SON YAZILAR

24 Şubat 2017 Cuma

Kişisel Verilerin Korunması

Alo Sgk | 09:27 | | | |


Kişisel Verilerin Korunması

AV. DR. UMUT KOLCUOĞLU
Dünya Gazetesi
Geçtiğimiz yıl nisan ayında yayımlanan Kişisel Verilerin Korunması Kanunu’nun tüm hükümleri, ekim ayı itibariyle yürürlüğe girdi. Uzun süredir gündemde olan kanun, kişisel verileri işleyenlerin yükümlülüklerini düzenleyerek, verilerin işlenmesi sürecinde temel hak ve özgürlükler ile özel hayatın gizliliğini korumayı amaçlıyor. Peki kişisel veri kapsamına neler giriyor? Bir kişinin kimlik bilgileri, banka hesap bilgileri, e-posta adresi, IP adresi, telefon numarası, resim, video ve ses kayıtları, parmak izi, özgeçmişi ve hatta hobileri ve beğenileri ile fiziksel özellikleri gibi verilerin tamamı kişisel veri olarak kabul ediliyor.

Kişisel verilerin işlenmesi ise verilerin elde edilmesi, kaydedilmesi, muhafaza edilmesi, değiştirilmesi, aktarılması, sınıfl andırılması gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ediyor. Bu kapsamda işverenlerin, işçiye ait kimlik bilgilerini veya banka hesap bilgilerini alması veya bunları bordrolama şirketine aktarması dahi bir veri işleme eylemi olarak kabul ediliyor. Kişisel verilerin işlenebilmesi için temel kural veri sahibinin açık rızasının alınması olmakla birlikte, Kanun bu kurala istisnalar da getiriyor. Örneğin, veri sorumlusunun veri işleme konusunda yasal yükümlülüğü bulunması; veri işlemenin, rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması gibi durumlarda veri sahibinin açık rızası aranmıyor.
Özel nitelikli kişisel verilerin nasıl işleneceği konusu ise Kanunda ayrıca düzenleniyor. Buna göre, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, özel nitelikli kişisel veri sayılıyor. Bunlardan sağlık ve cinsel hayatla ilgili olanlar dışındaki veriler, kanunlarda öngörülen hallerde sahibinin açık rızası aranmaksızın işlenebiliyor.
Sağlık ve cinsel hayata ilişkin veriler ise ancak “kamu sağlığının korunması” gibi esaslı bir amaçla ve “sır saklama yükümlülüğü bulunan bir yetkili kurum” tarafından veri sahibinin açık rızası olmaksızın işlenebiliyor.
Kanunda kişisel verilerin işlenme amaç ve araçlarını belirleyen, veri kayıt sisteminin kurulup yönetilmesinden sorumlu gerçek veya tüzel kişiler (örneğin kişisel veri toplayan bir anonim şirket) veri sorumlusu olarak tanımlanıyor ve bunların “veri sorumluları” siciline kaydedilmeleri gerekiyor.
Veri sorumlusu, onun adına kişisel verileri işlemesi için başka bir gerçek veya tüzel kişiye de yetki verebiliyor ki bu kişi veri işleyen olarak adlandırılıyor. Veri işleyen, veri sorumlusunun bordrosunda çalışan bir kişi olabileceği gibi bu konuda hizmet veren bir gerçek veya tüzel kişi de olabiliyor. Bu durumda veri sorumlusu ile veri işleyenin müşterek sorumluluğu söz konusu oluyor.
Veri sorumlusu veya veri işleyen, kişisel verileri elde ederken veri sahiplerine, kendi kimliği ve veri sahibinin hakları gibi temel bilgileri vermek zorunda. Veri sahibi ise işlenen eksik/yanlış verilerin düzeltilmesini ve...