6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU

GİRİŞ

Hukuk sistemleri gelişmeler ile birlikte değişerek zaman ile genişlemekte ve şekil değiştirmektedir. Kişisel Verileri Koruma Kanunu da bu yöndeki bir ihtiyaç dâhilinde oluşturulmuştur. Günümüz gelişen bilişim çağı ile birlikte kamu, özel kurum ve kuruluşlar kişisel veri niteliğindeki bilgileri, toplamaktadırlar. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun temeli 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifidir. Ülkemizde ise 2016 yılında yürürlüğe girerek özel sektör şirketleri ile kamu kurumları için uygulanabilir hale gelmiştir.

 Bu veriler bir görevin yerine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak işlenmekte ve kullanılmaktadır. Kanun bu verilerin kullanılmasını yasaklamanın aksine kişisel veri niteliğindeki bilgilerin gelişi güzel toplanmasını, yetkisiz kişilerin erişimden olmasını, amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesini amaçlamaktadır.

Bu kanun ile kişisel veriler çağdaş standartlarda işlenmekte ve koruma altına alınmaktadır.  6698 sayılı Kanun kapsamında koruma altına alınan kişisel veriler; sadece gerçek kişilere ait olan kişisel verilerdir. Tüzel kişiler bu kanun kapsamında tutulmamıştır. Kamu kurumları ile özel kuruluşlar ayrımı yapılmamıştır. Kamu kurumlarının işlediği kişisel veriler hakkında da bu kanun hükümleri uygulanacaktır. 

Kişisel Veri Nedir?

Kişisel veri mutlaka gerçek kişiye ilişkin bir bilgidir, dolayısıyla şirketlere ait vergi kimlik numaraları ya da ticaret sicil numaraları gibi veriler kişisel veri kapsamında düşünülemez ve bu kanun kapsamında korunmasına gerek yoktur. Kanunda kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü veri kişisel veri olarak tanımlanmıştır. Bu aşamada bir verinin Ad, soyad, T.C. kimlik numarası, E-Mail adresi, telefon numarası, taşıt plakası ya da parmak izi, özgeçmiş gibi pek çok veri, bir kişiyi belirli kılabildiği için kişisel veri olarak nitelendirilmektedir. Kişisel verilerin bir kısmını da Özel Nitelikli Kişisel Veriler oluşturmaktadır. Özel nitelikli kişisel verilerinizin bazıları sağlık verileriniz, göz renginiz, kullandığınız sosyal medya adresleriniz vs. gibi

Gerçek kişiye ilişkin kişisel veri şirketlerde 4 ana etapta incelenmektedir.

1.  Çalışan verisi, her şirketin çalışanları ve her şirket çalışanlarına ilişkin pek çok kişisel veri işlenmektedir., dolayısı ile çalışan kişisel verisi her şirketin mutlaka dikkat etmesi gereken bir kategoridir.

2. Gerçek Kişi Müşterilere ilişkin kişisel veriler, şirketler, gerçek kişi müşterilerle iş yapabilecekleri için gerçek kişi verileri müşterilerin kişisel verilerine bu kanun kapsamında dikkat edecek ve bu doğrultuda mutlaka gerekli aksiyonların alınması gerekecektir.

3.  Tedarikçi, Taşeron ve Çalışılan üçüncü parti firmaların ve çalışanlarının verileri 

Tüzel kişilerin yetkili ve çalışanlarının kişisel verileri de bu kanun kapsamındadır bu nedenle kişisel verilerine de dikkat edilmesi gerekmektedir.

4.   Ziyaretçiler.  Kurum içi iş ziyareti veya çalışan ziyareti için kuruma gelen gerçek kişi verileri

Kişisel verilerin hangi kategoride olduğuna ilişkin mutlaka incelemeler yapılmalı ve kanun kapsamındaki gerekli önlemleri almalıyız. 

Kişisel verinin benzer kavramlardan çok açık farklılıkları vardır. Kişisel veri bir bankacılık sırrı veya müşteri sırrı değildir. Kişisel veri mutlaka gerçek kişiye ait olmalı ve asla şirketlere ait vergi kimlik numarası ya da bir şirketin ticari kar miktarı gibi bilgileri kişisel veri kapsamında düşünülmemektedir. Tüzel kişilerde bir gizlilik sözleşmesinin olması kişisel verilerle ilgili yeterli korumanın sağlandığı anlamına gelmez. Kişisel verilerin korunması için mutlaka birtakım belgelerin düzenlenerek imzalanması ve yürürlüğe konması gerekir.

