6698 Sayılı Kişisel Verilerin Korunması Kanunu Geçici Madde 1 uyarınca Kanun’un yayım tarihi olan 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel verilerin, bu tarihten itibaren iki sene içinde veri sorumlularınca Kanun hükümlerine uygun hale getirilmesi, Kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin ise derhal silinmesi, yok edilmesi veya anonim hâle getirilmesi yükümlülüğü bulunmaktadır. Aynı Maddenin devamında, ”Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” hükmü yer almaktadır. Kişisel Verileri Koruma Kurumu tarafından Kanun’da belirtilen bu iki yıllık “uyum sürecinin” uzatılmasına ilişkin herhangi bir karar alınmamış olup, süreç 7 Nisan 2018 tarihinde sona ermiştir.

Veri sorumlularının Kanun kapsamında hangi kişisel verilerden ne kapsamda sorumlu olduklarının net şekilde tespit edilmesi, bu süreçte veri sorumluları tarafından eksiklerin giderilmesine ilişkin yapılacak çalışmaların maliyetli ve zaman tüketici olması ve mevzuata aykırılıkların hem cezai hem de idari yaptırımları beraberinde getirecek olması açısından önem arz etmektedir. Veri sorumluları, uyum kapsamında özellikle Kanun’un 5. Maddesinde düzenlenen “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.” hükmüne ilişkin ayrıntılı hukuki bilgiye gereksinim duymakta olduğundan, bu hususa hukuki açıdan değinme ihtiyacı doğmuştur. Kişisel Verileri Koruma Kurumu’nun 6 Nisan 2018 tarihli resmi duyurusunda da belirtildiği üzere; “Kanun’un yayımı tarihinden önce yürürlükte bulunan mevzuat çerçevesinde hukuka uygun olarak alınmış rızaların, ilgili kişilerce aksi belirtilmediği sürece … Kanun’a uygun olduğu kabul edildiğinden, veri sorumlularınca bu şartlar dahilinde alınmış mevcut rızaların güncellenmesine veya yeniden ilgili kişilerden açık rıza alınmasına gerek bulunmamaktadır.”

Kişisel verilerin hangi şartlarda işlenebileceği ve işlenemeyeceği 6698 Sayılı Kanun’un 5. ve 6. Maddelerinde açık şekilde düzenlenmiştir. Burada Kurum’un da dikkat çektiği nokta şudur: Kanun uyarınca kişisel verilerin veri sorumlularınca işlenebilmesinin tek şartı açık rıza olmayıp veri sorumlularının kişisel verileri mevzuata uygun şekilde işleyip işlemediklerinin ana yol göstericisi 6698 Sayılı Kanun’un 5. ve 6. Maddesidir. Yani hâlihazırda mevzuata uygun şekilde işlenmekte olan kişisel verilerin, uyum süreci kapsamında mevzuata paralel addedilmesi için, ilgili kişilerden yeniden bir açık rıza alınmasına lüzum bulunmamakta olup, yukarıda belirtildiği üzere, Kanun’un birinci Geçici Maddesi uyarınca, 7 Nisan 2017 tarihine kadar ilgili kişilerce kişisel verilerin işlenmesi hakkında aksine bir beyanda bulunulmamış ise, söz konusu kişisel verilerin işlenmesinin (ilgili maddelerdeki diğer şartlar da sağlanmış olmak kaydıyla) Kanun’a uyumlu hale geldiği kabul edilmiştir. Kaldı ki ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenebildiği durumlar da olabilmektedir, ancak koşulları yine Kanun’un 5. ve 6. Maddesinde düzenlenmiştir.

Uyum süreci kapsamındaki gereklilikleri 7 Nisan 2018 tarihine kadar sağlayamamış olan veri sorumluları ne gibi önlemler almalıdır?

Kişisel verilerin işlenmesine ilişkin usulsüzlüklerin ve aykırı eylemlerin araştırılmasında, incelenmesinde, tespit edilmesinde ve bu tespitlere ilişkin karar verilmesinde yetkili merci 6698 Sayılı Kanun’un 22. Maddesi uyarınca “Kişisel Verileri Koruma Kurulu” olup Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda gerekli incelemeyi yapar. Her ne kadar 7 Nisan 2018 tarihi itibariyle kişisel verileri mevzuata aykırı şekilde işleyen veri sorumlularının cezai ve idari yaptırımlar bakımından sürekli bir risk altında olduğunu da belirtmekte fayda varsa da; mevzuata uyumlu hale gelmek için henüz geç kalınmadığını söylemek mümkündür, hatta veri sorumlularının bir şikayet veya ihlal iddiasına karşı korunması açısından gereklidir. Bu kapsamda bir incelemeye maruz kalınırsa 6698 Sayılı Kanun Madde 15(3) uyarınca Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorunda kalacaktır.

Kişisel veri koruma mevzuatı ile uyumlu olmayan işletmeleri ne gibi riskler ve yaptırımlar beklemektedir?

Bu konudaki şikayetler ve iddialar Kişisel Verileri Koruma Kurulu tarafından incelenir ve karara bağlanır.  İnceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. İhlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Bu kararlar Kişisel Verilerin Korunması Kurumu’nun internet sitesinde (https://www.kvkk.gov.tr/) yayımlanır.

Kişisel verilerin korunması mevzuatına aykırı eylemlere karşı müeyyidelerin 1 yıl ile 4 yıl arasında değişen hapis, 5.000 TL ile 1.000.000 TL arasında değişen idari para cezaları olduğu göz önüne alındığında; işletmelerin mevzuatla uyumlu hale gelmek için vakit kaybetmeksizin harekete geçmeleri önerilmektedir.

BATI ORTAK AVUKATLIK BÜROSU

Nisan 2018

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir