20 Soruda Kişisel Verilerin Korunması Kanunu
Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanan kişisel veri, kimlik, iletişim bilgileri ile sağlık, finans gibi alanlar da dahil olmak üzere kişilere ait bilgileri kapsamaktadır. Günümüz dünyasında kişisel veriler gerek özel sektör, gerekse de kamu tarafından farklı amaçlarla bilişim sistemleri üzerinden alınmakta, paylaşılmakta ve saklanmaktadır. Bu doğrultuda kişilere ait mahrem bilgilerin dahi yetkisiz kişiler tarafından ele geçirilme ve paylaşılması riskleri sebebiyle kişisel verilerin korunması çok büyük önem kazanmıştır.
1980’li yıllardan itibaren uluslararası belgelerde yer almaya başlayan kişisel veriler, Avrupa Konseyi üye ülkeleri tarafından 1981 yılında imzalanan ve Türkiye’nin de tarafı olduğu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi ile koruma altına alınmıştır. Yine daha sonra AB’de kişisel verilerin korunması amacıyla 95/46/EC sayılı Direktif çıkarılmıştır.
Türkiye’de 2010 yılında yapılan Anayasa değişikliği ile anayasal bir çerçeveye oturtulan kişisel verilerin korunması hususu 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile açık ve kalıcı bir düzenlemeye kavuşmuştur.
Aşağıda Kanun kapsamında şirketlerin yükümlülükleri ve bu bağlamda kişisel veri, kişisel verinin işlenmesi ve aktarılması, veri sorumlusu, ilgili kişi gibi kavramlar üzerinde durulacaktır.
- Kişisel veri nedir?
Kanun’da kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır.
Gerekçede ise kişisel verinin bireyin adı, soyadı, doğum yeri, doğum tarihi gibi onun kesin teşhisini sağlayan bilgilerin yanısıra kişinin fiziki, ailevi, ekonomik, sosyal, vb. özelliklerine dair bilgileri de kapsadığı ifade edilmektedir. Dolayısıyla verilerin kişilerin fiziksel, ekonomik, kültürel, sosyal, psikolojik kimliğini ifade eden somut bir içerik taşıması, kimlik, sigorta numarası gibi herhangi bir veri ile ilişkilendirilmesi sonucu kişinin belirlenmesini sağlayan tüm haller kişisel veridir. Bu kapsamda özgeçmiş, telefon numarası, motorlu taşıt plakası, ses ve görüntü kayıtları gibi bilgilerin de kişisel veri olarak değerlendirileceği belirtilmektedir.
- Kanun’un amacı ve kapsamı nedir?
Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Kanun’da kamu veya özel sektör, şirketlerin faaliyet alanları veya büyüklükleri benzeri herhangi bir ayrım gözetilmemiştir. Bu doğrultuda kişisel verileri işleyen tüm gerçek ve tüzel kişilerin Kanun’da düzenlenen usul ve esaslara uyması, uyum için gerekli tedbirleri alması ve Kanun’un öngördüğü bildirimleri gerçekleştirmesi gerekmektedir.
- Kanun hangi hallerde uygulanmamaktadır?
Kanun’un uygulanmayacağı istisnai durumlar 28. maddede düzenlenmiştir. Bu kapsamda aşağıda sayılan hallerde Kanun hükümleri uygulanmayacaktır:
- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
- Kanun kapsamında hangi kişisel veriler korunmaktadır?
Yukarıda belirtildiği üzere Kanun hükümleri kişisel verileri işlenen gerçek kişiler hakkında uygulanmaktadır. Kanun kişisel verisi işlenen gerçek kişiyi ise ilgili kişi olarak tanımlamaktadır.
- Kişisel verilerin işlenmesi hangi faaliyetleri kapsamaktadır?
Kişisel verilerin işlenmesi Kanunda kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlanmıştır.
Veri kayıt sistemi ise kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi olarak tanımlanmıştır. Veri kayıt sistemi elektronik veya fiziki olarak oluşturulabilir.
Tanımdan da anlaşılabileceği üzere kişisel verilerin işlenmesi geniş bir kavram olup, verinin ilk elde edildiği an ve sonrasında veri üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır.
Bununla birlikte, gerekçede de ifade edildiği üzere, otomatik olmayan yollarla işlenen kişisel veriler herhangi bir veri kayıt sisteminin parçası değilse Kanun kapsamında yer almamaktadır. Söz konusu verilere ilişkin koruma Türk Ceza Kanunu’nda yer alan düzenlemeler çerçevesinde gerçekleştirilecektir.
