kisisel-veriler-konusunda-yeni-duzenleme

Kişisel veri, kişinin belirli veya belirlenebilir olmasını sağlayacak her türlü bilgi olarak tanımlanabilir. Günümüz bilgi toplumunda tüm bu verilerin bilişim sistemleri üzerinden otomatik yollarla işlenip kullanılmasının özel hayatın gizliliği ve kişilerin temel hak ve özgürlükleri açısından sorunlar yarattığı gözlenmektedir.

Kişisel verilerin korunmasıyla ilgili esasları içeren 1995/46/EC Sayılı Avrupa Komisyonu Direktifi’ni imzalayan fakat uygulamaya koymayan Türkiye’de anılan direktif doğrultusunda hazırlanan ‘Kişisel Verilerin Korunması Kanun Tasarısı” Meclis Genel Kurulunda kabul edilerek yasalaştı.

Söz konusu tasarının yürürlük maddeleri incelendiğinde, yasa maddelerinin altı ayı bulabilecek bir hazırlık dönemini takiben, gerekli yönetmelikler yayınlandıktan ve öngörülen kurum ve kurullar oluşturulduktan sonra iş hayatımıza gireceği anlaşılmaktadır.

Kişisel verilerin korunması, bankacılık, reklam, iletişim gibi birçok sektörü ilgilendiren geniş bir alan. Bizler ilgi alanımız gereği konuya iş, sosyal güvenlik ve insan kaynakları sektörü gözüyle bakıyoruz şüphesiz, bu nedenle ilerleyen bölümlerde yasa maddelerini bu alanlarda getirebileceği kısıtlamalar ve yenilikler açısından ele alacağız.

TASARI VERİ İŞLEYEN ŞİRKETLERE NELER GETİRECEK?

Normal faaliyetlerinin bir sonucu olarak kişisel veri toplayan, işleyen, aktaran tüm kurum ve özel şirketler “Veri Sorumlusu” olarak tanımlanıyor. Verilerin işlenmesi ve aktarılmasıyla ilgili önemli sorumluluklar yüklenen bu veri sorumlularının, “Kişisel Verileri Koruma Kurulu” gözetiminde tutulacak “Veri Sorumluları Siciline” kaydolması da zorunlu tutulabilecek.

Kişisel Verilerin İşlenebilmesi ve Aktarılması Şartları

Öncelikle, mevcut yasalar kapsamında tescil edilmiş ve personel istihdam eden her şirketin en azından kendi personeliyle ilgili bazı kişisel bilgileri yasal zorunluluklar gereği toplaması, işlemesi, muhafaza etmesi ve SGK, vergi daireleri, İŞKUR gibi kurumlara aktarması gerekmektedir. Örnek olarak özlük dosyası tutulması ve resmi makamlara verilen çeşitli bildirgeler bu kapsamdadır.

Yasa kural olarak, ” kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği ve aktarılamayacağı” hükmünü getirmekle birlikte bu konuda önemli istisnalara yer vermiş ve

  • Kanunlarda açıkça öngörülmesi,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
    gibi durumlarında açık rıza şartı aranmayacağını öngörmüştür.

Dolayısıyla, işletmeler kanuni zorunluluk nedeniyle toplayıp işledikleri ve aktardıkları yukarıda belirtilen türden bilgiler için personelin açık rızasını almak zorunda değildirler.

Ayrıca, işçi ve işveren arasında akdedilen iş sözleşmelerinin kurulması veya ifasıyla doğrudan ilgili olarak kişisel verilerin işlenmesi gereklilik arz ediyorsa ayni istisna söz konusu olacaktır.

Fakat konu burada bitmemekte olup, tüm bu veri toplama ve işleme faaliyetinin tabi olduğu aşağıda belirtilen genel prensipler öngörülmektedir.

Kişisel Verilerin İşlenmesinde Genel Prensipler

Veri Sorumluları (veri işleyen şirketler) aşağıdaki genel prensipler doğrultusunda davranmalıdır.

  • Kişisel veriler hukuka ve dürüstlük kuralına uygun olarak işlenmeli,
  • Kişisel veriler hangi amaçla işleniyorsa ancak bu amaçla bağlantılı olarak işlenmeli, işleme sınırlı ve ölçülü olmalı
  • Kişisel veriler ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli.

Özetle, veri ilgilisinin kişisel verilerini açık rızası olmaksızın işlemeyebilmek için bunun sadece kanuni bir görevden kaynaklanması veya bir sözleşmenin ifasına yönelik olması yetmemekte, hangi amaçla işleniyorsa ancak bu amaçla bağlantılı olarak işlenmesi ve ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeleri gerekmektedir.