Veri Sorumlusu ve Veri İşleyenin Görevleri Nelerdir?

Kişisel verileri alan ve işleyen gerçek veya tüzel kişi veri sorumlusudur. Veri sorumlusu kişisel verilerin işlenmesinde de asıl karar mekanizması olarak düşünülebilir. Yani bir kişiye ait hangi kişisel verinin işleneceğine, bu kişisel verinin nerede tutulacağına, kimlere gönderileceğine karar veren veri sorumlusudur. Örneğin şirket ve çalışan arasındaki ilişkide çalışanların hangi kişisel verilerinin işleneceğini ve bunların neresi olacağına karar veren şirket olduğu için şirket veri sorumlusu olacaktır. 

Kanunda birde veri işleyen tanımına yer verilmiş. Veri işleyen, veri sorumlusunun verdiği talimatlar çerçevesinde kişisel verileri işlemektedir. Buna da teknik yazılım desteği veren bir şirket örneği verebiliriz. Örneğin, Seyahat acentesi olan bir tüzel kişiliksiniz, seyahat şirketi adına turlar düzenliyorsunuz ve bu kapsamda bir kısım kişisel verileri işliyorsunuz.  İşte burada seyahat acentesi veri işleyen, seyahat şirketi ise veri sorumlusudur.

İlgili Kişi Kimdir?

İlgili kişi, kişisel verisi işlenen gerçek kişiyi ifade eder. Kanunda, yalnızca gerçek kişilerin verilerinin korunması öngörülmüş, tüzel kişilerin verileri Kanun kapsamı dışında tutulmuştur. Kanunda yer alan kişisel verinin tanımı gereği, tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde, bu veriler de kanun kapsamında koruma altına alınmaktadır. Ancak, burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır.

Kişisel Verilerin İşlenmesi Ne Demektir?

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

Kişisel verilerin kanuna uygun olarak işlenmesi 3 şartın aynı anda sağlanmasıyla mümkün olabilmektedir. Bunlar; Aydınlatma Yükümlülüğü, Açık Rıza (İstisnai haller dışında), Genel İlkelere Uygunluktur. Bir kişisel veriyi hukuka uygun bir şekilde işlemek için öncelikle kişinin mutlaka aydınlatılması gerekmektedir.  Aydınlatmanın nasıl yapılacağına dair kanunen bir şekil şartı öngörülmediği için Sesli aktarım  ya da  yazılı olarak yapabilmektedir. Ancak bu hususun ispatı açısından yazılı olarak yapılması daha uygun olacaktır. Kişisel veriler, genel ilkelere uygun bir şekilde belli bir amaç ve süreyle sınırlı olarak işlenmeli, kişisel verileri işlemenin gerektirdiği amaç ve süre sona erdikten sonra kişisel veri silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kişisel Verileri Koruma Kurumu’nun Görevleri Nelerdir?

Kanun ile birlikte kanun kapsamındaki faaliyetlerin nasıl yürütüldüğü kontrol eden bir kurum kurulmuştur. Bu kurumun adı Kişisel Verileri Koruma Kurumu’dur. Bağımsız idari bir otorite ve birtakım denetimler yapmaya cezalar kesmeye yetkili olan bu kurum şu anda aktif olarak faaliyet göstermekte ve kurumun içerisindeki kurulda aktif olarak şikâyet üzerine veya resen denetimlerle ihlalleri tespit edip cezalar kesmektedir.

Veri Sorumlusunun Yükümlülükleri Nelerdir?

Veri sorumlusu, daha önce de bahsedildiği üzere verilerin hukuka uygun olarak işlenmesinden sorumlu olan kişidir. Yalnız bunun dışında veri sorumlusunun bazı yükümlülükleri de mevcuttur bunlar;

Kişisel Verilerin Hukuka Uygun Olarak İşlenmesi

Veri Güvenliğine İlişkin Yükümlülükleri 

Aydınlatma Yükümlülüğü 

Veri envanteri ve Sicile Kayıt 

Başvuruları Yanıtlama 

İlkelere Uygun Hareket Etme 

Kurul Taleplerini Yerine Getirme 

Yurtdışına Veri Transferi

İmha Etme Yükümlülükleri 

Kişisel Verilerin İşlenme Şartları Nelerdir?

