KİŞİSEL VERİLERİN KORUNMASI KANUN TASARISI

Yasalaşırsa Ne Olacak?

mecliste.org
17 EYLÜL 2016

Tasarı, kişisel verileri [1] işlenen gerçek kişiler ile bu verileri işleyen [2] gerçek ve tüzel kişileri ilgilendiriyor. Bu bakımdan kamu ve özel sektör ayrımına gidilmiyor.

 

Kişisel verileri işlenen kişiler

Kişisel verilerin işlenmesinde [3] ilgili kişinin açık rızası [4] aranacak. Ancak,

  • Kanunlarda bu durum açıkça öngörülüyorsa,
  • Kişi, kişisel verilerini kendisi alenileştirdiyse,
  • Kamu sağlığının korunması, sağlık hizmetlerinin planlanması ve finansmanı söz konusuysa ve Tasarı’da sayılan diğer birtakım hallerde, açık rıza aranmaksızın kişisel veriler işlenebilecek.

 

Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi konusu tasarı kapsamında değil.
Kişiler, kişisel verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesini [5] talep edebilecek.
Kişisel verilerin üçüncü kişilere veya yurtdışına aktarılmasında –birtakım istisnai haller dışında- ilgilinin açık rızası aranacak.
Tasarı’da ‘özel nitelikli/ hassas veri’ [6] kavramına ayrıca değiniliyor. Bu ayrım önemli çünkü hassas verilerin işlenmesinde ilgili kişilerin açık rızasının yanı sıra, Kişisel Verileri Koruma Kurulu tarafından belirlenecek önlemlerin alınması gerekli olacak.

 

Kişisel verileri işleyen kişiler

Veri sorumlusu veya yetkilendirdiği kişi aşağıdakilerle ilgili bilgi vermekle yükümlü olacak:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği
  • Kişisel veriler hangi amaçla işlenecek
  • İşlenen kişisel veriler kimlere ve hangi amaçla aktarılabilecek
  • Veri toplama yöntemi
  • Veri toplamanın hukuki sebebi
  • Verisi işlenen kişinin hakları

 

Veri sorumlusu verilerin güvenliğini sağlamak amacıyla;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak için her türlü teknik ve idari tedbiri almak zorunda olacak.

 

Eğer kişisel veriler veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından (veri işleyen) işleniyorsa, o kişi de verilen korunmasına ilişkin bu tedbirlerin alınmasında müştereken sorumlu olacak.
Başbakanlık’a bağlı Kişisel Verileri Koruma Kurumu kurulacak. Kurumun karar organı olan kurul, dördü Bakanlar Kurulu, üçü Cumhurbaşkanı tarafından seçilecek yedi üyeden oluşacak. Kurulun görevlerinin bazıları,

  • Kişisel verilerin temel hak ve özgürlüklere ve kanunlara uygun şekilde işlenmesini sağlamak,
  • Kedisine yapılan şikayetleri karara bağlamak,
  • Veri sorumlularının sicilini tutmak olacak.

 

Bireyler taleplerini veri sorumlusuna başvuru veya Kişisel Verileri Koruma Kurulu’na şikayet yoluyla bildirebilecek.
Düzenlemelere aykırılık halinde, 5 bin TL’den 1 milyon TL’ye kadar idari para cezası uygulanacak.

 


[1] Kişisel veri: Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye deniyor. Örneğin kişinin kimlik bilgileri, e-posta adresi, telefon numarası, iş veya ev adresi, özgeçmiş, internet aktivite bilgileri, alışveriş tercihleri, konum bilgileri, fotoğrafları, videoları gibi.
[2] Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. Örneğin, bir şirket, kendi personelinin bilgisini tutması bakımından veri sorumlusu konumunda.
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. Örneğin bir şirket, müşterisi ile ilgili bilgileri tutması bakımından veri işleyen konumunda.
[3] Kişisel verilerin işlenmesi: Kişisel verilerin, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanımının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işleme deniyor.
[4] Açık rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklana rıza.
[5] Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
[6] Hassas /özel nitelikli veri: İfşa olması halinde mağduriyet veya ayrımcılık riski yaratabilecek veriler. Örneğin kişinin sağlık verileri, etnik kökeni, siyasi düşüncesi, inancı gibi.

 

Bu yazı mecliste.org için Av. Beril Boz, LL.M. tarafından hazırlandı.

YAZAR mecliste.org

mecliste.org, meclisin yasama, denetim ve temsil işlevleri hakkında ve kanun tasarı ve tekliflerinin içeriği ile ilgili doğru, güvenilir bilgiye sahip olmak, kanun tasarı ve teklifleri ile ilgili farklı bakış açılarını görmek, yasa yapım sürecinde karar vericilere görüşlerini ve önerilerini iletmek isteyenlerin Türkiye’de ilk kez buluşacağı bir platform.