18-01-2016 20:13
Kişisel verilerin işlenebilmesi hususunda özel bir kanun ve etkin bir denetim mekanizmasının bulunmamasının toplumda olumsuz bir algının oluşmasına sebebiyet verdiği gerekçesi ile hazırlanan “Kişisel Verilerin Korunması Kanun Tasarısı” hükümet tarafından Meclise gönderildi.
“Kişisel Verilerin Korunması Kanunu Tasarısı” Başbakan Ahmet Davutoğlu’nun imzası ile TBMM Başkanlığı’na sunuldu. Tasarının gerekçesinde “Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum söz konusu bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek taraf olduğumuz sözleşmeler ve gerekse anayasamızda koruma altına alman temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin oluşturulması gerekmektedir” ifadeleri kullanılırken, kişisel verilerin işlenebilmesi hususunda özel bir kanun ve etkin bir denetim mekanizmasının bulunmamasının toplumda olumsuz bir algının oluşmasına sebebiyet verdiği belirtildi.
Oluşan bu algının ortadan kaldırılması için kişisel verilerin belli şartlar dahilinde işlenmesine, muhafaza edilmesine ve kontrolüne ilişkin esasların belirlenmesinin gerektiğinin ifade edildiği tasarı gerekçesinde, “Çağımızda insan haklarının korunması bilincinin gelişmesine paralel olarak, kişisel verilerin korunmasının da önemi her geçen gün artmaktadır. Bu nedenle günümüzde gelişmiş ülkelerde kişisel verilerin korunması alanında detaylı kanuni düzenlemelerin uygulanmakta olduğu görülmektedir. Buna karşın ülkemizde, kişisel verilerin korunmasına ilişkin alanı bütüncül olarak düzenleyen bir kanun bulunmamakta, bu konuya ilişkin hükümler farklı kanunlarda yer almaktadır. Ayrıca ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurum da bulunmamaktadır. Bunun bir sonucu olarak, halen kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir” açıklamasında bulunuldu.
Kişisel verilerin korunmasını sağlayacak bir kanunun yürürlüğe girmesini gerektiren değişik sebepler bulunduğu belirtilirken, öncelikle, 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiillerinin suç olarak düzenlendiği ve yaptırıma bağlandığı kaydedildi. Gerekçede, “Bununla birlikte, kişisel verilerin işlenmesine yönelik özel bir kanunun bulunmaması sebebiyle, bu fillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduğunun belirlenmesinde tereddütlerin yaşandığı görülmektedir. Öte yandan 12 Eylül 2010 tarihinde yapılan halkoylaması sonucu kabul edilen 5982 sayılı Kanun ile anayasanın 20. maddesinde yapılan düzenlemeyle, kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür. Yine ülkemizle ilgili olarak devam etmekte olan Avrupa Birliği tam üyelik sürecinde, müzakere fasıllarından dördü, doğrudan kişisel verilerle ilgilidir. Bu fasıllarla ilgili sürecin ilerleyebilmesi için ülkemizde kişisel verilerin korunmasına ilişkin temel bir kanunun yürürlüğe girmesi gerekmektedir. Avrupa Birliği’nin Türkiye ile ilgili olarak hazırladığı ilerleme raporlarında Türkiye’de veri koruma alanındaki kanuni boşluğa işaret edilmektedir. Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan tasarıyla kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır” denildi.
“AMAÇ KİŞİSEL VERİLERİN İŞLENMESİNİN DİSİPLİN ALTINA ALINMASI, TEMEL HAK VE ÖZGÜRLÜKLERİN KORUNMASI”
Tasarının birinci maddesinde kanunun amacı şu şekilde belirtiliyor: “Amaç, kişisel verilerin işlenmesinin disiplin altına alınması ve anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır. Son yıllarda önem kazanan kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması da bu kapsamda değerlendirilmektedir. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların da düzenlenmesi Kanunun amaçlan arasında yer almaktadır.”
“BİR DOSYALAMA SİSTEMİ OLARAK NİTELENEBİLECEK VERİ KAYIT SİSTEMİ SADECE DİJİTAL YAHUT ELEKTRONİK ORTAMDA OLUŞTURULMASI GEREKEN BİR SİSTEM DEĞİLDİR”
Tasarının ikinci maddesi ile kanun kapsamı ise şu şekilde belirleniyor: “Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Özel sektör ile kamu sektörü bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların her iki sektörde de uygulanması benimsenmektedir. Kişisel verilerin otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi bakımından da herhangi bir fark öngörülmemektedir. Veri kayıt sistemi, kanunun 3. maddesinde tanımlandığı üzere kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli bir kritere göre yapılandırılmış kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi sadece dijital yahut elektronik ortamda oluşturulması gereken bir sistem değildir. Bu kapsamda, otomatik olmayan yollarla işlenen kişisel veriler bir veri kayıt sisteminin parçası değilse kanun kapsamında değerlendirilmeyecektir. Ancak, bu hüküm anılan verilerin kişisel veri niteliğini etkilemeyeceğinden, bu tür verilere ilişkin hukuka aykırı eylemler 5237 sayılı Türk Ceza Kanunu uyarınca suç teşkil etmeye devam edecektir.”
ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Tasarının 6. Maddesi ile kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, biyometrik verisi veya haklarında verilen ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verilerinin, özel nitelikli kişisel veri olduğu belirtilirken, bu verilerin başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta, bu sebeple bu tür veriler özel nitelikli veri olarak kabul ediliyor. Kurul tarafından belirlenen yeterli önlem alınmaksızın özel nitelikli verilerin işlenememesi öngörülmekte, ayrıca kural olarak bu tür verilerin ilgili kişinin açık rızası olmaksızın da işlenememesi hükme bağlanıyor. Maddenin 4. fıkrasında tahdidi olarak sayılan şartların varlığı halinde, yeterli önlem alınması şartı baki kalmak kaydıyla ilgili kişinin açık rızası aranmaksızın özel nitelikli kişisel verilerin işlenmesine imkan tanınıyor.
Tasarı ile kişisel verilerin, üçüncü kişilere aktarılması düzenlenirken, kanunun hem 5. maddesinde düzenlenen kişisel veriler hem de 6. maddesinde düzenlenen özel nitelikli kişisel veriler madde kapsamında olacak. Kanunun 9. maddesinde kişisel verilerin yurtdışına aktarılması düzenlendiğinden bu maddede belirtilen üçüncü kişiler yurtiçindeki kişiler olarak belirleniyor. 9. madde ile kişisel verilerin, yurtdışına aktarılması düzenleniyor. Kanunun hem 5. maddesinde düzenlenen kişisel veriler hem de 6. düzenlenen özel nitelikli kişisel veriler madde kapsamında. Maddenin birinci fıkrasında, kişisel verilerin ilgilinin açık rızası olmaksızın yurtdışına aktarılamayacağına ilişkin ilke hükme bağlanıyor.
Tasarının 12. maddesi ile veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenleniyor. Buna göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü tutuluyor.
(İHA)
“Kişisel Verilerin Korunması Kanunu Tasarısı” Başbakan Ahmet Davutoğlu’nun imzası ile TBMM Başkanlığı’na sunuldu. Tasarının gerekçesinde “Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum söz konusu bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek taraf olduğumuz sözleşmeler ve gerekse anayasamızda koruma altına alman temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin oluşturulması gerekmektedir” ifadeleri kullanılırken, kişisel verilerin işlenebilmesi hususunda özel bir kanun ve etkin bir denetim mekanizmasının bulunmamasının toplumda olumsuz bir algının oluşmasına sebebiyet verdiği belirtildi.
Oluşan bu algının ortadan kaldırılması için kişisel verilerin belli şartlar dahilinde işlenmesine, muhafaza edilmesine ve kontrolüne ilişkin esasların belirlenmesinin gerektiğinin ifade edildiği tasarı gerekçesinde, “Çağımızda insan haklarının korunması bilincinin gelişmesine paralel olarak, kişisel verilerin korunmasının da önemi her geçen gün artmaktadır. Bu nedenle günümüzde gelişmiş ülkelerde kişisel verilerin korunması alanında detaylı kanuni düzenlemelerin uygulanmakta olduğu görülmektedir. Buna karşın ülkemizde, kişisel verilerin korunmasına ilişkin alanı bütüncül olarak düzenleyen bir kanun bulunmamakta, bu konuya ilişkin hükümler farklı kanunlarda yer almaktadır. Ayrıca ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurum da bulunmamaktadır. Bunun bir sonucu olarak, halen kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir” açıklamasında bulunuldu.
