Kişisel Verilerin Korunması Kanunu Nedir?

Kişisel Verilerin Korunması Kanunu Ne Zaman Yürürlüğe Girmiştir?

18 Ocak 2016 tarihinde Kişisel Verilerin Korunması Kanunu Tasarısı TBMM Başkanlığı’na sevk edilmiştir. TBMM Genel Kurulu tarafından 24 Mart 2016 tarihinde kabul edilerek kanunlaşmış olup 7 Nisan 2016 tarihinde 29677 sayılı Resmî Gazete ile yayımlanarak yürürlüğe girmiştir.

Kişisel Verilerin Korunması Kanunu Kimleri Kapsıyor?

Kişisel Verilerin Korunması Kanunu,

• Kişisel verileri işlenen gerçek kişiler ve
• Kişisel verileri tamamen veya kısmen otomatik ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler

hakkında uygulanır.

Kanun’da kişisel verisi işlenen gerçek kişilerden bahsedilmektedir. Dolayısıyla hak ehliyetine sahip olan gerçek kişiler Kanun kapsamındadır. Ancak tüzel kişilerin kişisel verisi bulunmaz.

Veri işleyenler bakımından, özel sektör kuruluşları ve kamu kurum ve kuruluşları arasında bir ayrım yapılmamıştır. Ancak veri kayıt sisteminin parçası olmaksızın veri işleyenler 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yer almaz. 

Kişisel Verilerin Korunması Nelerdir?

Kişisel verileri koruma, kişisel verilerin işlenmesinin disiplin altına alınarak temel hak ve özgürlüklerin korunamsıdır.

6698 sayılı Kişisel Verileri Koruma Kanunu kapsamında koruma altına alınan olgular,

• Tamamen veya kısmen otomatik yollarla işlenen kişisel veriler
• Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel veriler

olmak üzere ikiye ayrılır.

108 sayılı Avrupa Konseyi Sözleşmesi’nde verilerin kaydı, silinmesi, değiştirilmesi veya dağıtılması işlemlerinin otomatik ya da kısmen otomatik yöntemlerle gerçekleştirilmesi “otomatik işleme” olarak tanımlanmıştır.

Otomatik olmayan yollarla işlenen kişisel veriler herhangi bir veri kayıt sisteminin parçası değilse Kişisel Verileri Koruma Kanunu kapsamında yer almaz.  

Kişisel Veri Şartları Nelerdir?

Kişisel veri, kimliği belirli veya belirlenebilir olan gerçek kişilere ilişkin her türlü bilgiye denmektedir. Buna göre, herhangi bir verinin 6698 sayılı Kanun’un korumasından yararlanması için bir arada bulunması gereken unsurlar şunlardır:

1. Gerçek kişi olmalıdır: Kişisel veriler gerçek kişilere aittir. Tüzel kişilere ilişkin veriler bu tanım kapsamında yer almaz.
2. Belirli veya belirlenebilir bir kişi olmalıdır: İlgili kişinin doğrudan kimliğini ortaya koyan ya da herhangi bir kayıtla ilişkilendirilmesi sonucu kişinin kimliğinin ortaya konulmasını sağlayan veriler içermelidir.
3. Her türlü bilgi: Kişiyi doğrudan ya da dolayı olarak belirlenebilir kılan her türlü bilgi bu kapsamda yer alır.

Kişisel Veri Kapsamına Neler Girer?

Kanun, kişisel veri olarak kabul edilecek bilgileri sınırlı sayma yoluna gitmemiştir. Dolayısıyla her somut olayın niteliğine göre “kişiyi tanımlayabilme” kriteri gözetilerek kişisel veri değerlendirmesi yapılmaktadır.

Örneğin,

• Telefon numarası
• Motorlu taşıt plakası
• Sosyal güvenlik numarası
• Pasaport numarası
• Özgeçmiş
• Resim
• Görüntü ve ses kayıtları,
• Parmak izleri
• E-posta adresi
• Hobiler
• Tercihler
• Etkileşimde bulunulan kişiler
• Grup üyelikleri
• Aile bilgileri
• Sağlık bilgileri
• İkamet adresi
• Fotoğrafı
• Banka hesap bilgileri
• Faturaları
• Doğum yeri
• Doğum tarihi

Kişisel Veri Türleri Nelerdir?

