Kişisel Veri İşlemek Elinizi Yakabilir!

 

personal data security articleKişisel verilerin korunmasındaki ihmal veya kastınız 5 bin - 1 milyon TL para, hatta 1 – 4 yıl hapis cezalarına çarptırılmanıza yol açabilir; peki bundan sakınmak için ne yapacağız? 

Kişisel verilerin işlenmesinde özel hayatın gizliliğini, kişilerin temel hak ve özgürlüklerini korumayı ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi amaçlayan "6698 sayılı Kişisel Verilerin Korunması Kanunu"nun tüm maddeleri 7 Ekim 2016 tarihi itibariyle yürürlüğe girmiş olmakla birlikte veri işleyen kurumların bu yeni döneme nasıl uyum sağlayacakları ile ilgili belirsizlik ve tartışmalar devam etmektedir. 

 Kanun Kimleri İlgilendirir?

Kanun, kişisel veri saklayan işleyen her işletmeyi kapsamaktadır. Özlükler, bordro bilgileri, personelin kişisel her bilgisi Kişisel Veriler Kanunu kapsamında değerlendirildiğinden tüm şirketleri yakından ilgilendirmektedir.

İşyerimizdeki kişisel veri işleme ve saklama konusundaki uygulamalarımızı, cezai yaptırımları fazlasıyla caydırıcı olan bu kanun hükümlerine uygun hale getirmek için konu üzerinde titizlikle durmamız gerekmektedir.

Kişisel Verileri Korumaya Ne Zaman Başlayacağız?

Anılan yasanın uygulamasında ve belirli kriterlerin tespitinde kilit rol oynayacak olan ve üyeleri TBMM tarafından geçtiğimiz günlerde seçilen Kişisel Verileri Koruma Kurulunun henüz tam olarak aktif duruma geçmemesi ve kanunda öngörülen yönetmeliklerin kanunun yayımı tarihinden itibaren 1 yıl içinde yürürlüğe konulacak olması bu belirsizliğin ana nedenlerini oluşturmaktadır.

Yasa hükümleri incelendiğinde veri işleyen işletmelerin, Kuruldan ve çıkacak yönetmeliklerden bağımsız olarak yapması gereken bazı hazırlıklar ve alması gereken tedbirler olduğu kanaatindeyiz. Yazımızın sonunda sitemizde daha önce yayınlanmış, gerek yasayla ilgili detaylı bilgilere ve yasanın kendisine ulaşabileceğiniz linkler verilmiş olup, bu yazımızda atılması gereken adımlar ile işletmeleri koruyacak önlemleri ele alacağız.

Genel İlkeler

Kişisel veriler; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar doğrultusunda; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmeli; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Kişisel Verilerin İşlenmesi ve Aktarılması /Açık Rıza ve İstisnalar

Yasa kural olarak, " kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği ve aktarılamayacağı" hükmünü getirmekle birlikte bu konuda önemli istisnalara yer vermiş ve

  • Kanunlarda açıkça öngörülmesi,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması gibi durumlarda açık rıza şartı aranmayacağını öngörmüştür.

Veri Sorumlusunun Belirlenmesi

Yasa normal faaliyetlerinin bir sonucu olarak kişisel veri toplayan, işleyen, aktaran tüm kurum ve özel şirketler “Veri Sorumlusu” verileri işlenen gerçek kişiler ise "İlgili Kişi" olarak tanımlamaktadır. Kurum bir personelini veri sorumlusu olarak yetkilendirebilir.

İlgili kişi Veri Sorumlusuna başvurarak;

  • Verinin nasıl işlendiği hakkında bilgi talep etme,
  • İşlenen verinin amacına uygun olup olmadığını öğrenme,
  • Verilerinin yurt içinde veya yurt dışında üçüncü taraf firma/kurumlara aktarıldığını öğrenme,
  • Yanlış işlenmiş verilerinizin düzeltilmesini isteme,
  • Verilerin silinmesini veya yok edilmesini talep etme,
  • Kişinin aleyhine ortaya çıkan sonuca itiraz etme,
  • Kanuna aykırı olarak işlenen verinin sonucunca doğacak zararın giderilmesini talep etme, haklarına sahiptir.

Ayrıca, Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi ve yukarıda belirtilen hakları konusunda bilgi vermekle yükümlüdür.

Bu nedenle kurumların, verileri işlenen ilgili kişilerin yukarıda belirtilen haklarını gözetecek ve gerekli bilgilendirmeleri yapacak bir veri sorumlusu belirlemesi gerekmektedir.

Verilerin Yurt Dışına Aktarılması

Merkezi yurtdışında bulunan şirketlerin Türkiye’deki şubelerinin ve yurt dışına olağan görevleri doğrultusunda veri aktarımlarında bulunan şirketlerin ise bazı kısıtlamalarla karşılaşabileceğini söyleyebiliriz. Bu konudaki kısıtlama ve istisnalar ana hatlarıyla aşağıdaki gibidir:

Kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak, yukarıda belirtildiği gibi işlenmesinde açık rıza şartı bulunmayan veriler ayrıca aşağıdaki şartları da kapsadığı takdirde kişinin açık rızası olmadan yurt dışına aktarılabilecektir.

  • Kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması,
  • Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması.

Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilecek ve yeterli korumanın bulunmaması durumunda aktarıma izin verilip verilmeyeceği de Kurul tarafından değerlendirilecektir. Kurul’un henüz faaliyete geçmemiş olması nedeniyle bu aşamada daha ileri bir yorum yapmak mümkün olamamaktadır.

Kurum İçi Bilgilendirmenin Önemi / Hapis Cezasını Önleme

Yasa kişisel verilere ilişkin suçlar bakımından TCK 135 ila 140. madde hükümlerinin uygulanacağını öngörmektedir:

Tablo 1
Hukuk çevrelerince yapılan yorumlara göre kurum yöneticilerinin yeterli tedbirleri almamaları ve çalışanını yeni uygulama konusunda bilgilendirmemeleri durumunda, kişisel verilerle ilgili ortaya çıkabilecek olumsuzluklardan doğrudan sorumlu tutulacağı ve hapis cezalarına bile maruz kalabileceği anlaşılmaktadır.

Bunun önüne geçebilmek için evvelemirde bir personelin "Veri Sorumlusu" olarak görevlendirilmesi ve veri işleyen tüm personelin kişisel verilerle ilgili yeni uygulama konusunda yazılı olarak (en azından bir mail vasıtasıyla) bilgilendirilmesi ve uyarılması gerekmektedir. Böylece hukuki kasıt unsuru ortadan kaldırılmış olacaktır.

Alınabilecek Tedbirler

Uygulamanın tam olarak belirginleşmediği bu aşamada yasada öngörülen yaptırımlara maruz kalmamak için aşağıdaki tedbirlerin bir an önce alınması gerektiğini düşünmekteyiz:

  • Kurum içinden bir personelin veri sorumlusu olarak belirlenmesi
    (bilahare, Kurul'un faaliyete geçmesiyle belirlenecek "Veri Sorumlusu Sicili"ne kaydolunması )
  • Veri işleyen tüm personelin kişisel verilerle ilgili yeni uygulama konusunda yazılı olarak (en azından bir mail vasıtasıyla) bilgilendirilmesi ve uyarılması,
  • Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayımı tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hâle getirilmesi. Kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin derhâl silinmesi, yok edilmesi veya anonim hâle getirilmesi,
  • Veri işleyen personele kişisel verileri saklama konusunda eğitim verilmesi ve eğitim aldıklarına dair imza alınması,
  • Verilerin sınıflandırılması, kimlerin hangi verilere ulaşması gerektiğinin belirlenmesi,
  • İşletmenin faaliyeti için gerekmeyen bilgilerin alınmaması,
  • Hangi verinin yasal olarak ne kadar süreyle saklanacağının belirlenmesi, artık saklanmasına gerek kalmamış olan verilerin belirlenerek silinmesi,
  • Veri işleyen işletmelerde, işlem yapılan alanlara yetkisiz kişilerin girmesinin engellenmesi konusunda tedbirlerin alınması,
  • Veri işleyen personelin kullandıkları bilgisayar ve sistemleri kısa süre için bile olsa terk ettiklerinde kapalı tutmaları konusunda yazılı olarak uyarılması,
  • İşletmenin web sitesi dâhil tüm sistemlerinin dışarıdan müdahalelere karşı güvenliğinin arttırılması,
  • Verileri işlenen kişilerin yasadan kaynaklanan haklarının gözetilmesi ve bilgi edinme taleplerine yazılı olarak cevap verilmesi,
  • İş sözleşmelerinde, çalışana ilişkin kişisel verilerin sözleşmenin ifasıyla doğrudan doğruya ilgili olması veya Kanunlarda açıkça öngörülmesi kaydıyla işleneceğinin ve gerektiğinde aktarılacağının (işletmenin faaliyet konusu ve özel durumları da göz önüne alınarak) açıkça belirtilmesi.

Sonuç olarak amaç kişisel verilerin yasada belirtilen esaslar dâhilinde işlenmesi ve aktarılmasıdır, işletmelerin ayrıca kendi özel durumlarına göre uygun gördükleri ek tedbirleri de almaları ağır yaptırımlarla karşılaşmamaları açısından önemlidir.

Yasa ile ilgili makalemize şu linkten ulaşabilirsiniz: http://datassist.com.tr/blog/449-kisisel-veriler-konusunda-yeni-duzenleme

Yasanın yayımlandığı Resmi Gazeteye ulaşmak için tıklayınız.

  
  • Referanslar 111
  • Referanslar 222
  • Referanslar 333
  • Referanslar 444

Dakika Personel Yönetimi

Bordrolama
Özlük Yönetimi
İzin Yönetimi

Sosyal Medya

Datassist FacebookDatassist LinkedinDatassist TwitterDatassist Google+


datassist-in-english

Datassist ISO 9001 Sertifikası

Datassist ISO 27001 Sertifikası