- Kişisel veriler nasıl işlenebilir?
Kanun’un ikinci bölümü kişisel verilerin işlenmesini düzenlemektedir. Bu kapsamda kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak ve ilgili kişinin açık rızası ile işlenebilir.
Açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterince bilgiye sahip olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı olarak açıklanmaktadır.
Kişisel verilerin işlenmesinde uyulması zorunlu ilkeler ise Kanun’un 4. maddesinde belirlenmiştir:
- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Belirli, açık ve meşru amaçlar için işleme ilkesi kapsamında veri sorumlusunun[1] veri işleme amacını açık ve kesin olarak belirlemesi ve bu amacın meşru olması gerekmektedir. Dolayısıyla verinin başka amaçlarla işlenmesi halinde veri sorumlusunun sorumluluğu meydana gelecektir. Yine meşru amaç ile ifade edilmek istenen işlenen verilerin yapılan iş veya sunulan hizmetle bağlantılı veya bunlar için gerekli olmasıdır.
Amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi, işlenen verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını, amacın gerçekleştirilmesi ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir.
- Açık rıza olmaksızın kişisel verilerin işlenmesi mümkün müdür?
Kanun’un 5. maddesi uyarınca, aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- Özel nitelikli kişisel veriler nelerdir ve nasıl işlenebilir?
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak tanımlanmıştır.
Kanuna göre ilgilinin açık rızası olmadan özel nitelikli kişisel veriler işlenemez. Açık rıza olmadan işlenebilme bakımından ise özel nitelikli kişisel verilerde ayrım yapılmıştır. Buna göre sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Diğer yandan özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
- Kişisel verilerin hangi durumda silinmesi, anonim hale getirilmesi veya yok edilmesi gerekmektedir?
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
- Kişisel veriler üçüncü kişilere aktarılabilir mi?
Kanun’da verilerin aktarılması veya devralınması kişisel verilerin işlenmesi kapsamında sayılmaktadır. Bu sebeple genel olarak kişisel verilerin işlenmesine ilişkin şartların bu verilerin aktarılmasına da uygulanması gerekmektedir. Bu doğrultuda kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere aktarılamaz.
Kişisel verilerin rıza olmaksızın aktarılabilmesi için Kanun’un 5. maddesinde düzenlenen kişisel verilerin açık rıza aranmaksızın işlenebilme şartlarından birinin bulunması gerekmektedir. Özel nitelikli kişisel veriler için ise Kanun’un 6. maddesinde düzenlenen bu verilerin açık rıza aranmaksızın işlenebilmesi şartlarından birinin bulunması ve yeterli önlemlerin alınması gerekmektedir.
- Kişisel veriler yurtdışına aktarılabilir mi?
Yukarıda da belirtilen açık rıza koşulu kişisel verilerin yurt dışına aktarılmasında da aranmaktadır. Verilerin açık rıza olmaksızın yurtdışına aktarılabilmesi için ise yukarıda belirtilen aktarılma şartlarından birinin ve ek olarak sayılan şartların bulunması gerekmektedir:
- Verinin aktarılacağı ülkede yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması.
Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilecektir. Henüz bu hususa ilişkin bir ilan yapılmadığından veri aktarımı için açık rızanın mutlaka alınması gerekmektedir.
- Veri sorumlusunun aydınlatma yükümlülüğü nedir?
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olan veri sorumlusu veya yetkilendirdiği kişinin kişisel verilerin elde edilmesi sırasında ilgili kişilere bilgi verme yükümlülüğü bulunmaktadır. Bu kapsamda sayılan hususlarda ilgili kişinin bilgilendirilmesi gerekmektedir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- İlgili kişinin veri sorumlusuna başvuru kapsamındaki hakları.
- Veri sorumlusunun veri güvenliği ile ilgili yükümlülükleri nelerdir?
Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmesi gerekmektedir.
- Veri sorumluları sicili nedir?
Kurulun gözetiminde, kamuya açık olarak Veri Sorumluları Sicili tutulur. Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kaydolmak zorundadır. Kanun’da sayılan belirli hallerde Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
Kurul tarafından Veri Sorumluları Siciline ilişkin bir düzenleme henüz yapılmamıştır.