Örneğin, iş sözleşmesi sona eren personelle ilgili bazı verilerin diğer yasalar açıdan tutulması zorunluluğu yoksa (SGK vb.) silinmesi, yok edilmesi veya anonimleştirilmesi gerekebilecektir. (Md: 7 – İşlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından, çıkarılacak yönetmelik doğrultusunda silinecek, yok edilecek veya anonim hâle getirilecektir.)  Maddeden anlaşılacağı üzere, kişisel verilerin nasıl silineceği veya anonim hale getirileceği ancak çıkarılacak bir yönetmelikle açıklığa kavuşacaktır.

Bordro ve Muhasebe Hizmetini Dışarıdan Sağlama Durumunda Uygulama

Açıkça görüldüğü üzere, işletmelerin yasa ve iş sözleşmesinin ifası gereği kendi personeliyle ilgili edindikleri kişisel bilgileri yukarıdaki genel prensiplere uymak kaydıyla bizzat kendilerinin işlemelerinde herhangi bir kısıtlama bulunmamaktadır. Fakat işletmelerin, günümüzde yaygın olduğu üzere bordro ve insan kaynakları hizmetlerini dışarıdan temin etmeleri halinde hizmet sunan firmalar bu verileri nasıl işleyebilecektir ve evvelemirde ilgili işletme bu verileri ilgilisinin rızası olmadan hizmet sunucusuna aktarabilecek midir?

Sonuç olarak bu verilerin aktarılması maaş, vergi, prim hesaplanması gibi yasal gereksinmelerin karşılanmasına yöneliktir. Kanaatimiz, kişisel verilerin bordro ve insan kaynakları hizmeti sunan firmalara aktarılması, yukarıda istisna olarak belirlenen “yasal görevlerin yerine getirilmesi ve iş sözleşmesinin ifasına yönelik işlemler olduğundan, açık rıza olmaksızın aktarılmasının yasaya aykırılık teşkil etmeyeceğidir.

Ancak, hizmet alan ve sunan iki işletmenin de verilerin yukarıda belirtilen genel prensipler doğrultusunda  (amacı dışında kullanmamak ve amaç için gerekli olan süreyi aşmamak vb.) işlenmesi konusunda müştereken sorumlu olacakları değerlendirilebilir.

KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

Merkezi yurtdışında bulunan şirketlerin Türkiye’deki şubelerinin ve yurt dışına olağan görevleri doğrultusunda veri aktarımlarında bulunan şirketlerin ise bazı kısıtlamalarla karşılaşabileceğini söyleyebiliriz. Bu konudaki kısıtlama ve istisnalar ana hatlarıyla aşağıdaki gibidir.

Kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak, yukarıda belirtildiği gibi işlenmesinde açık rıza şartı bulunmayan veriler ayrıca aşağıdaki şartları da kapsadığı takdirde kişinin açık rızası olmadan yurt dışına aktarılabilecektir.

  • Kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması
  • Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması.

Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilecek ve yeterli korumanın bulunmaması durumunda aktarıma izin verilip verilmeyeceği de Kurul tarafından değerlendirilecektir. Kurul’un oluşturulması için altı aylık bir süre tanındığından bu aşamada daha ileri bir yorum yapmak mümkün olamamaktadır.

Özel Nitelikli Kişisel Veriler

“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” nitelikli veriler olarak tanımlanmakta ve sadece, kanunlarda açıkça öngörülmesi, kamu sağlığının korunması amacı gibi nedenlerle işlenebilmesine izin verilmektedir.

Ayrıca, kurul tarafından belirlenen yeterli önlemlerin alınması şartı da aranabilecektir. Kurul tarafından oluşturulacak kriterleri görmeden bir yorum getirilemeyeceğini düşünmekteyiz.

BAŞVURU VE ŞİKAYET

İlgili kişi her tür başvuru ve şikayetini öncelikle veri sorumlusuna yapacak, veri sorumlusu en geç 30 gün içinde başvuruyu sonuçlandıracaktır. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilecektir.

KİŞİSEL VERİLERİ KORUMA KURULU

Kişisel verilerin korunmasıyla ilgili görevleri yerine getirecek bağımsız bir Kurum ve yasanın yayımı tarihinden altı ay içinde buna bağlı “Kişisel Verileri Koruma Kurulu” oluşturulacaktır.

VERİ SORUMLUSU SİCİLİ

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Kurul Gözetiminde Başkanlıkça tutulacak “Veri Sorumluları Siciline” kaydolmak zorunda olacak, ancak işlenen veri niteliği ve sayısı gibi hususlar göz önüne alınarak Kurul tarafından bu zorunluluk kaldırılabilecek.

CEZAİ HÜKÜMLER

Yasa maddelerine riayetsizlik durumlarında 1.000.000 TL’ye kadar idari para ceza uygulanabilecek, ayrıca TCK 135. 138 140. maddeleri uyarınca takibat yapılabilecektir.