Kanun’da “özel nitelikli kişisel veriler” ayrıca düzenlenmiştir. Buna göre; kişisel veriler,

• Özel nitelikli olmayan kişisel veriler
• Özel nitelikli kişisel veriler

olarak ikiye ayrılmaktadır.

3. kişiler tarafından öğrenildiği takdirde kişinin ayrımcılığa uğraması ya da mağdur olması riskini taşıyan verilere “özel nitelikli kişisel veri” denmektedir.

Özel nitelikli kişisel veriler, daha fazla koruma uygulanan hassas bir veri grubudur.

6698 sayılı Kanun m. 6/1’de özel nitelikli kişisel veriler, sayma yoluyla belirlenmiştir.

• Irk
• Etnik köken
• Siyasi düşünce
• Felsefi inanç
• Din
• Mezhep
• İnanç
• Kılık – kıyafet
• Dernek, vakıf ya da sendika üyeliği
• Sağlık bilgileri
• Cinsel hayat
• Ceza mahkumiyeti ve güvenlik tedbirleri
• Biyometrik veriler
• Genetik veriler

Kişisel Verilerin Korunmasından Kim Sorumlu?

Kişisel verilerin işlenmesinde işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulumundan ve yönetiminden sorumlu gerçek veya tüzel kişilere “veri sorumlusu” denmektedir.

Veri sorumlusu;

• Kişisel verileri toplama ve toplama yöntemi,
• Hangi tür kişisel verilerin toplanacağı,
• Kişisel verilerin hangi amaçlarda kullanılacağı,
• Kişisel verileri toplanacak bireyler,
• Kişisel verilerin paylaşılması,
• Kişisel verilerin saklanacağı süre

hususlarında karar veren kişidir.

6698 sayılı Kanun m. 12’de veri sorumlusu, veri güvenliğini sağlama hususunda yükümlü kılınmıştır. Veri sorumlusunun başlıca 3 yükümlülüğü bulunur:

• Kişisel verilerin hukuka aykırı işlenmesini önleme
• Kişisel verilere hukuka aykırı erişimi önleme
• Kişisel verilerin muhafazası

Veri sorumlusu, veri güvenliğine ilişkin yükümlülüklerini yerine getirmek için her türlü idari ve teknik tedbiri almak zorundadır.

Veri sorumlusu, kendi kurumunda veri güvenliği sağlamak konusunda denetim yükümlüsüdür. Kurumda gerekli denetimleri kendisi yapabileceği gibi bir 3. kişi aracılığıyla da yaptırabilir.

Veri sorumlusu, kişisel verileri Kanun’a aykırı olarak başkalarına açıklayamazlar. Veri sorumlularının sır saklama yükümlülüğü görevden ayrılmalarından sonra da devam eder.

Veri sorumlusu tarafından verilen talimatlar kapsamında veri sorumlusu adına kişisel verileri işleyen kişilere “veri işleyen” denmektedir. Veri sorumlusu ve veri işleyen aynı kişi olabileceği gibi farklı kişiler de olabilir. Veri işleyen, veri güvenliği kapsamında kişisel verileri korumayükümlülüklerine uyulmasında veri sorumlusu ile müştereken sorumludur.

Kişisel Verilerin Korunması Nasıl Yapılır?

Veri kayıt sisteminde, kişisel veri güvenliğine ilişkin ortaya çıkabilecek risklerin bertaraf edilmesi için veri sorumluları idari ve teknik tedbirler almalıdır.

Kişisel Verilerin Korunması İdari Tedbirler

Mevcut Risk ve Tehditlerin Belirlenmesi

Öncelikle, veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğu ve ortaya çıkabilecek riskler doğru bir şekilde tespit edilmelidir.

Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

Siber güvenliğe ilişkin bir farkındalık eğitimi yapılarak çalışanların ilk müdahaleyi yapacak düzeye gelmeleri sağlanmalıdır.

Kişisel Veri Güvenliği Politikalarının Belirlenmesi

Kişisel veri güvenliğine ilişkin tutarlı bir prosedür hazırlanarak çalışma işleyişine uygun bir şekilde entegre edilerek yasal yükümlülüklere uyumlu hareket edilmesi sağlanmalıdır.

