Ana Sayfa
Kavram Arama : THS Google   |   Forum İçi Arama  

Üye İsmi
Şifre

Aktif Makale 6698 Sayılı Kişisel Verilerin Korunması Kanunu Ve Bu Kanun Kapsamındaki Yönetmeliklerin Uygulanmasındaki Sorunlar Ve İlgili Tarafların Yükümlülükleri

Yazan : Av. Erdinç Laflı [Yazarla İletişim]
Avukat&Arabulucu

Avrupa Konseyi, Avrupa çapında insan hakları, demokrasi ve hukukun üstünlüğünü savunmak amacıyla 5 Mayıs 1949'da kurulmuş uluslararası bir kuruluştur. Avrupa İnsan Hakları Mahkemesi de Avrupa Konseyi'ne bağlıdır. Ayrıca Avrupa Konseyi resmi bir Birleşmiş Milletler gözlemcisidir. Ülkemiz 1949 yılında Avrupa Konseyi’ni kuran antlaşmayı imzalamış ve konseye giren ilk üyelerden olduğu için “kurucu üye” statüsünü kazanmıştır.

Avrupa Konseyi, 1970’li yılların başından itibaren “Kişisel Verilerin Korunması” alanında çalışmalar yapmaya başlamıştır. Yapılan çalışmalar neticesinde 1981 tarihinde Strazburg’da imzaya açılan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” 1 Ekim 1985 tarihinde yürürlüğe girmiştir. Türkiye, 28 Ocak 1981 tarihinde bu sözleşmeyi imzalayan ilk ülkelerden birisi olmuştur. Bu Sözleşme ve bu sözleşmeyi dayanak edinen iç hukuka ilişkin mevzuat düzenlemesi, Avrupa Konseyi’nin çok gerisinde kalarak, 17 Mart 2016 tarih ve 29656 sayılı Resmî Gazetede yayımlanarak iç hukuka dâhil edilmiştir. Bugün 108 sayılı Sözleşme olarak da bilinen Sözleşmenin temel amacı; her üye ülkede, uyruğu veya ikametgâhı ne olursa olsun gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik yollarla işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktır.

Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin “Konu ve Amaç” başlıklı 1. maddesinde “İşbu Sözleşmenin amacı, her bir Tarafın Ülkesinde, uyruğu veya ikamet yeri ne olursa olsun her gerçek kişinin temel hak ve özgürlüklerini ve özellikle kendisiyle ilgili kişisel verilerin otomatik işleme tabi tutulması karşısında özel hayata saygı hakkını güvence altına almaktadır” hükmünü içermektedir.

Sözleşmenin “Tarafların Görevleri” başlıklı 4. maddesinde ise “Her Taraf, kendi iç hukukunda, işbu bölümde yer alan verilerin korunmasına ilişkin temel ilkelere işlerlik kazandırmak amacıyla gerekli önlemleri alır. Bu önlemlerin Tarafça, en geç Sözleşmenin kendisi bakımından yürürlüğe girdiği tarihte alınması zorunludur” hükmünü içermektedir.

Maalesef Ülkemiz, taraf ve kurucu üyesi olduğumuz, “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin” yukarıda arz ve izah edilen amir hükümlerine rağmen bu konuda iç hukukta gerekli düzenlemeleri yapmakta, ziyadesiyle gecikmiş ve Sözleşmenin amir hükümleri ve çağımızın gereklilikleri karşısında “6698 Sayılı Kişisel Verilerin Korunması Kanunu, 07.04.2016 Tarihli, 29677 Sayılı Resmî Gazetede ilân etmiş ve “Yürürlük” başlıklı 32.maddesi’nin “Bu Kanunun; a) 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16’ncı, 17’nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra, b) Diğer maddeleri ise yayımı tarihinde, yürürlüğe girer” hükmü ile yürürlüğe girmiştir.

Her ne kadar yukarıda arz ve izah ettiğimiz ilgili mevzuat ve uygulamaya ilişkin yönetmelikler “karşılaşılması muhtemel somut sorunları” hüküm altına almış olsalar da maalesef uygulamada kamu kurum ve kuruluşlarıyla, ilgili özel gerçek ve tüzel kişiler bu hükümleri uygulamakta yetersiz kalmaktadır. Mevzuata ilişkin yeterli bilgi ve eğitime sahip olmadıkları gibi bu konuda uzmanlaşmış personel istihdamında sıkıntılar yaşadıkları gibi gerekli teknik ve fiziki şartlara da sahip değildirler. Bu kanun kapsamında sadece muhataplara/çalışanlara “açık rıza beyanı” adı altında, ilgili mevzuat kapsamında geçerliliği ve işlerliği olmayan bir takım matbu evraklar imzalatılmak suretiyle, var olan sorunlar suni olarak aşılmak istenilmekte ve kanunun ruhu ve lafzına uyulmamaktadır.

