Kişisel verilerin korunmasına dair kanunda yapılan yeni düzenlemeler -1

Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

Geçen Ekim ayında yürürlüğe giren ve kısa süre önce de ‘Kurul’u oluşturulan Kişisel Verilerin Korunması Kanunu, sade vatandaştan şirketlere kadar herkesi ilgilendirir niteliktedir. Özellikle yapılan düzenlemeler neticesinde kişisel verileri işleyen şirketlerin uyum sürecine dikkat etmesi gerekecektir.

07.04.2016 tarihinde Resmi Gazete’de yayınlanan Kişisel Verilerin Korunmasına Dair Kanunun yürürlük başlıklı 32. maddesinde 8., 9., 11., 13., 14., 15., 16., 17. ve 18. maddelerinin yayım tarihinden altı ay sonra yürürlüğe girmesi öngörülmüştür. Bu maddeler 07.10.2016 tarihi itibariyle yürürlüğe girmiştir. Son günlerde herkes, internet sitesine girdiği bankasının ya da mal aldığı perakende şirketinin önemli uyarısıyla karşılaşıyor: Kişisel Verilerin Korunması Kanunu (KVKK) Çünkü 7 Ekim 2016’da yürürlüğe giren yasa bir dizi uyum süreci öngörüyor. KVKK’nın amacı, “Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” olarak açıklandı. Dijital dünyanın hayatın her alanına nüfuz ettiği günümüzde yasanın getirdiklerini öğrenmek şart. Bu yüzden yeni yürürlüğe giren ve büyük önem arz eden bu maddeleri kısaca değerlendirmekte fayda var.

Kanunun 8. madddesinde Kişisel verilerin ilgili kişinin açık rızası olmadan aktarılamayacağından bahsedilmiş ancak;
–   Kanunlarda açıkça öngörülmesi,
– Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
– Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
– Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
– İlgili kişinin kendisi tarafından alenileştirilmiş olması,
– Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
– İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, durumlarında ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.
Ayrıca yeterli önlemlerin alınması kaydıyla, sağlık ve cinsel hayata ilişkin kişisel veriler kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
9. maddede öngörüldüğü üzere kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak;
– Kanunlarda açıkça öngörülmesi,
– Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
– Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
– Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
– İlgili kişinin kendisi tarafından alenileştirilmiş olması,
– Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
– İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarında,
Ayrıca yeterli önlemlerin alınması kaydıyla, Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, kişisel verinin aktarılacağı yabancı ülkede;
-Yeterli korumanın bulunması
-Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla, ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
11.maddede kişilerin sahip olduğu haklar belirtilmiştir. Buna göre;
Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
– Kişisel veri işlenip işlenmediğini öğrenme,
– Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
– Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
– Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
– Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
– Kişisel verilerin silinmesini veya yok edilmesini isteme,
– Düzeltme ve silme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
– İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
– Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
 13.maddede veri sorumlusuna başvuru hakkındadır.
Bu maddenin öngördüğü üzere;
– İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veri sorumlusuna iletir.
– Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.
-Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.
– Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir.
Bir sonraki yazımda diğer maddeleri ve getirilerini yazacağım.