 Kişisel verilerin kanuna uygun olarak işlenmesi 3 şartın aynı anda sağlanmasıyla mümkündür. Bunlar;

Aydınlatma Yükümlülüğü

Açık Rıza (İstisnai haller dışında)

Genel İlkelere Uygunluk

Bir kişisel veriyi hukuka uygun bir şekilde işlemek için öncelikle mutlaka bir aydınlatma yapılması gerekmektedir. Bu aydınlatma sesli ya da yazılı olarak yapılabilir.

Aydınlatmanın yanı sıra gerekiyorsa açık rızanın da alınması şarttır fakat açık rıza gerektirmeyen istisnai bazı durumlarda vardır.

Üçüncü şart olarak kişisel veriler genel ilkelere uygun bir şekilde belli bir amaç ve süreyle sınırlı olarak işlenmelidir, kişisel verileri işlemenin gerektirdiği amaç ve süre sona erdikten sonra kişisel veriyi silinmeli, yok edilmeli veya anonim hale getirilmelidir. 

Aydınlatma Yükümlülüğü

 Bir kişisel veri ile karşı karşıya kalındığında karşı tarafa bu kişisel verinin neden işlendiğini, bu kişisel verinin başka kimlere aktarılacağı hususlarında mutlaka aydınlatılması gerekmektedir. Aydınlatmanın şekli kişisel verinin işlendiği sürece göre değişebilmektedir. Eğer ziyaretçilere ilişkin bir kişisel veri işleniyorsa, şirket girişine asılacak bir panoyla ya da ziyaretçilere basılı bir evrak verilerek aydınlatma yapılabilir.  Ancak eğer kişisel veri e-mail yoluyla işleniyorsa e-mailde imzaların altında ufak bir not ile kişisel verinin işlendiğini belirterek karşı taraf aydınlatılabilir, dolayısıyla kişisel veriler işlendiği sürece göre aydınlatmanın şekli ve yöntemi de değişebilir. Ancak aydınlatmanın mutlaka yapılması gerekmektedir.

Açık Rızanın İstisnaları Nelerdir?

İlgili kişiye ait veriler ile ilgili faaliyetler yapılmadan önce, kanunun öngördüğü rıza aranmayan durumlar dışında açık rızası alınmaktadır. Kanunun 28. maddesinde bazı hallerde bu hükümlerin uygulanmayacağı belirtilmektedir. 

Bunlardan ilki kanun hükmü, eğer kişisel verinin işlenmesi herhangi bir kanunda özellikle düzenlenmiş ise açık rıza alınmasına gerek yoktur. Sadece aydınlatma yaparak ilerlenebilir.

 İkincisi sözleşmenin ifası, eğer teslimat yapmak için bir firma ya da bir kişinin adresi alınıyor ise bu adresle ilgili açık rıza alınmasına gerek yoktur. Çünkü bu adres sözleşmeyi ifa etmek için alınmakta ve dolayısıyla açık rızanın istisnası kapsamında düşünülmektedir.

 Üçüncüsü ise fiili imkansızlıktır. Örneğin eğer iş yerinde birisi baygınlık geçirdi ise ve bu kişinin kan grubunu acilen iş yeri hekimine söylememiz gerekiyorsa yine açık rıza alınmasına gerek yoktur. Fiili bir imkânsızlık olduğu için ortada baygınlık geçiren kişiden açık rıza almamız zaten mümkün olmayacaktır. 

Dördüncüsü veri sorumlusunun hukuki sorumluluğunun yerine getirilmesi için de yine açık rıza almasına gerek yoktur. Eğer şirket mali bir denetimden geçiyorsa ya da tabi olduğu özel mevzuat gereği başka birtakım denetimler sebebiyle kişisel verileri aktarmak ya da göndermek durumunda ise açık rıza almadan bunu yapabilir. Çünkü burada kendi hukuki yükümlülüğünü yerine getirmektedir. 

Beşinci istisna aleni hale getirme, kişinin acil durumlarda ulaşılması için iletişim bilgilerini ilan etmesi, kişinin bu bilgileri kendisinin aleni hale getirmesi sebebiyle kanunun istisnaları kapsamındadır. Dolayısıyla yine açık rıza almadan ilerlenebilecektir.  