Bu yazımızın konusu; “6698 Sayılı Kişisel Verilerin Korunması Kanunu ve bu kanun kapsamındaki yönetmeliklerin uygulanmasındaki sorunlar ve ilgili mevzuat kapsamında yapılması gerekenleri” özet ve başlıklar halinde aşağıda arz edilmesinden ibarettir.

Umarım bu yazım hukuk dünyasına ve ilgililerine bir nebzede katkı sağlar.


1-) KİŞİSEL VERİLERİN İŞLENMESİNDEKİ GENEL KURALLAR NELERDİR?

Kişisel veriler, ancak ilgili Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olmalı,
b) Doğru ve gerektiğinde güncel olmalı,
c) Belirli, açık ve meşru amaçlar için işlenmeli,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar kişisel veri sorumlusu tarafından muhafaza edilmelidir.


2-) KİŞİSEL VERİLERİN İŞLENMESİ HANGİ ŞARTLARA BAĞLIDIR?

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez olup, bu kural amir hükümdür.

Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. Kişisel verilerine saldırının işçinin kişilik haklarını zedelemesi çerçevesinde değerlendirilmesi ya da kişisel verilerin korunması hakkı gibi kişilik hakkı kapsamındaki bir temel hakkının ihlali göz önüne alındığında, bu iş ilişkisinin işçi yönünden sürdürülmesini beklemek dürüstlük kuralına aykırılık oluşturabilecektir. Ancak işçinin bu fesih hakkını kullanabilmesi için mevcut ihlalin iş ilişkisini çekilmez hale getirmesi aranmaktadır.

a) Kanunlarda açıkça öngörülmesi gerekir.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması gerekir ve bu konuda kanuni temsilcisinin rızası aranır.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olduğunun veri işleyen tarafından makul karşılanacak ölçüde ispatı zorunluluktur.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olması zorunludur.
d) İlgili kişinin kişisel verileri rızası ve kendi özgür iradesiyle alenileştirilmiş olması zorunludur.
e) Kişisel verilerin işlenme şartlarının gerçekleşmesi için bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu unsur olduğu somut veri ve vakıalarla ortaya konulması gerekir.
f) Veri sorumlusu meşru menfaatleri kapsamında, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri işlenmesinin zorunlu olduğunu somut gerekçeler ile ortaya koyabilmelidir.


3-) İLGİLİ KİŞİNİN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİNİN İŞLENME ŞARTLARI NEELERDİR?

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;

a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması gerekir ve bu konuda kanuni temsilcisinin rızası aranır.
ç) İlgili kişinin kişisel verileri rızası ve kendi özgür iradesiyle alenileştirilmiş olması zorunludur.
d) Kişisel verilerin işlenme şartlarının gerçekleşmesi için bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu unsur olduğu somut veri ve vakıalarla ortaya konulması gerekir.
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, hallerinde mümkündür.

Uygulamada bu ilgili mevzuat hükmünün istisnası; kişisel verilerine saldırının işçinin kişilik haklarını zedelemesi çerçevesinde değerlendirilmesi ya da kişisel verilerin korunması hakkı gibi kişilik hakkı kapsamındaki bir temel hakkının ihlali göz önüne alındığında, bu iş ilişkisinin işçi yönünden sürdürülmesini beklemek dürüstlük kuralına aykırılık oluşturabilecektir. Ancak işçinin bu fesih hakkını kullanabilmesi için mevcut ihlalin iş ilişkisini çekilmez hale getirmesi aranmaktadır

Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması şarttır.


4-) VERİ SORUMLUSU VE VERİ İŞLEYEN KİMDİR?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.

Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Veri sorumluları, kişisel veri işlemeye başlamadan önce Kişisel Verileri Koruma Kurulu Başkalığı tarafından tutulan Veri Sorumluları Siciline kaydolması ve bu konuda ilgili mevzuat kapsamında eğitim alması zorunludur.

