Kişisel Verilerin Korunması Kanunu

Uzun yıllardır tasarı halinde bekleyen ve 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşımaktadır.

Kanun’da belirtilen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek; üçüncü kişilere ve yurtdışına aktarılamayacaktır. Kanun’da ayrı ayrı maddelerde de belirtilmiş olan bu maddelere uyulmaması halinde, kurumlar idari para cezasına çarptırılabileceklerdir.

Kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

Kişisel Verilerin Korunması Kanunu; kişisel veriler, asıl sahipleri tarafından kurum ve kuruluşlara emanet edilen bilgiler olarak değerlendirildiğinde; veriyi işleyen kurumların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili “hesap verebilir” olması için zemin oluşturmakta, kuralları tanımlamaktadır. Kanun, kişisel veriyi işleyen kurumlar için önemli bir dönüşümü de beraberinde getirmektedir.

Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilmeli; bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinmeli, yok edilmeli veya anonim hâle getirilmelidir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak veri sahibinden alınmış rızalar, bir yıl içinde veri sahibi tarafından aksi belirtilmemesi hâlinde, bu Kanuna uygun kabul edilebilecektir.

Kurumları ilgilendiren temel soru ise: “Emanet aldığımız kişisel verilerle ilgili hesap verebilir olmak için neler yapmalıyız?” Bu sorunun cevabını verebilen kurumlar, Kişisel Verilerin Korunması Kanunu da uyumlu olacaklardır.

Kurum ve kuruluşların yukarıda belirtilen temel soruya cevap verebilmeleri:

  • Kişisel verilerin korunması ile ilgili kapsam ve hedefleri belirlemek
  • Kişisel veri politikası oluşturmak
  • Kişisel verilerin korunması ile ilgili sorumluluk ve hesap verebilirlik ilkelerini belirlemek
  • Kişisel veri koruma temsilcileri belirlemek
  • Kişisel verilerin kanuna uygun şekilde işlenmesini sağlayacak yapı için üst yönetim desteği ve kaynak sağlamak
  • Kişisel veri envanteri oluşturmak
  • Kişisel verilerle ilgili riskleri yönetmek
  • Kişisel veri toplama, işleme ve paylaşma yöntemlerini belirlemek
  • Kişisel verilerin güvenliğini sağlamak
  • Kişisel verilerle ilgili şikâyetlerin ele alınma yöntemlerini belirlemek olarak özetleyebileceğimiz Veri Yönetimi çalışmalarının uygulanmasına bağlıdır.