıklayarak onay verebilirsiniz. ………………Link” şeklinde bir mesaj veya mail gönderebilebilir. Linke tıklandığında ise mevcut üyelik bilgilerinin girildiği ve ” …………………….. tarafından kişisel verilerimin işlenmesi, saklanması, kullanılması, aktarılması, bunların hangi amaçla yapılacağı ve sonuçları hakkında bilgilendirilmiş bulunmaktayım. ………….. tarafından, yukarıda yer alan iletişim bilgilerimin ve kişisel verilerimin saklanmasını , işlenmesini, gerekli hallerde aktarılmasını, iletişim bilgilerime reklam, promosyon, tanıtım , bilgilendirme gibi amaçlarla ileti gönderilmesini, bilgilerimin bu amaçlarla kullanılmasını ve üçüncü kişilerle paylaşılmasını, mevzuat kapsamındaki haklarım saklı kalmak kaydı ile kabul ediyorum “ ibaresinin yanına tik konulabileceği bir alan olabilir. Böylece daha önceden bilgileri alınmış kişilerin de izni alınmış olacaktır. Bu şekilde güncelleme yapmayan üyelerin ise kişisel bilgilerinin silinmesi gerekmektedir.
AV. GİZEM TURAKOĞLU YALVAÇ
AV. ERALP YALVAÇ
Leave a Reply