Kişisel verilerin korunmasını sağlayacak bir kanunun yürürlüğe girmesini gerektiren değişik sebepler bulunduğu belirtilirken, öncelikle, 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiillerinin suç olarak düzenlendiği ve yaptırıma bağlandığı kaydedildi. Gerekçede, “Bununla birlikte, kişisel verilerin işlenmesine yönelik özel bir kanunun bulunmaması sebebiyle, bu fillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduğunun belirlenmesinde tereddütlerin yaşandığı görülmektedir. Öte yandan 12 Eylül 2010 tarihinde yapılan halkoylaması sonucu kabul edilen 5982 sayılı Kanun ile anayasanın 20. maddesinde yapılan düzenlemeyle, kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür. Yine ülkemizle ilgili olarak devam etmekte olan Avrupa Birliği tam üyelik sürecinde, müzakere fasıllarından dördü, doğrudan kişisel verilerle ilgilidir. Bu fasıllarla ilgili sürecin ilerleyebilmesi için ülkemizde kişisel verilerin korunmasına ilişkin temel bir kanunun yürürlüğe girmesi gerekmektedir. Avrupa Birliği’nin Türkiye ile ilgili olarak hazırladığı ilerleme raporlarında Türkiye’de veri koruma alanındaki kanuni boşluğa işaret edilmektedir. Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan tasarıyla kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır” denildi.
“AMAÇ KİŞİSEL VERİLERİN İŞLENMESİNİN DİSİPLİN ALTINA ALINMASI, TEMEL HAK VE ÖZGÜRLÜKLERİN KORUNMASI”
Tasarının birinci maddesinde kanunun amacı şu şekilde belirtiliyor: “Amaç, kişisel verilerin işlenmesinin disiplin altına alınması ve anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır. Son yıllarda önem kazanan kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması da bu kapsamda değerlendirilmektedir. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların da düzenlenmesi Kanunun amaçlan arasında yer almaktadır.”
“BİR DOSYALAMA SİSTEMİ OLARAK NİTELENEBİLECEK VERİ KAYIT SİSTEMİ SADECE DİJİTAL YAHUT ELEKTRONİK ORTAMDA OLUŞTURULMASI GEREKEN BİR SİSTEM DEĞİLDİR”
Tasarının ikinci maddesi ile kanun kapsamı ise şu şekilde belirleniyor: “Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Özel sektör ile kamu sektörü bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların her iki sektörde de uygulanması benimsenmektedir. Kişisel verilerin otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi bakımından da herhangi bir fark öngörülmemektedir. Veri kayıt sistemi, kanunun 3. maddesinde tanımlandığı üzere kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli bir kritere göre yapılandırılmış kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi sadece dijital yahut elektronik ortamda oluşturulması gereken bir sistem değildir. Bu kapsamda, otomatik olmayan yollarla işlenen kişisel veriler bir veri kayıt sisteminin parçası değilse kanun kapsamında değerlendirilmeyecektir. Ancak, bu hüküm anılan verilerin kişisel veri niteliğini etkilemeyeceğinden, bu tür verilere ilişkin hukuka aykırı eylemler 5237 sayılı Türk Ceza Kanunu uyarınca suç teşkil etmeye devam edecektir.”
ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Tasarının 6. Maddesi ile kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, biyometrik verisi veya haklarında verilen ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verilerinin, özel nitelikli kişisel veri olduğu belirtilirken, bu verilerin başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta, bu sebeple bu tür veriler özel nitelikli veri olarak kabul ediliyor. Kurul tarafından belirlenen yeterli önlem alınmaksızın özel nitelikli verilerin işlenememesi öngörülmekte, ayrıca kural olarak bu tür verilerin ilgili kişinin açık rızası olmaksızın da işlenememesi hükme bağlanıyor. Maddenin 4. fıkrasında tahdidi olarak sayılan şartların varlığı halinde, yeterli önlem alınması şartı baki kalmak kaydıyla ilgili kişinin açık rızası aranmaksızın özel nitelikli kişisel verilerin işlenmesine imkan tanınıyor.
Tasarı ile kişisel verilerin, üçüncü kişilere aktarılması düzenlenirken, kanunun hem 5. maddesinde düzenlenen kişisel veriler hem de 6. maddesinde düzenlenen özel nitelikli kişisel veriler madde kapsamında olacak. Kanunun 9. maddesinde kişisel verilerin yurtdışına aktarılması düzenlendiğinden bu maddede belirtilen üçüncü kişiler yurtiçindeki kişiler olarak belirleniyor. 9. madde ile kişisel verilerin, yurtdışına aktarılması düzenleniyor. Kanunun hem 5. maddesinde düzenlenen kişisel veriler hem de 6. düzenlenen özel nitelikli kişisel veriler madde kapsamında. Maddenin birinci fıkrasında, kişisel verilerin ilgilinin açık rızası olmaksızın yurtdışına aktarılamayacağına ilişkin ilke hükme bağlanıyor.
Tasarının 12. maddesi ile veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenleniyor. Buna göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü tutuluyor.
(İHA)