5-) İŞVEREN KİŞİSEL VERİLERİ KORUMA KANUNUNU VE BUNA BAĞLI MEVZUAT KURALLARINI İHLAL EDER İSE NE OLUR?
İşveren, kanuni yükümlülük gereği işçinin özlük dosyasını oluşturmak ve saklamak durumundadır. Ancak özlük dosyası oluşturmak maksadı ile edindiği ve sakladığı, gizli kalması gereken bu bilgileri açıklayarak yükümlülüğünü ihlal ederse işçi, kişisel verilerinin hukuka aykırı olarak kullanılması nedeniyle ilgili mevzuatta düzenlenen kişisel verilere ilişkin suçlar ve kabahatlere bağlı haklarını kullanabileceği gibi iş akdini haklı nedenle feshederek varsa kıdem tazminatı başta olmak üzere tüm işçilik hak ve alacaklarını talep edebilecektir.

6-) KİŞİSEL VERİLERE İLİŞKİN SUÇLAR VE KABAHATLER NELERDİR?

Kişisel verilere ilişkin suçlar bakımından 26/09/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140 ıncı madde hükümleri uygulanır.
Bu Kanunun 7’nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.


Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15’inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16’ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
d) (Ek:2/3/2024-7499/35 md.) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
(2) (Değişik:2/3/2024-7499/35 md.) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) (Ek:2/3/2024-7499/35 md.) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.
(4) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.












Naçizane yazımı, şimdiye kadar zaman ayırıp, emek ve sabır vererek okuduğunuz için tüm içtenliğimle teşekkür ederim. Malumunuz bu yazımdaki ilgili konu ve kapsamı oldukça geniş ve girift olup, Kişisel Verilerin Korunması Hakkındaki konunun her yönünün hukuki açıdan değerlendirilmesi bu kısa özet ile olanaksızdır. Vakit ve ilginize sığınarak bu konuya ilişkin yazılarımı, mevzuattaki diğer düzenlemeler ile Kişisel Verileri Koruma Kurulu Kararları ve Yargısal İçtihatlar ışığında dönem dönem paylaşmaya devam edeceğim.
Bu makaleden kısa alıntı yapmak için alıntı yapılan yazıya aşağıdaki ibare eklenmelidir :

"6698 Sayılı Kişisel Verilerin Korunması Kanunu Ve Bu Kanun Kapsamındaki Yönetmeliklerin Uygulanmasındaki Sorunlar Ve İlgili Tarafların Yükümlülükleri" başlıklı makalenin tüm hakları yazarı Av. Erdinç Laflı'e aittir ve makale, yazarı tarafından Türk Hukuk Sitesi (http://www.turkhukuksitesi.com) kütüphanesinde yayınlanmıştır.

Bu ibare eklenmek şartıyla, makaleden Fikir ve Sanat Eserleri Kanununa uygun kısa alıntılar yapılabilir, ancak yazarının izni olmaksızın makalenin tamamı başka bir mecraya kopyalanamaz veya başka yerde yayınlanamaz.


[Yazıcıya Gönderin] [Bilgisayarınıza İndirin][Arkadaşa Gönderin] [Yazarla İletişim]
Bu makaleye henüz okuyucu yorumu eklenmedi. İlk siz yorumlayın!
» Makale Bilgileri
Tarih
18-08-2024 - 15:01
(54 gün önce)
Makaleyi Düzeltin
Yeni Makale Gönderin!
Değerlendirme
Henüz hiç değerlendirilmedi.
Okuyucu
280
Bu Makaleyi Şu An Okuyanlar (1) :  
* Son okunma 1 gün 3 saat 48 dakika 18 saniye önce.
* Ortalama Günde 5,09 okuyucu.
* Karakter Sayısı : 13603, Kelime Sayısı : 1661, Boyut : 13,28 Kb.
* Henüz yazarla iletişime geçen okuyucu yok.
* Makale No : 2232
Yorumlar : 0
Bu makaleye henüz okuyucu yorumu eklenmedi. İlk siz yorumlayın!
Makalelerde Arayın
» Çok Tartışılan Makaleler
» En Beğenilen Makaleler
» Çok Okunan Makaleler
» En Yeni Makaleler
THS Sunucusu bu sayfayı 0,03711891 saniyede 13 sorgu ile oluşturdu.

Türk Hukuk Sitesi (1997 - 2016) © Sitenin Tüm Hakları Saklıdır. Kurallar, yararlanma şartları, site sözleşmesi ve çekinceler için buraya tıklayınız. Site içeriği izinsiz başka site ya da medyalarda yayınlanamaz. Türk Hukuk Sitesi, ağır çalışma şartları içinde büyük bir mesleki mücadele veren ve en zor koşullar altında dahi "Adalet" savaşından yılmayan Türk Hukukçuları ile Hukukun üstünlüğü ilkesine inanan tüm Hukukseverlere adanmıştır. Sitemiz ticari kaygılardan uzak, ücretsiz bir sitedir ve her meslekten hukukçular tarafından hazırlanmakta ve yönetilmektedir.