Altıncı istisna bir hakkın tesisi, korunması ve kullanılması ise işten ayrılan bir çalışana ait gerekli bilgilerin dava zamanaşımı süresi boyunca tutulması ile örneklendirilebilir. Her ne kadar bir kişi işten ayrıldıktan sonra kişisel verilerinin tutulmasını istemese bile aslında şirketlerin bu verileri tutmak için haklı bir sebebi vardır ve gerekli zamanaşımı süresi boyunca bu bilgilerin tutulması gerekir. Dolayısıyla bir hakkın tesisi, korunması ve kullanılması kapsamında bu kişisel verileri tutmak içinde açık rıza almadan şirketler bu kişisel veriyi tutmaya devam edebilir. 

Yedinci ve son istisna, meşru menfaat, her şirket çalışanlarının terfilerini veya bonus ödemelerini organize edebilmek için çalışan performans kayıtlarını tutmaktadır. Burada da aslında şirketlerin meşru menfaati olduğu kabul edildiğinden açık rıza almadan ilerlenebilir. 

Bu gibi durumlarda yani istisnanın kapsamına girilen durumlarda açık rıza almaksızın sadece aydınlatma yaparak veri işlemek mümkündür. 

Açık Rıza Nasıl Alınır?

İstisna kapsamına girmeyen durumlarda ise açık rıza alınması zorunludur. Açık rıza ise, ilgili kişinin özgür iradesine dayanılarak verilmeli, tereddütte yer vermeyecek açıklıkta olmalı ve yalnızca o işlemle(amaçla) sınırlı olarak verdiği onay kapsamında alınmalıdır.

Genel İlkelere Uygun Olarak İşleme

Aydınlatma yükümlülüğü ve açık rıza kavramlarının dışında ise kişisel verilerin işlenmesi sırasında uyulması zorunlu birtakım ilkeleri Kanun 4. Maddesinde belirlemiştir. Kişisel verilerin bu genel ilkelere bağlı olarak ve genel ilkelerin gösterdiği doğrultuda işlenilmesi gerekmektedir. Genel ilkeler;

Hukuka ve dürüstlük kuralına uygun olma 

Doğru ve gerektiğinde güncel olma 

Belirli, açık ve meşru amaçlarla işlenme, 

Gerekli olan süre kadar muhafaza etme,

İşlendikleri amaçla sınırlı, bağlantılı, ölçülü olma 

Özel Nitelikli Kişisel Veriler Nelerdir?

Kanunda birtakım kişisel veriler ise özel nitelikli kişisel veri olarak tanımlanmıştır, bunlar; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık veya cinsel hayata ilişkin veriler, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili bilgiler, biyometrik ve genetik veriler olmak üzere sınırlı sayıda belirlenmiştir. Bu kişisel veriler normal diğer kişisel verilere göre nispeten daha fazla ve hassas bir korumaya tabii tutulmuştur ve bu özel nitelikli kişisel verilerle ilgili mutlaka daha hassas önlemlerin alınması gerekmektedir. 

Şirketler tarafından burada asıl önemli olan sağlık veya cinsel hayata ilişkin kişisel verilerdir, zira sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Örneğin çalışanlara ilişkin sağlık raporundaki sağlık verilerini işleyen şirketlerde, kanunun madde 6/3-son cümlesi gereğince yalnızca iş yeri hekiminin görmesi şartıyla sağlık verilerinin işlenmesi mümkün olabilecektir.

Kişisel Verilerin Aktarılması Nasıl Yapılır?

Kişisel verilerin aktarılması da yine kural olarak açık rıza olmadan yapılamaz. Fakat, rıza aranmayan bazı durumlar öngörülmüştür, bu durumlar ilerleyen günlerde güvenli ülkeler listesinin yayınlanması ile birlikte çok daha netleşecektir. Fakat Kurum tarafından henüz kişisel veri aktarabilecek güvenli ülkeler listesi yayınlanmadığı için şu an da kişisel verilerin aktarılması için mutlaka açık rıza almak gerekmektedir. Dolayısıyla global şirketlerin kişisel verileri yurt dışına aktarırken mutlaka bu kurallara uyulması gerekmektedir ve güvenli ülkeler listesi yayınlandıktan sonra da kişisel verileri aktardıkları ülke eğer güvenli ülkeler listesinde yer alıyorsa biraz daha kolay bir şekilde kişisel verilerin aktarımı sağlanabilir. 

İlgili Kişinin Hakları Nelerdir?