Kişisel Verilerin Azaltılması

Uzun süredir faaliyet gösteren veri sorumluları, fazla miktarda kişisel veri topladığından söz konusu veriler güncelliğini yitirmiş ve meşru bir amaca hizmet etmeyen veriler haline gelebilir. Yalnızca işleme amaçları bakımından hala ihtiyaç olan kişisel verilerin muhafaza edilmelidir.

Veri sorumlusu tarafından alınması gerekli olan idari tedbirler genel olarak şunlardır:

• Kişisel veri işleme envanteri hazırlanması
• Kurumsal politikalar
• Sözleşmeler
• Gizlilik taahhütnameleri
• Kurum içi periyodik veya rastgele denetimler
• Risk analizleri
• İş sözleşmesi ve disiplin Yönetmeliği
• Kurumsal iletişim
• Eğitim ve farkındalık faaliyetleri
• VERBİS’e bildirim

Kişisel Verilerin Korunması Teknik Tedbirler

Siber Güvenliğin Sağlanması

Kişisel veri içeren bilgi teknoloji sistemlerinin korunması için güvenlik duvarı, ağ geçidi, kullanılmayan yazılım ve servislerin silinmesi, yama yöntemi, yazılım güncellemeleri, güçlü şifre ve parola kullanımı, kaba kuvvet algoritması (BFA) gibi yöntemlerle sağlanmalıdır.

Kişisel Veri Güvenliğinin Takibi

Siber saldırılara ve siber suçlara maruz kalma riskinin önüne geçebilmek için müdahaleye geç kalınmamalıdır. Dolayısıyla resmi bir raporlama prosedürü oluşturulması önem arz eder.

Kişisel Verilerin Bulutta Depolanması

Bulut depolama hizmet sağlayıcısı tarafından alınan önlemlerin yeterli ve uygun olup olmadığı veri sorumlusu tarafından değerlendirilmelidir.

Kişisel Verilerin Yedeklenmesi

Kişisel verilerin yok olması, herhangi bir sebeple zarar görmesi, kaybolması veya çalınması gibi risklerin bulunması sebebiyle kişisel veriler yedeklenmelidir.

Veri sorumlusu tarafından alınması gerekli olan teknik tedbirler genel olarak şunlardır:

• Yetki matrisi
• Yetki kontrol
• Erişim logları
• Kullanıcı hesap yönetimi
• Ağ güvenliği
• Uygulama güvenliği
• Şifreleme
• Sızma testi
• Saldırı tespit ve önleme sistemleri
• Log kayıtları
• Veri maskeleme
• Veri kaybı önleme yazılımları
• Yedekleme
• Güvenlik duvarları
• Güncel anti-virüs sistemleri
• Silme, yok etme veya anonim hale getirme
• Anahtar yönetimi

Kişisel Verilerin Korunması Ve Bilişim Suçları

İnternetle birlikte bilişim sistemleri teknolojisi ve kullanımının günümüzde ulaştığı boyut itibarıyla Türk Ceza Hukuku’nda “bilişim suçları” düzenlenmesi zorunlu hale gelmiştir.

5237 sayılı Türk Ceza Kanunu’nda bilişim suçları,

• TCK m. 243 hükmünde “bilişim sistemine girme suçu”
• TCK m. 244 hükmünde “sistemi engelleme, bozma, erişilmez kılma, verileri yok etme veya değiştirme suçu”
• TCK m. 245 hükmünde “banka veya kredi kartının kötüye kullanılması suçu”
• TCK m. 245/A hükmünde “yasak cihaz veya program kullanma suçu”

olarak öngörülmektedir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu Nedir?

Kişisel verilerin işlenmesinde, bireylerin özel hayatın gizliliği hakkı başta olmak üzere temel hak ve özgürlüklerini korumayı amaçlayan düzenlemelerdir.

Kişisel Veri Kategorileri Nelerdir?

6698 sayılı Kanun kapsamında kişisel veriler ikiye ayrılır:

• Özel nitelikli kişisel veriler
• Özel nitelikli olmayan kişisel veriler

Fotoğraf Kişisel Veri Midir?

Kişisel Verilerin Korunması Kanunu kapsamında, bireylerin fotoğrafları kişisel veri niteliğini haizdir.

Veri sorumlusu tarafından fotoğraf vb. kişisel verinin işlenmesi halinde kişiye bir “aydınlatma metni” sunmalıdır.