- Kişisel verileri işlenen ilgili kişinin hakları nelerdir?
Kişisel verisi işlenen gerçek kişi veri sorumlusuna başvurarak sayılan haklarını kullanabilir:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kanun’daki şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Başvuru halinde, veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerekmektedir. İşlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenecek tarifedeki ücret alınabilir.
Başvuru üzerine, veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
- Kişisel Verileri Koruma Kurulu’nun görev ve yetkileri nelerdir?
Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur. Kanunun uygulanmasına ilişkin yönetmelikler Kurum tarafından yürürlüğe konulur. Kurum, Kurul ve Başkanlıktan oluşur. Kurumun karar organı ise dokuz üyeden oluşan Kuruldur. Yapılan atamalar sonrasında Kurul göreve başlamış bulunmaktadır.
Kurul’un görev ve yetkileri Kanun’da düzenlenmektedir. Bu kapsamda, kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak, özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek, Veri Sorumluları Sicilinin tutulmasını sağlamak, Kurul’un görev alanı ve veri güvenliğine ilişkin düzenleyici işlemleri yapmak ve Kanun’da öngörülen idari yaptırımlara karar vermek Kurul’un görevleri arasındadır.
Kurulda görüşülen işler tutanağa bağlanır. Kararlar ve varsa karşı oy gerekçeleri karar tarihinden itibaren en geç on beş gün içinde yazılır. Kurul, gerekli gördüğü kararları kamuoyuna duyurur.
- Kurul’un inceleme usul ve esasları nelerdir?
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar. Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır. Dolayısıyla resen yapılacak incelemeler bakımından bir süre öngörülmemiştir.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde ise Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar.
Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.
Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
Kurul kararlarına karşı idari yargıda dava açılabilecektir.
- Kanun’da düzenlenen suçlar ve kabahatler nelerdir?
Kişisel verilerin korunmasına ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun ilgili madde hükümleri uygulanacaktır. Bu kapsamda kişisel verileri silmeyen veya anonim hâle getirmeyenler bakımından da Türk Ceza Kanunu’nun 138. maddesi uygulama alanı bulacaktır.
Kanun’da belirtilen aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükler, Veri Sorumluları Siciline bildirim ve kayıt yükümlülüğü gibi hususların ihlali halinde ise değişen oranlarda idari para cezaları düzenlenmiştir. Örneğin sicile kayıt ve bildirim yükümlülüğünün yerine getirilmemesi halinde Kurul tarafından 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilebilecektir.
Gerekçede de belirtildiği üzere idari para cezaları bakımından karar verilirken 5326 sayılı Kabahatler Kanunu kapsamında kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumu dikkate alınacağından alt ve üst sınırlar arasındaki makas geniş tutulmuştur.
- Kanun’la ilgili ikincil düzenlemeler ve bu kapsamda beklenen gelişmeler nelerdir?
Kanun uyarınca, ilgili yönetmeliklerin bu Kanunun yayımı tarihinden itibaren bir yıl içinde yürürlüğe konulması gerekmektedir. Dolayısıyla en geç 7 Nisan 2017 tarihinde söz konusu ikincil düzenlemelerin yayımlanması gerekmektedir. Mevcut durumda Kurul tarafından sektöre ilişkin taslak çalışmaların Kurul’un websitesi üzerinden görüşe açılacağı duyurulmuştur[2].
Yukarıda belirtildiği üzere henüz Veri Sorumluları Sicili kurulmamıştır. Yönetmelikler kapsamında Kurul tarafından bu konuda da düzenleme yapılacak ve kayıt için gerekli tarihler ilan edilecektir.
- Kanun’dan önce işlenen kişisel verilerin durumu nedir?
Kanun’un geçiş hükümlerinde bu konuda da düzenleme yapılmıştır. Bu kapsamda Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayım tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilmesi gerekmektedir. Kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin derhâl silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekmektedir. Kanunun yayım tarihinden önce hukuka uygun olarak alınmış rızalar ise, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilecektir.
Kişisel verilerin korunması ile ilgili mevzuat ve uyum süreçleri hakkındaki sorularınız için bizimle info@engblaw.com adresinden iletişime geçebilirsiniz.
[1] Kanun’da kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır.
[2] http://www.kvkk.gov.tr/haber_mevzuatcalismasi.html (erişim tarihi 04.04.2017)