Bu kanun kapsamında bireylerin sahip olacağı bazı haklar mevcuttur. Bu kanun kapsamında her birey veri sorumlusuna başvurarak kendisiyle ilgili bilgi edinme talebinde bulunabilir ve bu taleple birlikte kendisi hakkında hangi kişisel verilerin işlendiğini öğrenebilir. Doğmuş bir zarar varsa bu zararın giderilmesini isteyebilir, eğer kişisel verilerin eksik veya yanlış işlendiğini düşünüyorsa bu yanlışlığın ya da eksikliğin giderilmesini isteyebilir, kişisel verilerin aktarıldığı üçüncü kişileri öğrenmek isteyebilir, üçüncü kişilere bildirim yapılmasını ve bu kişisel verilerin silinmesini isteyebilir veya yok edilmesini talep edebilir, bu talepleri bireylerin mutlaka veri sorumlusuna doğrudan yapması gerekir. Veri sorumlularının öncelikli olarak ilgili kişi başvuru formlarını düzenleyerek gerek internet sitelerine gerekse de fiziki olarak işletmelerine bu imkânı sağladıklarını göstermeleri gerekmektedir.Akabinde ise bu talepleri aldıktan sonra 30 gün içerisinde yazılı bir şekilde mutlaka cevap vermeleri gerekmektedir. Çünkü 30 günlük süre eğer geçirilirse, bireylerin gidip kuruma şirketi şikâyet etme hakları doğacaktır. Dolayısıyla bu taleplere dikkatli bir şekilde cevap vermek önemlidir, aksi takdirde şirketlerin idari ceza yaptırımlarına maruz kalmaları mümkün olabilir. 

YAPTIRIMLAR

İdari Para Cezasına İlişkin Yaptırımlar

Aydınlatma yükümlülüğüne aykırılık 

5.000-100.000 TL

Veri Güvenliğine ilişkin yükümlülüklere aykırılık

15.000-.1.000.000 TL

Kurul kararlarına uymama

25.000-1.000.000 TL

Sicile kayıt ve bildirim yükümlülüğüne aykırılık

20.000-1.000.000 TL

Hapis Cezası Gerektiren Yaptırımlar

Kişisel verilerin Kanun’a aykırı kaydedilmesi

1-3 yıl

Özel nitelikli kişisel verilerin Kanun’a aykırı kaydedilmesi

1,5-4 yıl

Verileri hukuka aykırı olarak verme/yayma veya ele geçirme

2-4  yıl

Verileri Kanun’a uygun şekilde silmeme/yok etmeme

1-2 yıl

ENVANTER VE VERBİS NEDİR?

Envanter, kişisel verilerin kategorizasyonun ve alınma amaçlarının takibi konusunda oluşturulması gereken bir cetveldir. Envanterin içerisinde işlenen tüm kişisel verilere dair adeta bir rapor olarak sunulabilecek tüm bilgiler mevcuttur. Olası bir denetim durumunda kurum yetkilileri şirketlere gelip bu envanteri görmek isteyeceklerdir. 

Verbis ise, şirketlerde bulunan envanterin, kurum nezdinde kayıtlı olan halidir. İşlenilen kişisel verilerin takibi şirkette bulunan envanter üzerinden yapılacak ve Verbis’e de bildirilecektir. Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicil’e kaydolmak zorundadır ve sicil kamuya açık biçimde tutulur. Fiili, hukuki veya teknik bir imkânsızlık nedeniyle Sicil’e başvurulamaması halinde ek süre talep edilebilir. Sicil başvurularında Sicil’e açıklanacak bilgiler kişisel veri işleme envanterine dayalı olarak hazırlanır. 

Aydınlatma yükümlülüğü yerine getirilirken, veri sahibinin başvurusunun yanıtlanmasında, veri sahibinden temin edilecek açık rızanın kapsamının belirlenmesinde Sicil’e sunulan bilgiler esas alınır.  Veri sorumluları, Sicil’e sunulan ve Sicil’de yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Sicil’e ilişkin işlemler, veri sorumluları tarafından Verbis üzerinden gerçekleştirilir. Veri sorumlusunun imha yükümlülüğünü yerine getirmesinde Sicil’e bildirmiş olduğu azami saklama süresi dikkate alınır.  

Ancak herkes Verbis’e kayıt olmak zorunda değildir. Kurum verdiği bir kararla kimlerin Verbis’e kayıt olması gerektiğini açıklamıştır. Buna göre 50 ve üstü çalışanı bulunan veya yıllık mali bilançoları 25 milyon TL üzerinde olan işletmeler Verbis’e kayıt olmak zorundadır.  Aksi halde 20.000 TL ile 1.000.000 TL arasında idari para cezaları ile karşı karşıya kalabilirler. Bu şartlardan birini dahi sağlamayan işletmelerin ise yalnızca Verbis’e kayıt zorunluluğu yoktur. Onun dışında yine kanun kapsamında kişisel verileri korumakla yükümlüdürler.  Verbis’e kayıt olduktan sonra tüzel kişi bir irtibat kişisi atayarak, o kişi üzerinden veri işleme faaliyetini gerçekleştirebilecektir.

Şirketlerin Alması Gereken Tedbirler ve Eksikliklerin İyileştirilmesi

Şirketlerin idari ve teknik tedbirleri alma yükümlülüğü süreklilik arz eden bir konu olup, sorumluluğun oluşumunda baş etken olarak kendini gösterecektir. Öncelikle çalışanlara e-mail gönderirken e-mail yazışmalarında gereksiz bir kişisel veri olup olmamasına dikkat edilmeli, varsa bu kişisel veriler silinerek e-mail o şekilde gönderilmelidir. Bunun yanında iş süreçleri için gereksiz kişisel veriler talep edilmemeli eğer talep edildiyse imha edilmelidir. Kişisel veri içeren basılı belge ve ekipmanlar açık bir şekilde ortada bırakılmamalıdır. Bilgisayarlar açık bırakılarak bilgisayar başından ayrılınmaması, mutlaka bilgisayarların kilitlenerek ofisin terk edilmesi gerekmektedir. KVKK kapsamında gelen bilgi edinme sebepleri hakkında ilgili departmanlara bilgilendirme yapılmalıdır.

Saklama ve İmha Yükümlülüğü

Kişisel verilerin işleme amaçlarının ortadan kalkmasıyla birlikte veri sorumlularının ilgili kişilere ait kişisel verileri eğer yasal bir saklama süresi öngörülmemişse makul bir süre içerisinde yok edilmesi gerekmektedir. Eğer ki yasal bir saklama süresi öngörülmüşse örneğin, TTK’dan doğan ticari defter ve belgelerin 10 yıl saklanması yükümlülüğü gibi bir süre öngörülmüşse, 10 yılın dolmasıyla beraber şirketler bu kişisel verileri imha etmeleri gerekecektir. İşleme amacı kalmayan ve saklama yükümlülüğü bulunmayan kişisel verilerin şirket bünyesinde tutulması hukuka aykırılık arz edeceği gibi doğrudan idari para cezası yaptırımının önünü açacaktır. 

Bu kapsamda kanun bize 3 seçenek sunmaktadır. Bunlar; verilerin silinmesi, verilerin yok edilmesi ve verilerin anonimleştirilmesidir. Verilerin silinmesi kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Verilerin yok edilmesi kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Verilerin anonimleştirilmesi ise kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

SONUÇ 

6698 Sayılı Kanun ile birlikte kişisel verilerin korunması üzerine ciddiyetle eğil

Inmesi gereken, aksi halde büyük yaptırımlarla karşılaşılabilecek bir alan haline gelmiştir. Bu sebeple, veri sorumlularınca ivedilikle Kanun’a uyum çalışmalarının başlatılması ve yürütülmesi önem arz etmektedir.  

Daha önce de belirttiğimiz üzere 6698 Sayılı Kanun’un temeli 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifidir. Avrupa Birliği bu direktifte yapılan düzenlemelerin yetersiz kaldığını düşünerek 2016 yılında Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)’nü kabul etmiştir. 25 Mayıs 2018 tarihinde yürürlüğe giren GDPR oldukça detaylı ve daha ağır yaptırımlara tabi olup, Avrupa’da veri sorumluları GDPR uyum süreçlerini çoktan tamamlamışlardır. 

Kanaatimizce gelişen bilişim çağı ve ticaret hayatıyla birlikte uluslararası alanda etkin olmak isteyen Türkiye’nin de 6698 Sayılı Kanun’a uyumluluk sürecini bir an önce tamamlayıp GDPR gibi daha katı şartlara tabi olan yeni bir düzenleme yapması gerekmektedir.

Tekelioğlu & Ateş Hukuk ve Arabuluculuk Bürosu